|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (13)
просмотр истории страницы| {toc} |
| Как фильтруется HTTPS? Вообще, способов фильтрации используется несколько и одновременно. У провайдера есть возможность включать/отключать способы так, как он считает нужным, рекомендации указаны при установке и в статье [http://carbonsoft.github.io/2016/11/10/i-installed-reductor-long-time-ago.html] |
| Список подходов: |
... |
| h2. DNS |
| http://docs.carbonsoft.ru/display/reductor5/DNS |
| [http://docs.carbonsoft.ru/display/reductor5/DNS] |
| h2. SNI |
... |
| Включена по умолчанию и крайне не рекомендуется к отключению. Используется в большей степени для подстраховки DNS-фильтрации, так как SNI-заголовок не обязателен в Client-Hello пакете. При срабатывании пользователю посылается TCP-RST пакет. |
| Схема при срабатывании: |
| *Принцип работы:* При запросе от абонентской машины IP адреса по доменному имени, редуктор отдаст "Ip адрес для DNS ответов" (из меню), на котором у вас находится страница заглушки. Если при этом использовалось https соединение, то опция SNI фильтрация исключит запрос и получение сертификата. |
| |
| Сложно: FAQ: |
| |
| Q: Так ведь если сработает DNS-спуфинг, то SNI заблочит страницу заглушку. A: Ну да, такой баг был, но исправлен, трафик до страницы-заглушки DROP'ается в цепочке https_dst. Схема при срабатывании: |
| {code} 1. Абонент ---TCP SYN--> Сервер |
... |
| 3. Абонент ---TCP ACK--> Сервер 4. Абонент ---TCP: PSH/ACK SSL: Client Hello --> Сервер |
| 5. Редуктор ---TCP RST--> Абонент |
| 5. Абонент <--TCP RST--- Редуктор |
| .. x. Сервер ---TCP PSH/ACK SSL: Server Hello --> Абонент |
... |
| Но абоненту будет уже не важно. |
| Просто: |
| h3. {color:#000000}{*}IP фильтрация{*}{color} |
| |
| h2. IP фильтрация |
| Пользователь в итоге получает TCP-RST пакет. |
... |
| Большая часть популярных решений не обеспечивают должной производительности при потоке трафика больше 1гбит/c, а способы отправки трафика (BGP/OSPF) требуют знания всех IP адресов, в которые может отрезолвиться заблокированный ресурс на всех теоретически доступных DNS-серверах машин, проводящех проверку, что маловероятно является возможным. (будет 99% качество фильтрации и всегда будут пропуски). |
| Пилотные проекты показывают переменный успех, необходимо больше тестирования на большой и реальной нагрузке. |
| Непосредственно сейчас необходимости в этом нет. |