Блочат подсетями, а не отдельные адреса. Так-то вполне можно и устроить DoS оборудования, если закидывать массу рандомных IP. Помимо этого, поиск по бинарному дереву имеет сложность O(log n), а не O(n), что также несколько облегчает задачу.

Думаю, что нагрузка на фаерволы все равно сильно возрастет, не представляю оборудование которое делали на такие нагрузки по этому параметру.

Все гонятся за скоростью пропускания пакетов... В общем хочется послушать представителя провайдера, не помню кто, но кто то из модераторов точно у прова работает... он мне рекомендовал не использовать 11.0.0.0/8 на частную виртуальную сеть...

Думаю, что нагрузка на фаерволы все равно сильно возрастет, не представляю оборудование которое делали на такие нагрузки по этому параметру.

Нет даже на достаточно древнем компьютере с iptables + ipset можно заблокировать 2 миллиона ip адресов и разницы в нагрузке невозможно будет заметить.

Ок, значит остается только внести, но это уже кому как нравится...

Молодцы конечно...

Думаю, что нагрузка на фаерволы все равно сильно возрастет, не представляю оборудование которое делали на такие нагрузки по этому параметру.

На уровне местных провайдеров завернуть пару десятков подсетей ничего не стоит, там банальное двоичное И, чтобы откусить маску, плюс сравнение. На уровне магистральщиков не знаю, может быть, сложнее, но от них и не требуется.

Pinkbyte

от 2.000.000 адресов сервер схлопнется, от 1.000.000 надо подумать, от 100.000 уже нет. как раз с этой целью у меня стоят несколько высоконагруженных серверов, https://a.pomf.cat/vewkgi.jpg которые контроллируют весь трафик прежде чем тот дойдёт до конечной точки.

сетевое оборудование по типу Cisco, Juniper с этим справилось бы на раз-два, но я предпочитаю старый добрый линукс на х86, потому что это как с написанием кода — код ты пишешь прежде всего для других людей и важно чтобы в нём легко было разобраться, так и система линукс должна оставаться с человеческим лицом, с низким порогом вхождения, поэтому именно он.

советую попросту взять несколько железяк для распределения нагрузки.

Да оставят в итоге только российские AS по белому списку подсетей и нет проблем. На «замену» амазону и гуглу свои облака запилят мэйлру и яндекс с регистрацией в госуслугах по справке из психдиспансера и военкомата, внешний интернет - по талонам для юрлиц и с огромными штрафами.

телеграм блокируете? >_<

В Linux есть ipset для разгрузки правил файрвола. В Cisco(как и в любых других аппаратных маршрутизаторах) надо смотреть на размер ACL-ей, поддерживаемых вендором.

Там у тебя реально 2 миллиона не связанных друг с другом адресом или всё же они объединяются как-то в подсети?

Потому что если речь о подсетях даже /20, то тогда самих правил будет не далеко не 2 миллиона - соответственно всё со свистом заблокируется

Уже сегодня требуют паспортные данные и номер телефона почти все местные хостеры даже если их дц в забугорье (дц ни при чем, финансовые операции, т.е. тупо оплата услуг). Ну про доменные имена давно так.

Я это узаю для расширения кругозора.

Вот теперь наши провы должны забанить 2000000 адресов, ну конечно это по подсетям разнесено...

Все это в продолжение темы с телеграм.

Ты у прова работаешь, скажи вам еще бумага не приходила, или ты не у нас?

Слава богу, я чист, это сделают без меня... я к этому не имею отношения.

И да телега утром не работала, а часов с 12 опять на связи.

#ТелегаЖиви

Так в том вся и прелесть ситуации.

РКН сейчас блокирует сети, дошло уже до /15 (еще не видно, но пошли разные хостинги, лизвеб например). Блокируют подсетями, потому что на «учениях» с Зелло они отгрузили адреса и, например, ТрансТелеком сдох.

Вопрос задается правильный. Ответ - да, если будут отгружать адреса поо одному, то все гавкнется на транзите, при чем на сотнях тысяч. Если будут отгружать и дальше как сейчас, то у российских компаний будет выбор - хоститься в пределах РФ или быть не доступными за пределами РФ. Такие дела.

Вангование всепропальщика: скажут, что так нельзя, будут белые списки с сайтами, которые соблюдают законодательство РФ. Местные дурачки будут смеяться и радоваться, что хипстерам не доложили стикеров, но забронировать отель или заказать запчасть для чего-то у них уже не выйдет.

Мягкий вариант - крупные провайдеры выгонят Телегу на мороз, блок снимут, Телега внедрит DHT, P2P и т.п.

Уже 5 миллионов.

РКН сейчас блокирует сети, дошло уже до /15 (еще не видно, но пошли разные хостинги, лизвеб например). Блокируют подсетями, потому что на «учениях» с Зелло они отгрузили адреса и, например, ТрансТелеком сдох.

Похоже из-за телеги РКН готов весь интернет по кусочкам перебанить. Ну а чо, за необоснованный бан ресурсов у них никакой ответственности, как я понимаю.

Даже закрадывается конспироложская мысль, что это в сговоре с Дуровым. Потому что когда бы еще такой повод появился...

может РКН облажается и его расформируют =))))

У меня была мысль, что как раз таки идея в обратном. Сейчас РКН скажет, что атата, текущие средства блокировки недостаточны, давайте-ка белые списки лучше введем.

Такими темпами он их и так введет явочным порядком.

Ты у прова работаешь, скажи вам еще бумага не приходила, или ты не у нас?

Так мы по бумагам давно уже не работаем(ну в исключительных случаях разве что) - единый реестр же

Так мы по бумагам давно уже не работаем(ну в исключительных случаях разве что) - единый реестр же

А до сих пор все собственный костыль пишут, или уже какой-то единый софт/хард у всех?

Он уже облажался.

Поправка: на учениях блокировали имена, это матчинг SNI и HEAD, на десятках тысяч DPI дохнет.

Я в курсе, что происходит дичь, от которой любой адекватный работник отрасли связи готов себе пробить фэйспалмом лицо. Она уже дааавно происходит :-(

Ответ - да, если будут отгружать адреса поо одному, то все гавкнется на транзите, при чем на сотнях тысяч.

Потому что простецкие DPI-системы блэкхолят маршруты так - как выдано в выгрузке(было по одному) и редистрибьютят всё это в динамические протоколы маршрутизации у провайдера. Пару сотен тыщ маршрутов в OSPF принагнут коммутаторы только в путь...

Собственный костыль пишут как правило или от совсем нищеты или если нужно точить сильно под какие-то особенности сети.

Нам было проще купить одно из российских решений, которые принципиально затачивают под российские же законы(рекламировать его бесплатно я пожалуй не буду). Ставится оно не в разрыв, так что даже если что-то ложится(а ложится оно бывает что и нередко при апдейтах - российский же софт, ага) - страшного ничего для пользователей нет.

Железный сервер они тоже могут предоставить, но там по факту HP Proliant триста-какой-то с линуксом(CentOS) на борту - смысла в нём в общем-то особо и нет.

рекомендовал не использовать 11.0.0.0/8 на частную виртуальную сеть

Ты американский военный? Нет? Тогда правильно тебе не рекомендовали. И это не частная виртуальная сеть если что. ;)

А где можно увидеть список заблокированных сетей?

sentry.io, похоже, попал под блокировку.

Блокировка 2000000 адресов

Это же классно! Их можно раздать провайдерам в России.

Ну да, все так и есть.

> host sentry.io    
sentry.io has address 35.188.42.15

host evernote.com
evernote.com has address 35.190.29.187

в ту же степь (35.208.0.0/12), сайт РКН подтверджает -

Генпрокуратура
27-31-2015/Ид4082-15
04.12.2015

IPv6 у них нет.

Уже 5 000 000.

Кто там хотел как в КНДР?

Только что же было 4.6?

вроде уже около 5

Актуальная цифра 5.6

Вот здесь удобно смотреть https://2018.schors.spb.ru/

Роскомпозор, ты штоле?

Они узнали про экспоненту

https://twitter.com/tvrain/status/986215579597107200

Уже 16 млн

Вы как хотите, а я пошел скачивать википедию, арч-вики и тайлы osm.

Пффф, я к этому был готов еще много лет назад.

Ой, ладно вам панику поднимать, еще даже полпроцента интернета не заблокировали)

Это смотря как измерять, плотность интернета непостоянна. Как минимум 4 сервиса (Linkedin, Evernote, Expedia, Airbnb), которыми я пользуюсь/пользовался в списке - не похоже на полпроцента по хитам.

Ой, да ладно вам панику поднимать. Ещё не всю страну просрале.

Помимо этого, поиск по бинарному дереву имеет сложность O(log n), а не O(n), что также несколько облегчает задачу.

А по хэш-таблице в среднем O(1). (Для остальных, кто не в теме) Это означает, что какому-нибудь ipset-у в среднем плевать, 10 адресов у вас или 10 000 000.

Я это с юмором сказал, если что. Но LinkedIn отдельно заблокирован, из того чем я пользуюсь сейчас Toggl упал.

При маленьком траффике. При нормальном у тебя будет OOM довольно быстро)

А по хэш-таблице в среднем O(1)

Это при каком размере хеш таблицы?

не вижу никаких способов впихнуть туда этот список кроме как руками.

Скачиваешь конфиг. Запихиваешь туда адреса скриптом. Заливаешь конфиг.

А вообще 100500 адресов не банят, на каждый пакет будет уходить больше ресурсов для обработки. На твоей сиське можно будет жарить яишницу)

1.2.3.4/28 <--- блочат как-то так. Ну типо маска подсети и всякое такое.

Ту зе мун!

чтобы зарегистрировать не *.ru/рф — нужен паспорт?

Просит имя, адрес и контактные данные (телефон и мыло обязательно) для международных. Пачпорт не просит.

Так это нормально, я думал что в РФ нужно предъявлять аусвайс для реги любого домена (при регистрации через нац.регов).