Банхаммером по Амазону. Объяснение блокировок целыми подсетями простым и понятным языком (для чайников™) +93



В данном учебнике даются предельно простые и понятные ответы на следующие вопросы:

  1. Почему Амазон не идёт на сотрудничество с Роскомнадзором?
  2. Сколько стоит постоянный перенос серверов Телеграма на другие IP-адреса внутри облака?
  3. Почему невозможно банить сервисы, хостящиеся на Амазоне, конкретными IP, а не подсетями сразу?

А начнём мы, пожалуй, с такой картинки:



Когда запускаешь свой сервис на Амазоне, обычно это происходит так:

а) настраиваешь какую-то виртуальную машину,
б) устанавливаешь на неё свой сервис,
в) проверяешь, что всё работает, а потом
г) делаешь из неё AMI — полный слепок, образ твоего сервиса вместе с операционной системой и всем прочим, что там есть.

Он сохраняется в облаке, а затем при необходимости очень легко и просто (и, главное, автоматически) тиражируется в любом разумном масштабе с автоматической же донастройкой. На скриншоте как раз приведён интерфейс, в котором задаются некоторые дополнительные настройки для запуска множества экземпляров заранее сконфигурированного слепка.

Стрелочкой отмечена опция «Автоматически назначить внешние IP-адреса для каждого экземпляра».

Так вот. Когда запускаешь свой сервис в большом масштабе, Амазону можно указать, чтобы при определённой нагрузке на процессор виртуальной машины он разворачивал рядом ещё один экземпляр твоего сервиса. Или, например, сразу сто штук. Или не при нагрузке на процессор, а, допустим, при паре сотен одновременно активных сетевых соединений. Таких метрик для автоматического масштабирования очень много, и правила для автозапуска можно настроить тоже довольно гибко.

Посмотрим теперь на такой вот график:



Это аппроксимированное количество одновременно активных пользователей всемирных интернет-сервисов в рабочее время. В Тихом океане почти никто не живёт, в Китае интернет свой собственный, а наибольшее количество пользователей приходится на Европу, и — в особенности — запад США. Это верно почти для любого сервиса со всемирным охватом, хоть Стима, хоть Нетфликса, хоть Википедии, хоть Телеграма.

Как мы видим, разница между максимумом и минимумом раза в полтора. Буквально это значит, что если ты работаешь на весь мир, то примерно половину суток, пока в Западном полушарии день, тебе надо чуть ли не вдвое больше мощностей, чем другую половину суток, когда день в Азии. Вот и настраиваешь себе соответствующие правила автоматического масштабирования, чтобы не тратить процессорное время (и свои деньги — в облаках как нигде время=деньги) понапрасну в то время, когда оно не нужно.

И половина экземпляров твоего сервиса просто убивается самим облаком по расписанию, когда Америка ложится спать. А на следующий день при росте нагрузки оно услужливо тебе их снова поднимет.

Теперь ответим на вопрос 3). Стрелочка на скриншоте не просто так нарисована. Опция «Автоматически назначить внешние IP-адреса для каждого экземпляра» берёт адреса из доступного пула адресов — Амазону принадлежит несколько миллионов, и ещё несколько он арендует у других владельцев. Публичный IPv4-адрес штука ныне дефицитная, поэтому иметь для каждого виртуального экземпляра таковой на постоянной основе, работает он сейчас или нет, большая роскошь — и стоит денег (более того, в любом дата-центре Амазона постоянных адресов тебе дают всего 5 штук, и увеличивают этот лимит ну с очень большим скрипом).

И как только какой-то экземпляр убивается, адрес сразу же возвращается снова в общий пул. И так далее. Кому он попадёт в следующий раз? Да кому угодно. Может быть, тебе, а может быть другому клиенту, который тоже автоматически масштабирует свой сервис, а может и эфемерному экземпляру сервиса самого Амазона. Таким образом, ответ на вопрос 3) тривиален: потому что сегодня этот IP-шник твой, а через пару часов чей-то ещё. Если твой сервис кому-то неугоден, но автоматически масштабируется, то забанить его по IP можно, но только если запретить весь пул.

И на вопрос 2) ответ тоже тривиален: нисколько не стоит. Облако само назначит следующему экземпляру какой-то другой адрес из доступного ему пула, хочешь ты этого или нет.

Теперь про первый вопрос.

Ответ не так очевиден, но попробуем сделать то, что называется educated guess (не знаю, как это лучше сказать по-русски, «предположение на основании опыта», наверное?).

Амазон — это самое старое из больших облаков. Программная обвязка, которая занимается всеми этими автоматическими масштабированиями, написана ещё лет десять назад, и с тех пор работает как часы. Сам гигантский сервис Амазона работает ровно в том же самом облаке. Обвязка эта не сломана, её не надо чинить, а любые изменения, которые пишут люди, имеют риск внесения ошибок. Поэтому фича по изоляции пулов адресов под клиента, если начать её разрабатывать прямо сейчас, займёт до чёртиков времени, и если вдруг приведёт к большим изменениям, то цена возможных последствий будет исчисляться миллиардами долларов. В самом прямом смысле.

И ответ на 1) звучит так: Для Амазона попросту невыгодно переделывать свою инфраструктуру под требования спятившего надзорного органа государства, все клиенты из которого не приносят столько денег, чтобы скомпенсировать возможный риск для самого себя и клиентов из других стран. Звучит жёстко, но это, к сожалению, бизнес.

Кстати, с остальными облаками всё ровно то же самое. Ютюб оказался забаненым потому, что сервисы самого Гугля не отделены от сервисов клиентов Гугля, и работают в том же облачном пространстве с единым пулом адресов. И с сервисами Майкрософта аналогично.

Роскомнадзор, блокируя облачные сервисы, воюет с технологией, на которой строятся облака. Со скриптами. С алгоритмами. Это всё равно что воевать против законов физики, или пытаться дать пинка стихии: предельно глупо и бессмысленно. Невозможно победить облака и ветер, можно только уйти под землю, чтобы их никогда не видеть…

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (145):

  1. Nomad1
    /#10750913

    Небольшое отличие в том, что у МС указывается регион для каждого инстанса и айпишники жестко привязаны к выбранному региону и уже внутри региона плавают по Availability Zone — группам IP адресов. Конечно же, это решается поднятием инстансов в каждом регионе, коих всего 40 штук (технически чуть меньше, некоторые закрыты для обычных юзеров).

    • chelios
      /#10750941 / +1

      Так и отличий и нет. В AWS все тоже самое. Они используют тот же самый интернет, в котором нельзя перенести ип адрес из одного региона в другой. Разве что из одного рядом стоящего датацентра в другой в том же городе или стране(?).

      • PastorGL
        /#10750993

        В документации не расписано, но у aws по факту есть какой-то резервный или мобильный пул, который принадлежит Амазону как регистратору. Адреса из него выделяются в любом регионе, если вдруг заканчивается пул региона. Ну или это так выглядит. Довольно неожиданно может быть.

      • Vilgelm
        /#10751161 / +1

        Все можно, в OVH можно арендовать IP из любой страны откуда у них есть IP для одной и той же машины.

        • telema93
          /#10751893

          Не совсем так, адреса любые, но выбранного региона. Например, в европейском ДЦ только европейские IP у них.

      • vanyas
        /#10751307

        > Они используют тот же самый интернет, в котором нельзя перенести ип адрес из одного региона в другой

        Да ладно, прекрасно американские адреса юзаются в европе и наоборот. И radb как irr, вместо ripe, arin, apnic и т.д.

        • bugdesigner
          /#10751535

          С тем, чтобы получить route block "из америки" и использовать его "в европе" проблем нет. После того, как блок Вам выделен любым из регистраторов, его можно аннонсировать откуда угодно — никаких ограничений на это нет. Более того, его можно разбить на части и аннонсировать эти части из разных мест.

        • chelios
          /#10752615

          Допустим, что клиенту выделили два ип из одной подсети. Один он решил дать серверу в США, другой отдать серверу в Европе. Каким образом это будет работать, если маршрутизация приводит трафик всегда в одно место? У меня есть предположение, что сам AWS может туннелировать/перенаправлять трафик из одного датацентра в другой. Но ведь это доп. расходы.

          • Altimit
            /#10752997

            Выше речь идет не про отдельные IP адреса, а про выделенные блоки. Блок будет маршрутизироваться туда, откуда его анонсируют.
            А вот IP из этого блока географически разнести без различных туннелей нельзя.

            • gto
              /#10753017

              Если заморочится — можно. Блоки они ведь тоже разных размеров бывают, меньшие всегда больший приоритет при роутинге имеют. Опять же один и тот же адрес может присутствовать в таблице маршрутизации несколько раз с разными гетевеями и метриками. Anycast ведь как-то так и работает.

              • Altimit
                /#10753695

                Да, но тут все упирается в то, что у вас никто не примет анонс сети менее /24.

  2. firk
    /#10750929 / -7

    Роскомнадзор, блокируя облачные сервисы, воюет с технологией, на которой строятся облака. Со скриптами. С алгоритмами. Это всё равно что воевать против законов физики, или пытаться дать пинка стихии: предельно глупо и бессмысленно.

    Во-первых, если заблокировать, например, весь Амазон (не в курсе так ли это сейчас), то никакие скрипты внутри него блокировку не обойдут. Так что "война с алгоритмами" будет только если блокировать одиночные адреса (и походу РКН быстро поняли что это бесполезно и почти сразу начали банить сети).


    Во-вторых, алгоритмы — это вовсе не законы физики. Не приписывайте этим конструкциям ("облакам") каких-то эксклюзивных свойств. Они просто большие и ничего кроме этого. Во всём остальном это всё так же продукт чьего-то организационного решения и чьего-то кодинга.

    • DIHALT
      /#10750967 / +1

      Вы невнимательно читали текст что ли?

      • MTyrz
        /#10750989 / +4

        Нет, он просто на работе.

        • asmln
          /#10752949 / -4

          Он работает на кремль? И у тебя есть доказательства этого? Или ты балабол?

          • PyVolshebnyi
            /#10753029 / +3

            Можно я за него отвечу? Мне тоже приятнее думать, что некоторые люди за комментарии получают деньги. И именно поэтому в комментариях бывают проблемы с логикой и прямые противоречия здравому смыслу — для доказательства оплаченной точки зрания. Мне не хочется верить что человек может такое писать на полном серьезе.

            Это мало относится к firk, он и правда просто пост по диагонали прочитал, похоже.

          • MTyrz
            /#10753819

            А лично вас, после одного нашего с вами разговора, я прошу больше никогда со мной в разговор не вступать. Все равно не отвечу.

      • firk
        /#10751053 / -1

        Нельзя ли пояснить?

        • areht
          /#10751131

          Проблема не в алгоритмах и облаках. Проблема в том, что РКН — это псих, который за самолётом бегает, пытаясь его сбить граблями.

          С одной стороны, можно заставить самолёт летать пониже, но проще игнорировать болезного.

          • gto
            /#10751143

            Вы как-то идеализируете облака. На самом деле это просто большая инфосистема, у которой есть ограниченое число точек входа, перекрыть которые физически осуществимая задача. РКН осторожничает. Мог бы на уровне AS решать. А он что-то там выковыривает.

            • areht
              /#10751193 / +1

              > Мог бы на уровне AS решать.

              Не мог бы. Тогда точно всё навернётся, где тогда Димон будет кроссовки покупать?, ему ломать интернет не разрешали, так что из подручных инструментов только грабли. Поэтому РКН и вынужден фигурно вырезать. Хотя, чисто технически, — мог, мог бы и push-сервера гугла забанить. Но не может.

              > перекрыть которые физически осуществимая задача

              Э, нет. Они находятся в других странах, которые будут возражать физическому отключению их облаков. Вот наш чебурнет отключить физически от их интернетов, облаков и телеграмов можно. Но, опять же, нельзя.

              Да и проблема не в облаках, купить IP и развернуть инстанс можно у любого хостера.

              А если Телега тот образ из облаков (который умеет свой адрес паблишить) в паблик выложит, и любой желающий сможет его запустить и через свой VPN трафик гонять?

              А если этот образ ботнет подберёт и «у вас запущен прокси телеграма, заплатите нам 1 BTC или вас забанит РКН»?

              И это мы про p2p и IPv6 не вспоминали.

              • gto
                /#10751833

                Э, нет. Они находятся в других странах, которые будут возражать физическому отключению их облаков.
                Их возражения на физику отключения не влияют. У каждого сервис-провайдера, облачного или приземлённого не важно, конечное число ип (даже если это число большое). Так что, на первом же рутере после границы разворачивать анонсы их систем в блэкхол и, как говорила учительница по математике, теорема доказана.

              • LLE
                /#10753463

                А если Телега тот образ из облаков (который умеет свой адрес паблишить) в паблик выложит, и любой желающий сможет его запустить и через свой VPN трафик гонять?

                Кто-нибудь уже предложил Дурову или он сам догадывается об этом веселом варианте?

    • sumanai
      /#10751257

      и походу РКН быстро поняли что это бесполезно и почти сразу начали банить сети

      Только сейчас откатился на бан отдельных айпишников.

    • Woit
      /#10751641

      Совершенно верно! Алгоритмы это не законы физики, это — законы математики. Если с физикой еще как-то можно поспорить (высокие давления там, да прочие пограничные условия), то с математекой спорить может только законченый дебил

      • Kanut79
        /#10751755

        Алгоритмы часто базируются на математике, но законами математики не являются. И если уж на то пошло, то на алгоритмы "производимые" отдельными личностями без боли смотреть сложно :)

      • kvasvik
        /#10752419

        Не путайте программы и алгоритмы. Все программы написаны людьми, и людьми же могут быть переписаны. В том числе, с использованием других алгоритмов если нынешние оказались под запретом.

        • gto
          /#10752501

          Всё-таки вы путаете алгоритмы и законы. Алгоритм — путь до решения задачи. А путей может быть много.

  3. SibDrow
    /#10750983 / -10

    Амазону достаточно в термсах запретить ставить впн на своем облаке и все. Дуров не рискнет нарушать закон ТАМ.
    Имхо можете сколько угодно изголятся над РКН, но анонимность и приватность уйдет из интернета, как только нейросети в сети станут неотличимы от живого человека.
    Я так и вижу будущее, поднял нейросеть где-нибудь на сервере в Бангладеше, натренировал её на нужной выборке и послал в сеть, создавать террористические ячейки. Удобно, дешево и эффективно.

    • RomanoBruno
      /#10751155 / +1

      Обколются своим впном и блокируют друг другу очко!

    • Shadow_Runner
      /#10751533

      Ничего себе у вас там методички забористые. Тут машины ездить полностью безопасно никак не научат, а у вас нейросети уже скоро смогут людей организовывать да тест тьюринга проходить безупречно.

      Не выглядит это ни удобным (уж очень сложно технически, на данный момент невыполнимо), ни дешево (вычислительная мощность нужная не говоря уже о квалификации специалистов, да еще чтоб они на карандаше у правительства не были), эффективно (на данный момент эффективность нулевая).

    • nidheg666
      /#10751947

      эм суда по тебе и ещё одному перцу тут в комментах у вас свежую дурь на фабрику завезли?)

    • a-l-e-x
      /#10752003

      Амазону достаточно в термсах запретить ставить впн на своем облаке и все.

      На мой взгляд, в этом нет смысла, так как ВПН требуется очень многим клиентам. То есть это очень востребованная услуга.

    • trapwalker
      /#10752327

      2035 год выдался переломным. Какая-то шайка скрипт-киддисов дорвалась до заблокированного росимперкомнадзором StackOwerflow и скопипастила оттуда удачный сниппет для тренировки нейросетей. Масштабная атака нацеливалась на очередную ассамблею по правам всех меньшинств, в число коих с недавних пор стали входить и натуралы. Нейронные сети гнали в соц-сети поток мемчиков с фейковых эккаунтов, подбирая последовательность на основе обратной связи из твиттеров и инстаграммов участников ассамблеи.
      Эволюционные механизмы, заложенные в основу атакующего ботнета зародили в умах землян саморазмножающийся мемо-вирус, который оказался достаточно живучим, чтобы искоренить здравый смысл на планете. С этого момента в галактическом содружестве принято считать Solar-3 безопасной планетой, населенной жизнью без зачатков самосознания.

    • PyVolshebnyi
      /#10753053

      Согласен, а еще Амазону стоило бы запретить открывать порты кроме 80 на виртуалках. И специальный бот должен проверять что на 80 порту виртуалка отдает HTTP контент, а иначе виртуалку банят сразу.

      Еще лучше бы конечно разрешить запускать только специально созданный амазоном образ виртуалки и запретить пользователю его менять, дабы не вышло чего.

    • roscomtheend
      /#10753495

      В Ольгино, похоже, совсе не пиццы бесплатные на работе дают.

    • struvv
      /#10754055

      террористические ячейки создаются когда очередной идеалист-террорист-тракторист пытается внедрить чистую реализацию одной священной книги, тупо как написано в тексте. Которая находится в белом списке по распространению, несмотря на очень очень экстремистское содержимое.

      Номпьютерные нейросети тут ваще не нужны, как и компьютеры. Это операционная система, работающая напрямую в мозгах людей

    • kinazarov
      /#10755891

      Амазону достаточно в термсах запретить ставить впн на своем облаке и все
      Действительно.
      Только это упущенная прибыль, которую амазон захочет компенсировать. В состоянии ли РКН заплатить за запрет пользоваться VPN ту сумму, которую затребует один только Амазон? Для одной страны России? Для всех стран мира? А в состоянии ли Амазон точно обнаруживать использование проксирующих и впн сервисов? А если они частные, мелкие, по типу кооперативов принадлежащие физлицам на 10-60 человек пользователей, где все друг друга знают и по принципу круговой поруки будут друг друга оправдывать?
      А ведь есть еще и Микрософт и гугл и digital ocean с их облаками.
      И облачные провайдеры поменьше.
      Имхо ркн денег не хватит честно оплатить свои хотелки даже одному крупному облачному сервису.
      Поэтому и продолжают действовать бесчестно, продолжают бороться с ветряными мельницами, раз за разом выставляя всё своё ведомство бездарными идиотами. А заодно и тех, кто подобные меры узаконил и приказал осуществить.

      P.S.
      Такая "модель кооперативных впн" мне очень напоминает партийные ячейки, которые создавались, например большевиками. Для свержения тогдашнего законного правительства. Так что молодцы, РКН, продолжайте в том же духе.
      И, разумеется, это всего лишь моя фантазия. В реальности всё наверняка будет иначе.

  4. Andy_Big
    /#10751001

    И как только какой-то экземпляр убивается, адрес сразу же возвращается снова в общий пул. И так далее. Кому он попадёт в следующий раз? Да кому угодно.

    Я плохо знаком с облачными сервисами и вот это вызывает у меня вопросы. Есть мессенджер с сервером и клиентом. Клиент должен подключиться к серверу, но для этого он ведь должен знать адрес этого сервера. А если облако постоянно подставляет серверу мессенджера адрес какой попадется из свободных — как клиент будет узнавать этот адрес?
    Ну или пусть это будет очень нагруженный посетителями сайт — нельзя же ему менять случайным образом свой IP каждые несколько часов, записи на серверах DNS просто не будут успевать обновляться.
    Или в серверах DNS есть какие-то механизмы для работы с несколькими IP по одному доменному имени?

    • PastorGL
      /#10751017 / +2

      Сначала клиент обращается к сервису-трамплину, который отвечает адресом свободного сервера, и потом уже идёт туда. А адреса трамплинов Телеграм шлёт через системные пуш-уведомления.

      DNS устроен так, что можно сопоставить сколько угодно IP-адресов одному и тому же доменному имени. Браузер обратится к случайному из указанных, а в следующий раз к какому-то другому.

      • Andy_Big
        /#10751057

        Сначала клиент обращается к сервису-трамплину, который отвечает адресом свободного сервера, и потом уже идёт туда. А адреса трамплинов Телеграм шлёт через системные пуш-уведомления.

        Тогда понятно, раз клиент имеет возможность получать адреса другими путями.


        DNS устроен так, что можно сопоставить сколько угодно IP-адресов одному и тому же доменному имени. Браузер обратится к случайному из указанных, а в следующий раз к какому-то другому.

        Спасибо. Век живи — век учись :)

      • soyingeniero
        /#10751887

        А адреса трамплинов Телеграм шлёт через системные пуш-уведомления.

        Значит, если заблокировать пуши, то клиенты не будут знать адреса серверов.
        Интересно, как проходят пуши, и что нужно, чтобы их заблокировать?
        Деклаймер. Я не из РКН, просто интересуюсь технологиями :)

        • Gorthauer87
          /#10751919

          Есть несколько адресов которые пуши рассылают, если заблокировать их, то пропадут вообще все пуши. Ущерб в деревянных сами считайте от такого.

          • gto
            /#10751945 / -2

            Ущерб — 0. Какую вы критически важную информацию через пуши получаете?

            • Gorthauer87
              /#10751981

              Если вы не пользуйтесь пушами, то это не значит, что другие такие же. Даже тут немало статей было о том, как использовать пуши в вашем бизнесе.

              • gto
                /#10752015

                Так а в чём метериальный ущерб-то? Функционал пуша всегда дублируется через другие средства.

                • WraithOW
                  /#10752355

                  Другие средства денег стоят. Миллион пушей в firebase не стоят ничего, миллион смсок обойдется вам где-то в миллион рублей (сумма взята с первого попавшегося в гугле смс-гейта).

                  • gto
                    /#10752377

                    Зачем смс? Почему не через приложение напрямую?

                    • sumanai
                      /#10752431

                      Поднимать свои сервера, высаживать батарейку смартфона работой приложения в фоне? Да вы сами взвоете от разрядки за пять часов в ноль.

                      • gto
                        /#10752475 / -1

                        Еще немного «зачем»: зачем работать приложению в фоне? Если пользователь его прикрыл, так и нечего ему фонить. Следующий раз откроет — посмотрит. Все эти пуши это определёный, не критический, уровень удобства, не более. Если же для вашего приложение это прям критично, то у вас проблемы с архитектурой.

                        • sumanai
                          /#10752499 / +1

                          Да я понимаю, вам уведомления не нужны, либо вы открыли приложение мессенджера и в нём, либо вас нет вообще, и вы конечно же не проч переключать разные мессенджеры только для того чтобы проверить, нет ли там чего нового. Может вам ещё СМС по требованию сделать?

                          • gto
                            /#10752513

                            смс оставьте. оно для посылающего стоит денег, поэтому используют его обдумано.

                            • sumanai
                              /#10752547

                              Мне иногда казалось, что по СМС я получал больше спама, чем по email. Сейчас в спаме один МЧС да сбер с уведомлениями об автоплатеже (обдумано? ни капли), так что сейчас до мыла не дотягивает.

                            • struvv
                              /#10754081

                              файлы тоже по смс высылать?

                        • iig
                          /#10752507 / +1

                          У всех мессенжеров проблемы с архитектурой, похоже.

                          • gto
                            /#10752531

                            а вы отключите пуши, и сразу поймёте, есть проблемы или нет.

                            • c4boomb
                              /#10753555 / +3

                              А вы, отключите себе унитаз, это

                              определёный, не критический, уровень удобства, не более.

                              и ходите в лес, или в дырку во дворе, или в речку.

                        • roscomtheend
                          /#10755881

                          Чтобы не пропустить уведомления (представляете, некоторым оно для работы нужно, а не только для котиков).


                          у вас проблемы с архитектурой

                          Если пользователю нужно держать открытым приложение, которое непрерывно нагружает сервер левыми запросами, то проблема с архитектурой у вас (или вас заморозили 25 лет назад, когда другого способа не было, что не отменяет кривой архитектуры).

                    • struvv
                      /#10754079

                      в андроид операционка погасит твоё приложение и оно порвёт коннект.

                      Кроме того современные версии андроида насколько помню будут твоё приложение наоборот прессовать в фоновом режиме, упаковывая запуск интентов в блок, который выполняется очень редко, чтобы оно не насиловало сеть и не трогало батарею.

                      Китайские андроиды вообще могут вырубить приложение, которое озверело и держит подключение.

                      Поэтому ты просто потеряешь нормальную работу мобильного приложения.

                      Ну и да, в iOS нет прямого фонового режима, приложение в фоне работать не будет вообще в общем случае. IOS сильно опирается на APN и её поломка вызовет по сути поломку айфонов

                • AotD
                  /#10752373 / +1

                  Уведомления от банк-клиента, одноразовые пароли, любые уведомления не через СМС.
                  Пуши являются триггерами для приложений сходить в API и получить порцию свежих данных. С одной стороны — никакого материального ущерба. С другой — деградация функциональности любого приложения так или иначе их использующего.
                  Иногда можно обойтись без пушей — раз в N секунд ходить на сервер с вопросом «есть чо новое?», но это повышенная нагрузка на API и высаживание батареи девайса. Ну либо заходите в свой инстаграм, почту, ВК<подставить название приложения дергающего данные из интернетов> и раз в 5 минут обновляйте ленту сами.

                • DarkWanderer
                  /#10752393 / +1

                  Например, подтвердения операций в мобильном банке Райффайзена идут через пуши. Переключение на СМС будет прямыми финансовыми затратами, потому что операций очень много

                • braineater
                  /#10752947

                  Как пример любая фритуплей игра с пуш-сообщением «Супер акиця, только сегодня купи N золота и получи M золота в подарок». Нет пушей, следовательно меньше покупок, следовательно потери денег. Gorthauer87 вроде не писал что это ущерб для пользователя. И это только один пример, что быстро в голову пришло.

            • Bonio
              /#10751991

              Множество приложений получают уведомления через push, тысячи их, например тот же whatsapp. Если заблокировать все адеса push серверов, на телефон перестанут приходить уведомления от таких приложений.

            • struvv
              /#10754065

              лягут все мобильные приложения, которые опираются на пуши — а именно банк клиенты, вконтактик, мессенджеры итд. Телега при этом может быть обладает ещё и какой нибудь dht реализацией и может оказаться что после блокировки пушей телега работать будет, а остальное — нет

            • roscomtheend
              /#10755861

              Банк-клиент, например. Ущерб 0 только для получающих наличку в кассе РКН.


              Почему не через приложение напрямую?

              Вы только что заблокировали пуши. Ущерб — разработка приложения, поддержание серверов для постоянного опроса. 0 рублей ущерба — так понимаю вы готовы подарить всё это нуждающимся (подсказка — их много, очень)

        • sumanai
          /#10751925 / +1

          Значит, если заблокировать пуши, то клиенты не будут знать адреса серверов.

          А так же последних новостей, обновлений софта и всего остального, что использует пуши на смартфонах.

          • struvv
            /#10755961

            адреса сервером они могут по dht узнать

            • sumanai
              /#10756367

              Конечно. От блокировки пушей пострадает всё, кроме ТГ.

    • GennPen
      /#10751067 / +1

      Или в серверах DNS есть какие-то механизмы для работы с несколькими IP по одному доменному имени?
      Если не ошибаюсь, то с самого начала существования DNS такие механизмы есть.

      Например
      >nslookup google.com
      TхЁтхЁ: UnKnown
      Address: 192.168.1.1

      Не заслуживающий доверия ответ:
      Lь : google.com
      Addresses: 2a00:1450:4010:c0a::8a
      173.194.221.139
      173.194.221.138
      173.194.221.113
      173.194.221.101
      173.194.221.100
      173.194.221.102

    • antonksa
      /#10751097

      Обычно дополнительно подымают экземпляры, которые обрабатывают бизнес-логику, генерят какие-то странички — в общем взаимодействуют с пользователем. Перед всем этим хозяйством ставят балансировщик/ки и он имеет постоянный/ные IP, а уже за его спиной куча этих инстансов. Когда они подымаются — у балансировщика обновляются таблицы балансировки и он начинает распределять запросы по новым экземплярам.

      • Andy_Big
        /#10751113

        Перед всем этим хозяйством ставят балансировщик/ки и он имеет постоянный/ные IP, а уже за его спиной куча этих инстансов.

        Да, про подобные механизмы я знаю, но тут достаточно заблочить адрес балансировщика чтобы вес сервис для пользователей пропал.
        Но и все равно остается вопрос с адресами этих инстансов, которые за спиной балансировщика — он же должен знать их IP. Или их IP должны резолвиться DNS-серверами. А если эти IP будут непредсказуемо меняться несколько раз в день из пула в десятки тысяч, то как это может работать — не представляю.

        • PastorGL
          /#10751127

          Да легко. Инстанс поднимается, и сразу пишет свой IP в базу, например, как часть скрипта разморозки. Откуда её и читает балансер. А когда инстанс дохнет, балансер может это прочухать периодическим опросом, например, и вынести запись из базы.

          • Andy_Big
            /#10751151

            Инстанс поднимается, и сразу пишет свой IP в базу

            Да, я уже и сам сообразил что-то подобное :) Торможу, спать пора.

            • urtow
              /#10752999

              Это называется Service Discovery

        • inkvizitor68sl
          /#10751139

          Да легко. Простейший пример — риал (то, что за балансером на HA-языке) может ходить в балансер с токеном и добавлять себя в соответствующий пул сам. Уязвимая схема, конечно, но вариантов autodiscovery достаточно.

  5. inkvizitor68sl
    /#10751077 / +1

    > И ответ на 1) звучит так: Для Амазона попросту невыгодно
    Почти. Только всё проще — амазону в принципе запрещено санкциями общаться с представителями РКН по каким-либо вопросам.

    • gto
      /#10751089 / -1

      Раскажите это ребятам из Zello.

      • inkvizitor68sl
        /#10751095

        На тот момент санкций не было. Да и не собирался их никто выселять, если внимательно почитать. Перестать скакать по адресам — попросили, да.

        • PastorGL
          /#10751123

          Мы не знаем подробностей, но звучит вся эта история так, как будто Зелло выпросило себе много Elastic IP и постоянно по ним скакало. Это на самом деле свинство.

        • gto
          /#10751135

          Так на этот момент тоже санкции только против Жарова, а он же не один там жарит. Тем более мы же говорим не о выселении, а об ощении с РКН. Амазон просто посчитал копеечку и решил не заморачиваться.

          • inkvizitor68sl
            /#10751147

            Санкции распространяются и на подконтрольные людям из последнего списка компании. Почитайте про русал.

            • ColorPrint
              /#10751769

              А РКН уже частная компания что ли? )

            • nidheg666
              /#10751967

              на самом деле соль получается в чём… РКН таки надавил на амазон, что бы обезвредить зелло. амазон не знакомы с нашими методами и поэтому подумали что один раз не жалко. РКН же почувствовали слабину, и теперь долбят на постоянке.

              амазону не выгодно соглашаться не из за санкций, а из за того что тогда они согласятся с возможностью РКН их шантажировать. экономически и политически санкции тут маловероятно что имеют отношение.

  6. gto
    /#10751083

    Я бы на месте РКН наоборот заворачивал бы побольше трафика на aws инстасы Телеграма. Как правильно сказано в статье, ресурсы это деньги, а в амазоне, к тому же, не малые.

    • MaxPlutonium
      /#10752395

      И как это можно было бы сделать?

      • gto
        /#10752555

        пакеты на блоке не отбрасывать, а менять получателя. серверам всё-равно прийдётся их получать и обрабатывать.

        • sumanai
          /#10752571

          Спуфинг? Это незаконно.

          • gto
            /#10752601 / -1

            вообще это адресс транслейшн.

            • sumanai
              /#10752729

              NAT это когда один адрес внутренний, или приватный, а другой внешний.

              • gto
                /#10752785 / -1

                нет, NAT это когда клиент пакет с одними адресами собрал, а рутер их на другие поменял (см. DNAT, SNAT, а есть еще PAT).

                • sumanai
                  /#10752815

                  А что тогда? Выдумали какую-то фигню непонятно зачем.

                  • gto
                    /#10752873

                    Вы о чём? NAT, network address translation, замена адресов 3-го уровня. А адреса у нас бывают отправителя (source, поэтому SNAT) и получателя (destination, поэтому DNAT). Такую вот фигню придумали сетевые инженеры на заре интернета, чтобы ipv4 адреса быстро не заканчивались, но не помогло. IPv6, по идее, делает NAT ненужным, кроме особых случаев. Поэтому NAT6 всё-таки еще существует.

                    • sumanai
                      /#10752921

                      Хорошо. И как это относится к «заворачивал бы побольше трафика на aws инстасы Телеграма»?

                      • gto
                        /#10752951 / -1

                        Менял бы адреса получателя на адреса из as aws на которых были замечаны инстанцы телеграма. Чтобы побольше клиентов подключалось к ним, чтобы телеграмщикам это чуть больше денег стоило.

                        • sumanai
                          /#10752961 / +1

                          Так это и есть спуфинг. Никто о такой замене не просил.

                          • gto
                            /#10753005 / -2

                            Спуфингом это можно было бы назвать, если бы он на себя замыкал. А так это оптимизация трафика. Ближе к QOS. Этим же ваш провайдер занимается когда ваши локальные адреса в интернет адреса переделывает.

                            • sumanai
                              /#10753023

                              Я до сих пор не могу понять, к чему всё это, и как оптимизация трафика связана с «побольше трафика на aws инстасы Телеграма». Какой трафик вы собрались туда направлять, с какого перепуга?

                              • gto
                                /#10753085 / -1

                                Ну, давайте разбираться. Оптимизацией трафика это всё дело можно назвать официально. В реале же запросы с телеграм клиентов которые идут на сервера дешёвых провайдеров направлять на адреса инстанций телеграма на амазоне вместо их блокировки.

                                • sumanai
                                  /#10753095 / +1

                                  Если бы так легко было определить запросы от ТГ, никто бы не мучился с банами ни в чём не повинных подсетей.

                                  • gto
                                    /#10753131 / -2

                                    А чего там мучиться, ставите себе телеграм и ловите конфиги которые он вам присылает и ип из конфигов заворачиваете.

                                    • iig
                                      /#10753439 / +1

                                      А чего там мучиться, ставите себе телеграм и ловите конфиги

                                      Ставьте себе 10000 экземпляров телеграма, размещайте в разных сетях, настраивайте, заводите 10000 кодов из СМСок… Настроили? Начинайте ловить ;)

                                    • vedenin1980
                                      /#10753445

                                      То что вы предлагаете, по сути DDOS на гос.уровне. За такое вполне могут инет кабель обрубить со стороны Запада, назначить штрафы, или в свою очередь DDOSить будут критичную инфрастуктуру в РФ (банки, гос.сайты и т.п.) Это по-сути уже полноценная кибервойна будет.

                            • iig
                              /#10753033

                              Странную схему вы придумали.
                              Хотите предложить кому-то (не РКН, у него нет этого оборудования) самовольно направить некий траффик по неким адресам.
                              То есть хотите, чтобы чьи-то запросы с котиками спамили чьи-то сервера?

                              • gto
                                /#10753113

                                Идея в принуждении к использованию экономически невыгодного варианта. Если развивать идею, то РКН мог бы блокировать всё кроме амазона. Знаете же, что про амазон говорят: «Когда бюджет фирмы в AWS достигает 100к они присылают специалиста, чтобы помочь оптимизировать расходы, когда бюджет достигает 1М они не присылают никого, они знают, что вы уже никуда не денетесь»

                                • sumanai
                                  /#10753179

                                  А разве у ТГ есть ещё хостинги кроме Амазона? На других хостингах только прокси. То есть нагрузку вы никак не повысите.

                      • Mitch
                        /#10754075

                        То есть, организовал бы DOS атаку?

    • iig
      /#10752411

      2019 год, из прессы:
      Хакеры из России DOSят сервера Amazon. IP адреса хакеров

      принадлежат
      допустим, mailru.

    • roscomtheend
      /#10755867

      И как это сделать (подсказка — на месте РКН у вас только список для блокировки), провайдерам это тоже не упало, осуществлять DOS самолично — малоэффективно (забанят как досеров и на этом закончится) и можно огрести, т.к. законности ещё меньше, чем в блокировках (прокуратура санкции на хулиганство не давала).

  7. Happy_Forever
    /#10751101

    то примерно половину суток, пока в Западном полушарии день, тебе надо чуть ли не вдвое меньше мощностей, чем другую половину суток, когда день в Азии.

    И половина экземпляров <...> сервиса просто убивается самим облаком по расписанию, когда Америка ложится спать. А на следующий день при росте нагрузки оно <...> их снова поднимет.

    Скажите пожалуйста, здесь, вероятно, ошибка в тексте? Одно другому противоречит, т.к. когда Западное полушарие освещено и максимум количества людей активны, то нужно больше мощностей.

  8. KostaArnorsky
    /#10751221

    Вообще-то Amazon давно уже умеет выделять кастомные пулы адресов под клиента: docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-ip-addressing.html
    Так что техническая возможность изолировать Телегам есть, только с чего бы это им вдруг делать.

    • razielvamp
      /#10751315 / +1

      При создании VPC создается личный пул с локальными IP адресами. Глобальные IP с акаунтом не связаны, собственно, как там и написано.

      • KostaArnorsky
        /#10754077

        Там же:

        If you require a persistent public IP address allocated to your account that can be assigned to and removed from instances as you require, use an Elastic IP address instead.

        Т.е. есть все необходимые технологии, чтобы окуклиться, это не техническая проблема, как описано в статье.

        • PastorGL
          /#10754273

          Публичный IPv4-адрес штука ныне дефицитная, поэтому иметь для каждого виртуального экземпляра таковой на постоянной основе, работает он сейчас или нет, большая роскошь — и стоит денег (более того, в любом дата-центре Амазона постоянных адресов тебе дают всего 5 штук, и увеличивают этот лимит ну с очень большим скрипом).

          — это я как раз про Elastic IP говорю.

  9. Dmitri-D
    /#10751335 / +1

    Есть еще один важный момент, к сожалению упущенный в этой статье.
    Теоретически Амазон мог бы выгнать Телеграм и даже пойти на сотрудничество с РКП (как правильно, всё-таки — РК позора или надзора?). Это было бы, на первый взгляд, оправданное бизнес-решение, ориентированное на прибыль — потеря всего российского рынка vs потеря 1 клиента. Так в чём же дело? Дело в репутации. Как бы там не виделось в России, в Америке СМИ играют одну из ключевых ролей и общественное мнение вполне может обратить нынешних клиентов Амазона против самого Амазона, если за Амазоном будет признаны, скажем так, какие-то непопулярные действия. Второе — это вопрос внутрикорпоративной политики. Если в компании изначально постулировались свободомыслие и ориентация на прогресс, очень сложно продолжать мотивировать сотрудников в этом ключе, если дела начнут резко расходиться со словами. Третье. Если американская компания будет уличена в коррупции, или, например, в гонениях на свободу — ее не составит большого труда засудить в американском же суде, несмотря на то, что действия происходили не только на территории США.
    Мне очень интересно о чем там переговаривается Гугл с РКН (или всё-таки РКП?) и как гугл собирается обходить все эти острые углы.

    • Fatal1ty_93_RUS
      /#10752005

      Мне очень интересно о чем там переговаривается Гугл с РКН (или всё-таки РКП?) и как гугл собирается обходить все эти острые углы.

      Будут всячески идти наповоду у ркн, лишь бы не потерять рынок. Да и им не в первой являться большим бэкдором для государства

  10. LAG_LAGbI4
    /#10751471

    Объясните чайнику, а какой механизм разблокировки ip и доменов? Ведь доменные имена оплачиваться на год обычно, через год владелец может смениться. Новый владелец должен доказывать что он не верблюд?
    И ещё вопрос. Если я буду админом заблокированного сайта, я могу на днс сервере прописать соответствие с ip гугла. Получается гугл тоже будет заблокирован?

    • PastorGL
      /#10751647

      Это один из тех моментов, которые не продуманы от слова совсем. Сейчас в блоклисте несколько тысяч доменных имён, которые доступны для регистрации кому угодно. И ими вполне можно так злоупотребить. Другое дело, что большая часть таких доменов в зоне .ru, и регистраторы могут самостоятельно вести какой-то свой реестр и отказывать в делегации. Вероятно, такая практика имеет место.

      • Goodkat
        /#10751811

        Было около года назад — начали массово регистрировать заблокированные домены и указывать в них адреса разных сервисов, заблокировали таким образом много чего, платёжные системы и т.п. В ответ ввели белые списки неприкосновенных.

        • sotnikdv
          /#10751969

          Т.е. все таки белые списки есть, но далеко не для всех, т.к. нет механизма в него включиться?

          И можно так все еще «гасить» конкурентов или тех, кто еще не в белом списке через РКН? Прикольный инструмент.

          • Immundissime
            /#10753493

            Белые списки как ввели так и отменили опосля. Уж не говоря о том что их введение через постановление исполнительного органа (РКН) противоречит формулировке федерального закона, что как бы само по себе говорит об их легитимности.
            Многие провайдеры собственно проигнорировали эти белые списки. Юридической значимости эти постановления против закона не имели.

      • prs123
        /#10751889

        А можно, пожалуйста, узнать, как они становятся доступными для регистрации? Ведь DNS записи то остаются или регистраторы при проверке на свободность домена просто спрашивают сервер, который резолвится?

        • gto
          /#10751911

          Когда срок подходит регистратор из своего каталога запись удаляет и домайн становится свободным.

    • kvarkicn
      /#10751885 / +1

      Если я буду админом заблокированного сайта, я могу на днс сервере прописать соответствие с ip гугла. Получается гугл тоже будет заблокирован?

      Именно таким образом в прошлом году клали сервера самого позора, какие-то правительственные в довесок. Брали и прописывали в ДНС заблокированного домена «левые» для этого сервиса ip. После этого и ввели белые списки, насколько помню
      P.S. жми F5 до отправки

  11. potan
    /#10751487

    «Звучит жёстко, но это, к сожалению, бизнес.» — а может к счастью?

  12. fireSparrow
    /#10752321

    «можно только уйти под землю, чтобы их никогда не видеть…»

    Нет ли тут скрытого призыва похоронить РКН?

    • Areso
      /#10752483

      Хуже. Тут призыв сделать [РосКомНадзор] РКН-у.

  13. sfinks7
    /#10752397

    Кто не захочет терять деньги на рашен трафике — скорей всего это будут русскоязычные сервисы уйдет и не будет платить за хостинг амазону и гуглу, альтернтив хостингов и дата центров много в мире которые дают один айпишник одному владельцу.И все будет работать.Не вижу проблем.

  14. malishich
    /#10752599 / -18

    Последний абзац вообще некорректен. РКН воюет против деструктивной деятельности на территории вашего же государства. Не понимаю, у вас (граждан РФ) возможность создать свой российский аналог «телеграм» и разместить его у себя в стране на ваших датацентрах. В передаче «ключей» ФСБ для чтения переписки вообще не вижу проблем, пусть читают, это их работа. И возможность забрать личную переписку граждан РФ у АНБ США просто исчезнет. Или вы думаете что АНБ не занимается т.н. MITM-прослушкой на серверах стоящих в их же стране? Или вы уверены что американском ПО нету закладок скрытно отправляющих секретный ключ по нужному адресу при установлении сессии? Или вот нечаянно вы обсудили что-то важное для страны, и вы уверены что завтра его не получат США и не используют против страны?

    • fotofan
      /#10752741 / +7

      Я сегодня ехал и полиция останавливала многих. Но один на белом Х6 с номером 007 только открыл дверцу, закрыл и поехал дальше. Вот такой товарищ имеет право, а точнее возможность купить ВСЮ вашу переписку и разговоры. А завтра ваш бизнес становится его дочерней структурой. В США всё немного сложнее, там законы работают

    • Glays
      /#10753345

      Вы знаете, если вы обсудите что-то важное даже внутри страны, это можно будет использовать против вас. Потому что это что-то, например, находится в списке информации защищаемой государством, но список этот тоже является секретной информацией, к которой у вас доступа нет.

    • tweenfaster
      /#10753419 / +1

      Считаю «телеграм» «своим российским» и в высшей степени горд что его создали — русские разработчики, отстаивающие наше право на неприкосновенность тайны личной переписки. Хабр и гиктаймс вон тоже с российских доменов и серверов переехали подальше, что же их тоже считать не нашими и не своими? Просто с таким правительством как в россии по другому не возможно, не хочешь чтобы отжали — создавай и живи в ругой стране, что собственно Дуров, наученый горьким опытом и сделал.

    • danfe
      /#10754393

      Не понимаю, у вас (граждан РФ) возможность создать свой российский аналог «телеграм» и разместить его у себя в стране на ваших датацентрах.
      По мне Telegram и так вполне российский. Другое дело, что вести бизнес в России часто бывает небезопасно. Как российскому пользователю, мне спокойней, когда мои данные хранятся подальше от наших датацентров.
      В передаче «ключей» ФСБ для чтения переписки вообще не вижу проблем, пусть читают, это их работа.
      ФСБ нам долгие годы всячески показывала, что? они на самом деле считают своей работой (внезапно, это ни разу не жизни и безопасность людей).
      Или вы думаете что АНБ не занимается т.н. MITM-прослушкой на серверах стоящих в их же стране?
      АНБ действительно занимается разными непотребствами, народу это не нравится, с ними судятся. Спецслужбы любят распускать руки, а общество должно давать им по рукам. Для этого, в частности, и нужны независимые суд, СМИ и прочие демократические инструменты. Проблема (наша) в том, что в США они как-то работают, а у нас — нет. :-(

    • braineater
      /#10755021

      Страннаая идея. Мы разбомбим этот город чтобы его не разбомбил враг. Враг, при этом, может и вовсе не в курсе что он собирался что-то бомбить. В общем с такими друзьями враги не нужны.

    • roscomtheend
      /#10755885 / +1

      У вас почуму-то вместо "ведёт деструктивную деятельность" получилось "борется". T9?

  15. dude_sam
    /#10752641

    educated guess — эмпирический опыт
    не?

    • gto
      /#10752667

      эмпирический опыт — тавтология. тут скорее компетентная догадка, хотя как-то не по-русски звучит.

      • OYTIS
        /#10753265 / +3

        По русски — «научный тык».

  16. DarkByte
    /#10753015 / +1

    Возможно кому-нибудь будет интересно, составил список заблокированных и не заблокированных подсетей амазона, с группировкой по локации и сервису.

    • pawellrus
      /#10754269

      Очень интересно. Схоронил в таблице маршрутизации роутера. Расскажите, как именно составляли пожалуйста.

  17. Salamur
    /#10753491

    Ксеркс 1 высек море потому что шторм утопил переправлявшиеся войска. Роскомнадзор пытается отменить (плюёт в ) облака потому что несколько капель воды из этого облака отказались упасть на землю перед ним.

  18. gapel
    /#10753715 / +1

    Хорошее логичное объяснение, спасибо. Тем временем в интернет я уже выхожу через VPN потому что у меня уже накопился список любимых сайтов, который пал под ковровыми ударами РКН по площади Амазона.

  19. ra3vdx
    /#10754255

    Роскомнадзор, блокируя облачные сервисы, воюет с технологией, на которой строятся облака. Со скриптами. С алгоритмами. Это всё равно что воевать против законов физики, или пытаться дать пинка стихии: предельно глупо и бессмысленно. Невозможно победить облака и ветер, можно только уйти под землю, чтобы их никогда не видеть…


    Из легенды о персидском царе Ксерксе, который в 480—479 гг. до н. э. возглавил поход персов в Грецию, окончившийся поражением. Когда готовилось сражение при Саламине, Ксеркс приказал устроить понтонный мост, чтобы скорее перебросить свои воинские силы к месту битвы. Но поднялся ветер, мост был разрушен. Разъяренный царь приказал наказать море, и персидские палачи, бывшие при войске, высекли морскую воду. Море было «наказано».