четверг, 3 сентября 2015 г.

Рукосуи Казахтелекома и YouTube

Честно говоря, я даже в затруднении, как именно квалифицировать то, что недавно обнаружилось.

То, что YouTube регулярно спотыкается у конечных пользователей на отдельных группах клипов или вообще блокируется по всяким ерундовым поводам - в общем, ни для кого не новость. Обвиняют чаще всего кого угодно, но никто толком не понимает, что происходит.

Я думаю, у меня есть что сказать по этому поводу. Несколько проясняющее ситуацию.

Для начала, небольшое пояснение. Ютубовский CDN устроен достаточно нетривиально. По уникальному ID видео (11-значному) - например https://www.youtube.com/watch?v=BObFtnEYcaI -  вас выводит на временные back-end сервера *.googlevideo.com, с динамически сформированным именем, территориально ближайшие к пользователю. Эти ссылки действительны несколько часов. Потом устаревают.

Сервера *.googlevideo.com получают IP-адреса из динамических пулов Google, и, вообще говоря, должны принадлежать Google.

Одновременно существует такая вещь, как GGC - Google Global Cache - у которого есть младший брат, который крупный провайдер может поставить у себя. Главным образом с целью экономии трафика.

Однако, некоторые товарищи, которые нам совсем не товарищи, пытаются контролировать, что смотреть можно, а что нельзя. И ладно бы делали это корректно. Блокируя входную точку, однозначно идентифицирующую видео - https://www.youtube.com/watch?v=BObFtnEYcaI . 

Так как эти рукосуи не в состоянии технически блокировать URL под HTTPS (заметьте, я, в отличие от РоскомПозора, не заявляю, что это невозможно. То, что вы знаете - не равнозначно тому, что существует.), они пытаются это делать средствами блокирования IP или DNS-спуфинга.

Причем делают это обычно настолько топорно, что....

Впрочем, смотрите сами.


Часть серверов YouTube в Казахстане получает IP Казахтелекома, причем 95 и 178я сеть - DHCP-пул, они используются для раздачи IP части физических лиц и никаких серверов YT, разумеется, не содержат.



Причем Казахтелеком настроил свой DPI настолько коряво, что по всему миру эти сервера YT ресолвятся в телекомовские IP.






То, что эти IP принадлежат Казахтелекому, знает весь мир.





Иногда эти адреса отвечают на попытки коннекта, однако:


Посмотреть по-прежнему ничего нельзя.


Прокси-сервер при попытке просмотра видео фиксирует TCP_ABORT.



Господа казахтелекомовцы. В руки вам насрать.

Если вы хотите блокировать ролики - делайте это по URL. Не надо всему миру пол-Ютуба банить.

Подобный полупрофессионализм выглядит позорно и подтверждает факт, что интернет в стране вы цензурируете. Но хотя бы либо не врали - потому что IP-адреса вас с головой выдают - либо направляли на чужие адреса. Не принадлежащие крупнейшему провайдеру страны. А вообще надо блокировки осуществлять точечно и грамотно. А не так, как вы это делаете. Если уж вообще это делать.

И, самое главное, не врать. От должностных лиц вранье выглядит особенно отвратительно. Не Ютуб эти проблемы создает.

PS. И, кстати говоря, господа рукосуи - блокирование - особенно выборочное - ICMPv4/ICMPv6 противоречит RFC и ломает интернет. В руки вам насрать. Вы поняли?