Очередная блокировка части IP-адресов GitHub

    Вчера и сегодня часть IT-населения нашей страны (России) столкнулась с неожиданной проблемой, при попытке зайти н GitHub, чтобы, например, почитать pull-request или документацию к какой-нибудь библиотеке. Сайт долго тупил, после чего загружался без стилей, картинок и скриптов.



    Среди этой части населения оказался и я. Ситуация показалась знакомой. Действительно, зайдя в консоль браузера, я обнаружил, что вся статика отвалилась по таймауту. Ok. Посмотрим, куда ведет assets-cdn.github.com:

    $ host assets-cdn.github.com
    assets-cdn.github.com is an alias for github.map.fastly.net.
    github.map.fastly.net is an alias for prod.github.map.fastlylb.net.
    prod.github.map.fastlylb.net has address 151.101.36.133
    

    Ок. Поглядим внесен ли данный IP-адрес в единый реестр?



    Да, похоже, что внесен!

    О том же нам говорит и сайт Универсального сервиса проверки ограничения доступа к сайтам.



    Погодите-ка, 10 июня 2013? Что, решение суда дожидалось исполнения 3 года? 0_о

    Реестр Роскомсвободы говорит, что да:



    Немного погуглив по данному вопросу (и удивившись, что на хабраресурсах еще ничего не всплывало), нашел запись в ЖЖ с некоторыми дополнительными подробностями:
    Судя по всему, этой же CDN пользовалось в 2013 году какое-то интернет-казино, и наша Роскомцензура в далеком 2013-м решила заблокировать не хосты интернет-казино, а одним росчерком пера IPv4-адрес всего дата-центра CDN. Д..., б...! То есть, власть нас спасла от того, чтобы мы не проигрывали последние деньги в казино, параллельно заблокировав и ненужный с ее духовно-скрепной точки зрения GitHub.

    Оказывается, GitHub заблокирован на всей территории России Октябрьским районным судом Ставрополя. Районным судом, Карл! Получается, заблокировать любой сайт на всей территории РФ на DPI-оборудовании провайдеров теперь может абсолютно любой районный судья из любого субъекта РФ.

    Еще нагуглилось небольшое обсуждение на VK-страничке Роскомсвободы, из которого можно, в частности попасть на текст решения суда, и на страничку судьи, его вынесшего («Очень грамотный, тактичный и доброжелательный, С ТОНКИМ ЧУВСТОМ ЮМОРА»).

    В недрах комментариев к вышеуказанному ЖЖ-посту можно также найти решение данной проблемы (ну, кроме очевидных — использовать прокси или ssh-тоннель): гитхабовские CDN также имеют IP адрес 151.101.12.133, который в реестр не внесен. Таким образом, можно прописать его в /etc/hosts и радоваться жизни. Ну… Только по той же CDN раздаются еще аватарки, имеющие разные доменные имена, и, в чем самая подстава — некоторые страницы GitHub Pages. На момент написания этой статьи в моем /etc/hosts были:

    151.101.12.133  assets-cdn.github.com
    151.101.12.133  avatars2.githubusercontent.com
    151.101.12.133  avatars0.githubusercontent.com
    151.101.12.133  avatars1.githubusercontent.com
    151.101.12.133  avatars3.githubusercontent.com
    
    151.101.12.133  google.github.io
    151.101.12.133  kangax.github.io
    151.101.12.133  eslint.org
    

    Наверное, все-таки придется включать VPN…

    UPD 13.07.2016:
    Похоже, IP был исключен из реестра 12.07.2016. Так что Роскомнадзор, надо отдать им должное, не такой уж и нерасторопный.
    А Вас затронула _эта_ блокировка GitHub
    • 53%да470
    • 46.9%нет416

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Поделиться публикацией
    Никаких подозрительных скриптов, только релевантные баннеры. Не релевантные? Пиши на: adv@tmtm.ru с темой «Полундра»

    Зачем оно вам?
    Реклама
    Комментарии 57
    • +2
      Спасибо за информацию. Вчера наблюдал сей глюк с недоступностью assets-cdn.github.com. Сегодня так же. Понял что не глюк и полез в поиск.
      • 0
        В моем случае, локальный рекурсивный резолвер да «восьмерки» отдавали как раз незаблокированный ....12..., а DNSы провайдера и яндекса — заблокированный… Т.к. на устройствах хаос настроек DNS для различных экспериментов — как раз привел свои настройки в порядок…
        Ох уж эти флешбеки, тот сайт наверное уже давно не существует…
        • +7
          При этом в twitter РосКомНадзор всецело отрицал вину

          • +9
            Идиоты.
            • +3
              Сказочные ИДИОТЫ.

              Скоро допрыгаються, что каждый школьник в третьем класе будет интересоваться ТОР-ом… или Тунелями Через dns…
              • +3
                Торы и впны — костыли.
                Ну будет каждый школьник использовать его. И что? Заблокируют их. Построят русский фиреволл, что угодно.
                Неужели никто не понимает, что мы катимся в большую анальную жопу?
                • 0
                  Кажется, они выбрали путь отучить школьников интересоваться инетом. Нет интернета — нет умников!

                  Раньше наших ученых уважали за кругозор. С такими «сегодняшними» школьниками мы «завтра» будет, как при Петре, ввозить ученых из-за границы…
                  • 0
                    Импортозамещение наоборот?
                    Своих умных людей разгоняют разными способами (напрямую только не выселяют), а из-за бугра привозят?
                    Ну и вопрос сразу же — много ли ученых из Европы и СШП поедут к нам?
                    • 0

                      Да расслабьтесь, в нефтяной империи учёные не нужны. Ни свои, ни чужие. Умные слишком, мозги им не промоешь.
                      Если сами разъедутся, все только в плюсе.

                      • 0
                        Экспортозамещение.
                    • 0
                      Родителям штраф — казне прибавка.
                      • 0

                        Ну надо же как-то восполнять те 5×10^12 денег, правильно?


                        /s

                      • 0
                        Скоро допрыгаються, что каждый школьник в третьем класе будет интересоваться ТОР-ом… или Тунелями Через dns…

                        Как будто что-то плохое..

                    • +2
                      Картинка с гитхаба для теста.

                      image

                      • 0
                        Всё видно. Питер плюс Ломоносовский район (40+ км от города), два разных провайдера и мобильный Билайн — никаких проблем не замечал, только отсюда узнал. Чёрт, знал бы раньше, такая отмазка пропала :-)
                        • 0

                          А вот провайдер всея руси похоже блокирует но с переменным успехом. Детектится блокировка по TTL. RST пакет приходит с TTL 59 а когда блокировка не работает TTL 56.

                          • +6
                            # iptables -t raw -A PREROUTING -p tcp --sport 80 -m u32 --u32 "0x1E&0xFFFF=0x5010 && 0x60=0x7761726e && 0x64=0x696e672e && 0x68=0x72742e72" -m comment --comment "Rostelecom HTTP" -j DROP
                            
                            # iptables -t raw -A PREROUTING -p tcp --sport 443 -m u32 --u32 "4=0x00000000&&0x20=0x50140000" -m comment --comment "Rostelecom HTTPS" -j DROP
                            • 0

                              А для диких объяснишь? И можно ли это в Mikrotik запихнуть?

                              • +4
                                Ростелеком использует пассивный DPI, т.е. он подключен параллельно, вероятно, пассивным оптическим сплиттером, из-за чего он не может перехватывать отправляемый пакет как таковой, а может только подделать ответ от имени веб-сайта, который перенаправит на страницу-заглушку. Также DPI отправляет перенаправление только с TCP-флагом ACK, хотя обычно используются PSH, ACK. Размер TCP-заголовка тоже всегда равен 20 байтам. Правило iptables для HTTP проверяет TCP-флаги в пакете, пришедшем с 80 порта, его размер, и ищет «warning.rt.r» внутри пакета по заданному смещению. Если все совпадает, то отбрасываем этот пакет, и получаем настоящий пакет от сайта.

                                Для HTTPS DPI присылает Reset-пакет (флаги RST, ACK) с нулевым значением TCP-окна и нулями в IP Identification, flags и fragment offset. Такого в реальной жизни не случается, и мы можем отбрасывать все такие пакеты.
                                • 0

                                  Круто, спасибо. Это в firewall Mikrotik засунуть можно?

                                  • 0
                                    Понятия не имею, не пользовался ими.
                                    • 0

                                      Буду думать, спасибо

                                  • 0
                                    Шикарно, спасибо! Может кто-то сможет адаптировать эту магию для ipfw (os x)?
                                    • 0
                                      Блин, спалил малину — пофиксят. Такое нужно в личку писать.
                                      Но вообще — круто! Спасибо.
                            • 0
                              Не видно. Провайдер smile-net. Если не ошибаюсь, блокировщик билайна
                              • 0
                                Ростелеком, всё работает.
                                • 0

                                  Yota тоже блокирует.

                                  • 0
                                    Не работает, МТС домашний интернет, dns Яндекса.
                                    • –1
                                      Не было видно. Поменял настройки DNS с «авто», то есть провайдерских, на гугловский 8.8.8.8 — картинка проявилась. Что, впрочем, говорит о том, что провайдеры относятся к некоторым блокировкам халатно. Оппозиционные сайты они вполне себе блокируют и на уровне DNS-запросов, перехватывая их и выдавая свои адреса.
                                      • –1
                                        Блокировка вынесена на IP адрес — DNS провайдера просто не отдаёт заблоченный IP, возвращая альтернативные. Это наоборот, говорит о грамотном подходе. Они выполнили решение регулятора и при этом их клиенты не пострадали.
                                    • 0
                                      Так не в первый раз уже такой кретинизм, в прошлый раз «пострадал» Amazon.

                                      А так, думаю, что для разработчика лучше подойдет не VPN, а VPS с доступом по RDP — и работать удобно, и блокировки обходятся, и файлов никаких в России нет.
                                      • 0
                                        Сегодня утром внезапно заработали и github.com и github.io
                                        • +3
                                          Забавно будет, когда до каждого районного судьи дойдет масштаб его власти :D
                                          • +3
                                            Угу, а еще забавнее если нет. И будет лечить насморк веревкой затянутой на шее.
                                            Впрочем иногда обе стороны хороши, один пишет что-то бесполезное, но провокационное, с другой блокируют как умеют.
                                            • 0
                                              Лучше бы масштаб его незнания. Впрочем, когда это им мешало, они же не только в ИТ-тематике не разбираются.
                                            • 0
                                              Сходил я на antizapret.info. Мне очень нравится акция по беспроцентной оплате с tele2 (http://www.betsfon.com/ru/bonusy-i-aktsii/?utm_source=foninfo.org_bonus&utm_medium=foninfo.net_1&utm_campaign=mark), которую я нашел по ссылке: lp-02.fonbet2.info. Закрывалка сломалас!
                                              • +1

                                                Еще вот такой адрес в Hosts добавить можно


                                                151.101.12.133  help.github.com
                                                • 0
                                                  А он точно не работает? У меня Ростелеком и всё открывается.
                                                  • 0
                                                    У меня на домру не открывается
                                                • 0
                                                  Тупицы *.github.io заблокировали
                                                  • +1
                                                    P.s. Исправили, теперь не блокирует этот поддомен.
                                                  • +1
                                                    А я думал что это из-за наплыва людей в честь открытия исходников аполлона.
                                                    • +4
                                                      «Предложение! Запретить одежду. Террористы ж ее тоже носят. А еще скрывают в ней оружие.» — примерно так у них там мыли или как?
                                                      Как можно додуматься блокнуть CDN?
                                                      • +1
                                                        Китай вот заблочил и в ус не дует. Хочет CDN работать в Китае — должна прогнуться и поставить товарища майора на оклад, не хочет — найдутся другие желающие отдавать трафик в Китае.
                                                        • 0
                                                          У Китая аудитория раз в 20 больше и внутренняя конкуренция. Есть качественные аналоги зарубежным сервисам. А у нас с пришествием «Чебурнета» станет больше похоже на Северную Корею.
                                                      • –5
                                                        Аккуратнее с записями из /etc/hosts, а то прочитает статью товарищ майор и закроет статью. Такими-то темпами…
                                                        • +3
                                                          В вас уже развивается «самостоп»? Обход блокировок пока законен, даже Минкомсвязи это признаёт.
                                                        • +2
                                                          Не мог сегодня запустить ghci (интерактивную рабочую строку Haskell) через stack поскольку ему требовалось что-то подгрузить с raw.githubusercontent.com =\ Похоже vpn пора поднимать, ибо нафик такие сюрпризы надо.
                                                          • 0
                                                            Написал в техподдержку github'а — возможно при достаточном числе обращений они перестанут использовать этот IP. По крайней мере это более вероятно, чем снятие блокировки с Российской стороны в ближайшее время.

                                                            IP address 151.101.36.133 got blocked in Russia since July 6, 2016. As a result, some resources is unavailable:
                                                            assets-cdn.github.com
                                                            avatars*.githubusercontent.com
                                                            camo.githubusercontent.com
                                                            gist.githubusercontent.com
                                                            help.github.com
                                                            pages.github.com
                                                            raw.githubusercontent.com

                                                            It is possible not to use this IP (for Russian regions at least)?
                                                            • +1
                                                              А что делать, когда кончатся IP адреса? Это дикий костыль, ну очень временное решение.
                                                              • +2
                                                                А что делать, когда кончатся IP адреса?
                                                                Изолируют рунет от остального мира и/или введут белые списки гораздо раньше, к сожалению.

                                                                ну очень временное решение.
                                                                Временное решение — это прописывание в hosts альтернативных адресов и использование VPN. Эти меры работают «для себя» и их можно обеспечить своими силами за короткое время. Однако нужно добиваться нормального функционирования сервисов. Это можно сделать двумя способами: донеся до регуляторов, что они не правы (вялый шанс на успех) и дать обратную связь сервису для создания обходного решения, но действующего для всех.

                                                                Гитхабовцы знают о проблеме и, я думаю, решат её быстрее органов.
                                                                Hi Dmitry,

                                                                Sorry for the trouble. We are aware of reports that GitHub is unavailable in Russia. We are investigating and will update with more information when we have it.

                                                                Cheers,
                                                                Jamie

                                                            • 0
                                                              А что, тема для «органов», прикрыть сайт, по «законной причине» и «помочь в разблокировке».
                                                              • 0
                                                                А как быть с Mono?
                                                                • 0
                                                                  А где-нибудь этим тунеядцам клизму можно вставить? Ну что это такое? http://django-rest-framework.org/ тоже не открывается. Или дети идиго взялись блокировать всё самое лучшее, самое доброе, ради того чтобы блокираторы побыстрее устали разбираться с правомерностью и сделали кнопки заблокировать-разблокировать?
                                                                  • 0
                                                                    Интересно что послужило основанием для судебного процесса? Кто то проиграл зарплату сантехника и пошел жаловаться?
                                                                    • 0

                                                                      А какие еще IP имеют CDN Github'а?


                                                                      А то похоже 151.101.12.133 перестал работать....

                                                                      • 0

                                                                        ан-не… виноват.


                                                                        Это просто провайдер сертификаты подменяет… :(

                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.