Блокировка Google — эпическая бессмыслица

Долго, долго крокодил море синее тушил. Пирогами, и блинами, и сушёными грибами

С 23 апреля 2018 года Роскомнадзор начал частично блокировать некоторые сайты Google. Это например www.googletagmanager.com, fonts.googleapis.com, mail.google.com, www.youtube.com, play.google.com, google.ru, www.google.ru, google.com, www.google.com, drive.google.com, docs.google.com, s.ytimg.com, www.google-analytics.com, googleads.g.doubleclick.net, translate.google.com. Днем 8 мая 2018 Роскомнадзор снял все блокировки сайтов Google. В пике было 53 выявленных нами адреса. Однако вечером 15 мая 2018 Роскомнадзор вновь заблокировал 2 IP-адреса сайтов Google. Днем 18 мая Роскомнадзор опять снял все блокировки сайтов Google.

Почему это бессмысленно и беспощадно
Принцип работы сайтов Google

Сайты Google не работают по классическому принципу, когда несколько фиксированных IP-адресов привязываются к одному сайту. У компании Google непрозрачная сложная система веб-серверов. Это связано и с регулированием доступности сайтов, и с распределением нагрузки, и с миграцией между серверами для штатной или аварийной замены. Обращаясь к сайтам google.com и www.youtube.com с одного устройства можно иногда обращаться к одному тому же IP-адресу, а за соседним компьютером в то же время это будут разные IP-адреса. А через час — наоборот. Блокировка нескольких IP-адресов сайтов Google выглядит как периодическая недоступность какого-нибудь сайта или сервиса Google, включая сервисы «веб-библиотек», которые могут использоваться на совершенно несвязанных с Google на первый взгляд сайтах. Блокировка единичных IP-адресов сайтов Google бессмысленна, она не решает ни одной практической задачи, которую можно представить.

Чуть более подробно о сайтах Google и IP-адресах
Очевидны следующие принципы соответствия IP-адресов и сайтов Google:
  • Google использует для своих сайтов несколько огромных подсетей;
  • подсети не полностью используются для этих сайтов, мы насчитали в общей сложности чуть более 3000 IP-адресов, которые Google использует для своих сайтов;
  • различные сайты Google используют несколько одинаковых подсетей;
  • сегментация распределения IP-адресов по сайтам слабая, почти все сайты могут использовать IP-адреса друг друга;
  • IP-адреса сайтов могут зависеть от времени, от географии, от самого сайта, от нагрузки на сайт.
Откуда мы берём IP-адреса сайтов Google:
  • составляем список «чувствительных» доменов сайтов и сервисов Google (дан выше) по нашему субъективному восприятию;
  • собираем российские подсети по базе RIPE (по ссылке - результат запроса к базе в формате JSON);
  • используя расширение протокола EDNS-Client-Subnet (флаг +subnet в команде dig), опрашиваем каждый домен из списка «от лица» случайно выбранных 1000 российских подсетей;
  • результирующее множество уникальных IP-адресов мы получаем по данным за несколько дней.

На картинке ниже Леонид Евдокимов попытался изобразить взаимовхождение IP-адресов сайтов Google, как это видно из России: кластеризация сайтов Google

Зачем Роскомнадзор блокирует адреса сайтов Google

Мы предполагаем, что Telegram использует так называемый domain fronting для получения какой-то информации из внутренних сервисов Google. Возможно это обращение к DNS. Работает это следующим образом — клиент (в данном случае Telegram) создает шифрованный канал с сайтом google.com, но уже по шифрованному соединению запрашивает сайт dns.google.com. Поскольку на этом этапе соединение уже шифруется, то узнать, что именно запрашивается, не представляется возможным. Такой «фокус» работает, только на веб-серверах с общим балансировщиком нагрузки для отдельных сайтов, что верно для внутренних сервисов Google. Спецификация явно рекомендует запрещать такие «фокусы», но даже в версии nginx из Ubuntu 16.04 (LTS) данный запрет не был реализован.

Отрицание

Поначалу Роскомнадзор вообще отрицал блокировку Google. Но данные нашего сайта, которые может проверить любой подготовленный технический специалист, не дали Роскомнадзору шансов занять твердую позицию отрицания:

Итог

Блокировка отдельных IP-адресов сайтов Google бессмысленна и беспощадна. Существовала гипотеза, что таким образом Роскомнадзор шантажирует Google, но после удаления 8 мая 2018 года всех IP-адресов сайтов Google, она рассыпалась. Создается впечатление, что Роскомнадзор сам не очень понимает, что он делает. Но последствия не очень волнуют надзорное ведомство.