Роскомнадзор вроде бы «полностью» заблокировал ютьюб, вотсап и еще десятки ресурсов. Эти ограничения что, вообще никак не обойти? Скорее всего, вы их даже не заметили! Особенно если не забыли установить VPN

10 февраля телеграм-канал «Эксплойт» со ссылкой на источники сообщил, что домен youtube.com «полностью пропал из DNS-серверов Роскомнадзора». Эксперты вскоре уточнили, что речь идет о серверах Национальной системы доменных имен (НСДИ). На следующий день проект «На связи» провел небольшой эксперимент и обнаружил исчезновение еще 13 доменов, большинство из которых (включая домены вотсапа и инстаграма) ранее уже были официально заблокированы в России.

Дорогие читатели! Российские власти, похоже, решили окончательно сломать телеграм. Что делать? Срочно скачайте приложение «Медузы». Оно умеет обходить блокировки — VPN не нужен!

В итоге эксперты назвали действия Роскомнадзора новым типом блокировок. Правда, они толком не работают.

По сути очень просто: удаление записи конкретного доменного имени приводит к тому, что браузер пользователя не может открыть страницу этого сайта, потому что не знает его IP-адрес.

А чтобы продолжить объяснение, нам понадобится термин «рекурсивный DNS-сервер».

Так называют DNS-сервер, который обрабатывает пользовательские запросы. Чтобы найти IP-адрес искомого домена, он может рекурсивно обращаться к авторитетным DNS-серверам, пока не найдет окончательный ответ.

Авторитетный DNS-сервер хранит актуальные DNS-записи для определенной зоны и отвечает на запросы о ней. Такие серверы выстроены в строгую иерархию из корневых серверов, серверов верхних доменных зон (вроде .ru или .io) и серверов конкретных доменов.

Например, рекурсивный DNS-сервер спрашивают о домене www.example.com, а он ничего о нем не знает (не находит никакой информации в своем кеше). Тогда он сначала обращается к корневым серверам, чтобы получить информацию о зоне .com. Потом — к серверу .com, чтобы узнать об example.com. И лишь после этого идет к авторитетному DNS-серверу домена example.com, чтобы получить IP-адрес домена третьего уровня www.example.com.

Рекурсивный DNS-сервер можно сравнить с телефонным справочником. В таком справочнике по имени человека или названию организации ищут номер. А в запросах к DNS-серверу указывают искомое доменное имя — и получают в ответ один или несколько соответствующих IP-адресов.

При том, что информация о youtube.com и других доменах пропала именно из рекурсивного DNS-сервера НСДИ. То есть Роскомнадзор попросту стер десятки конкретных «номеров» из собственного «телефонного справочника».

Это, наверное, самый примитивный тип блокировок. Так, к примеру, устроены многие системы «семейных» фильтров интернета, когда родители вручную прописывают специальные DNS-серверы на устройствах детей, чтобы заблокировать им взрослый контент.

По нескольким причинам.

• Во-первых, чтобы этот фильтр Роскомнадзора заработал, сейчас нужно самостоятельно перейти на сервера НСДИ. Пользовательское устройство, как правило, по умолчанию использует DNS-сервер, предоставленный интернет-провайдером. Это происходит автоматически. Мы вручную проверили российские рекурсивные DNS-серверы «Ростелекома», грозненского «Вайнах Телекома» и «Яндекса». Все они прилежно выдавали IP-адреса доменов, заблокированных на серверах НСДИ.
• Во-вторых, такую блокировку можно легко обойти сменой DNS-сервера. Например, на публичные от Google (8.8.8.8), Cloudflare (1.1.1.1), Quad9 (9.9.9.9) или OpenDNS (208.67.222.222). Причем многие веб-браузеры позволяют использовать их, не меняя настроек всей операционной системы. А в случае блокировки публичных серверов можно запустить собственный локальный рекурсивный DNS-сервер на своем компьютере.
• В-третьих, такое решение попросту избыточно. Все проблемные для российских властей домены либо уже блокируются другими способами, либо замедляются до степени смешения с блокировкой.

Мы не знаем. Может быть, используют, но когда не находят там информацию об искомом домене, ищут уже за пределами НСДИ. Либо какие-то из провадейров все же учитывают ограничения DNS-серверов, просто мы их не обнаружили.

Вообще Национальная система доменных имен, впервые упомянутая в законе о «суверенном интернете» в 2019 году, изначально позиционировалась как резервная. На случай внезапного удаления корневыми серверами информации о российских доменных зонах .ru, .su и .рф. Тогда для восстановления доступа к сайтам в этих зонах достаточно было бы переключиться на DNS-серверы НСДИ.

Кстати, нынешние блокировки Роскомнадзора вы можете потестировать сами.

Нужно настроить свою операционную систему на использование одного из этих DNS-серверов:

• 195.208.4.1 (a.res-nsdi.ru)
• 195.208.5.1 (b.res-nsdi.ru)

Пошаговые инструкции для десктопных и мобильных операционных систем, а также роутеров можно найти в инструкции «Яндекса». Только замените там IP-адреса.

И да, при включенном VPN этого может быть недостаточно.

Потому что надежные VPN-сервисы используют собственные DNS-серверы, чтобы не допустить утечки информации о сайтах, которые собирается посетить пользователь.

Но часто они разрешают клиентам прописывать в настройках другие DNS-серверы. То есть при желании можно даже при включенном VPN испытать на себе блокировки, предусмотренные в НСДИ, — и остаться без ютьюба, фейсбука и инстаграма.

В заключение еще раз повторим нашу главную рекомендацию: пожалуйста, обзаведитесь надежным VPN на всех своих устройствах — это пока не нарушает никаких российских законов и должно позволить вам сохранить доступ к телеграму, вотсапу и ютьюбу.