Как обойти блокировку dns

Как школьники обходят интернет фильтры

Для доступа к запрещённым сайтам учащиеся используют специальные программы и несовершенства контент-фильтров. Мы рассмотрим девять способов обхода блокировок в школьной сети и дадим советы, как их предотвратить.

Учебные учреждения законодательно обязаны фильтровать интернет-трафик. Так, для соответствия 436-ФЗ и 114-ФЗ школы устанавливают контент-фильтры. С одной стороны они позволяют оградить учащихся от опасного контента, с другой — помогают проходить прокурорские проверки и избегать штрафов.

Однако наличие в школе сервиса интернет-фильтрации — не панацея. Школьники используют различные лазейки для обхода контент-фильтров. Это позволяет учащимся заходить на сайты с порнографией, наркотиками и прочим запрещённым контентом.

Рассмотрим способы обхода блокировок и методы противодействия им.

1. Обход блокировки сайтов через прокси-сервер

Прокси-сервер — это посредник между компьютером пользователя, откуда поступает запрос и системой интернет-серверов. Основное назначение прокси — это смена IP-адреса. Смена IP позволяет обойти ограничения и получить доступ к запрещённым сайтам.

Настроить работу через прокси можно с помощью одного браузера. К примеру, CGI прокси сделаны в виде простых сайтов, где можно ввести URL-адрес заблокированных ресурсов. Другие прокси-сервера обладают расширенным функционалом. Они позволяют выбрать страну из которой будет осуществляться доступ, указать тип прокси и уровень анонимности.

Также задать работу через прокси-сервер можно в настройках компьютера. Для этого в операционной системе Windows надо изменить настройки сети. Для автоматической настройки указывается адрес сценария, а для ручной — адрес и порт.

Большинство контент-фильтров блокируют работу анонимайзеров и прокси. Но под запрет часто попадают только самые популярные. К примеру, прокси из азиатского региона помогают обходить не только «Великий китайский фаерволл», но и ограничения по всему миру.

Решение

2. Смена DNS-сервера

DNS расшифровывается как Domain Name System. В переводе — система доменных имён. В этой системе каждому доменному имени соответствует IP адрес сайта. В основном провайдеры блокируют сайты на уровне запроса к доменному имени.

Смена DNS-сервера помогает обойти блокировку. Для этого вместо DNS-сервера провайдера в сетевых настройках выставляют публичный DNS-сервер. После этого можно свободно заходить на заблокированные ранее сайты.

Решение

3. Редактирование файла hosts

hosts — это файл, который отвечает за преобразование символьных имен доменов в соответствующие им IP-адреса и наоборот. Так, к примеру, перед открытием сайта комьютер преобразует буквенное название google.com в соответствующие ему числа 173.194.112.98.

Текстовый документ hosts располагается в стандартных системных папках. Конкретное местоположение зависит от используемой операционной системы. К примеру, в Windows hosts находится в подпапках system32.

Содержимое файла hosts может быть отредактировано блокнотом или любым другим текстовым редактором. Это позволяет прописать там строку IP адреса и адреса запрещённого сайта. Компьютер будет брать информацию из отредактированного файла, в обход DNS-сервера.

Решение

4. Обход блокировки через браузеры

Для обхода блокировок учащиеся используют браузеры со специальным функционалом.

Решение

5. Расширения для обхода блокировки сайтов

Плагины — это расширения для браузеров. Они бесплатны и устанавливаются практически на любой веб-обозреватель: Google Chrome, Яндекс.Браузер, Opera, Mozilla Firefox, Internet Explorer, Microsoft Edge.

Существуют различные плагины для обхода блокировок: RusVPN, iNinja Proxy, ZenMate VPN, Hotspot Shield, TunnelBear VPN и так далее. По аналогии с прокси-серверами они маскируют настоящие IP-адреса пользователей. После установки подобного расширения браузер открывает ранее недоступные сайты.

Решение

6. Эвфемизмы, жаргонизмы, сленг, подмена букв в словах и обобщённые наименования

Эвфемизмы позволяют обходить фильтрацию. Нейтральные по смыслу слова и словосочетания порой описывают неприличные действия и вещи. Например, выражение «потёк чердак» означает не только плохое состояние комнаты под крышей здания, но и нестабильное психическое/эмоциональное состояние у человека. Попросту — сумасшедший или психованный. Эвфемизмы могут ввести в заблуждение не только людей, но и контент-фильтры.

Также могут помочь жаргонизмы. Они позволяют находить сайты по лексике, не напрямую называющие объект поиска. К примеру, слово «собака» можно найти по слову «шавка». По аналогии поступают и при поиске запрещённых сайтов.

Некоторые фильтры пропускают сленг. В каждой из запрещённых категорий сайтов есть понятия, расхожие внутри группы. Так в среде наркоманов свои выражения, в порноиндустрии — свои, и так далее.

Может сработать подмена букв. К примеру, вместо ввода в поисковой строке слова «пёс» можно ввести «пьос». Аналогично словесное жонглирование помогает при поиске и доступе к сайтам из запретных категорий.

Обобщённые наименования также находятся в группе риска. Так достаточно прописать термин не напрямую, а обобщённо, как группу. Как правило, в поисковой выдаче присутствуют справочники и форумы, которые содержат ссылки на интересующую тематику.

Решение

7. Программы удалённого доступа

Школьники используют программы удалённого доступа. Они позволяют управлять одним устройством, при помощи другого. При этом сами устройства могут находиться на большом расстоянии друг от друга.

В качестве программы используют TeamViewer или её аналоги. Программы ставят на учебный и домашний компьютер. В удобное время ученики устанавливают связь с домашним устройством. С него можно зайти на заблокированные сайты.

Решение

8. Переводчики сайтов

Некоторые поисковики позволяют обойти интернет-фильтры при помощи систем перевода текста. Автоматический перевод меняет язык страницы, к примеру, английский на русский. Также перевод позволяет открывать заблокированные сайты.

Поисковики Google и Яндекс оснащены функцией перевода текста. Чтобы зайти на иностранный заблокированный сайт, достаточно нажать в поисковой выдаче кнопку «Перевести эту страницу» или «Перевести» напротив нужной строки.

Решение

9. Кэшированные страницы

Кэшированная страница — страница, которая попала в память поисковых систем. Некоторые контент-фильтры позволяют открыть подобные страницы. Причём в одних браузерах они могут быть заблокированы, а в других — открыты.

На кэшированные страницы можно попасть через поисковую выдачу. Достаточно открыть сохранённые копии напротив искомых сайтов. Страницы могут быть несколько устаревшими. Но они могут быть открыты.

Решение

Вывод

Школьники используют различные способы обхода блокировок. С большей частью из них справятся ограничение прав для учётной записи пользователя, работа только по «белому» списку, а также безопасный поиск.

Способы борьбы с обходами блокировок могут помочь во время прокурорских проверок. Никто специально не будет ставить программы, менять DNS-сервера и пытаться зайти на запрещённый сайт через прокси-сервер. Помощник прокурора может просто допустить ошибку при написании слова. Результат поисковой выдачи может неприятно удивить.

Источник

Обход блокировок РКН с помощью DNSTap и BGP

Тема довольно изъезжена, знаю. К примеру, есть отличная статья, но там рассматривается только IP-часть блоклиста. Мы же добавим еще и домены.

В связи с тем, что суды и РКН блокируют всё направо и налево, а провайдеры усиленно пытаются не попасть под штрафы, выписанные «Ревизорро» — сопутствующие потери от блокировок довольно велики. Да и среди «правомерно» заблокированных сайтов много полезных (привет, rutracker)

Я живу вне юрисдикции РКН, но на родине остались родители, родственники и друзья. Так что было решено придумать легкий для далеких от ИТ личностей способ обхода блокировок, желательно вовсе без их участия.

В этой заметке я не буду расписывать базовые сетевые вещи по шагам, а опишу общие принципы как можно реализовать эту схему. Так что знания как работает сеть вообще и в Linux в частности — must have.

Типы блокировок

Для начала освежим в памяти что же блокируется.

В выгружаемом XML от РКН несколько типов блокировок:

Мы их сведем для простоты к двум: IP и домен, а из блокировок по URL будем просто вытаскивать домен (точнее за нас это уже сделали).

Хорошие люди из Роскомсвободы реализовали прекрасный API, через который можно получать то, что нам нужно:

Доступ к заблокированным сайтам

Для этого нам нужен какой-нибудь маленький зарубежный VPS, желательно с безлимитным траффиком — таких много по 3-5 баксов. Брать нужно в ближнем зарубежье чтобы пинг был не сильно большой, но опять-таки учитывать, что интернет и география не всегда совпадают. А так как никакого SLA за 5 баксов нет — лучше взять 2+ штуки у разных провайдеров для отказоустойчивости.

Далее нам необходимо настроить зашифрованный туннель от клиентского роутера до VPS. Я использую Wireguard как самый быстрый и простой в настройке т.к. клиентские роутеры у меня тоже на базе Linux (APU2 или что-то на OpenWRT). В случае каких-нибудь Mikrotik/Cisco можно использовать доступные на них протоколы вроде OpenVPN и GRE-over-IPSEC.

Идентификация и перенаправление интересующего траффика

Можно, конечно, завернуть вообще весь интернет-траффик через зарубеж. Но, скорее всего, от этого сильно пострадает скорость работы с локальным контентом. Плюс требования к полосе пропускания на VPS будут сильно выше.

Поэтому нам нужно будет каким-то образом выделять траффик к заблокированным сайтам и выборочно его направлять в туннель. Даже если туда попадёт какая-то часть «лишнего» траффика, это всё равно гораздо лучше, чем гонять всё через тоннель.

Для управления траффиком мы будем использовать протокол BGP и анонсировать маршруты до необходимых сетей с нашего VPS на клиентов. В качестве BGP-демона возьмём BIRD, как один из наиболее функциональных и удобных.

С блокировками по IP всё понятно: просто анонсируем все заблокированные IP с VPS. Проблема в том, что подсетей в списке, который отдает API, около 600 тысяч, и подавляющее большинство из них — это хосты /32. Такое количество маршрутов может смутить слабые клиентские роутеры.

Поэтому было решено при обработке списка суммировать до сети /24 если в ней 2 и более хоста. Таким образом количество маршрутов сократилось до

100 тысяч. Скрипт для этого будет дальше.

Домены

Тут сложнее и способов есть несколько. Например, можно поставить прозрачный Squid на каждом клиентском роутере и делать там перехват HTTP и подглядывание в TLS-хендшейк с целью получения запрашиваемого URL в первом случае и домена из SNI во втором.

Но из-за всяких новомодных TLS1.3+eSNI анализ HTTPS с каждым днем становится всё менее реальным. Да и инфраструктура со стороны клиента усложняется — придется использовать как минимум OpenWRT.

Поэтому я решил пойти по пути перехвата ответов на DNS-запросы. Тут тоже над головой начинает витать всякий DNS-over-TLS/HTTPS, но эту часть мы можем (пока что) контролировать на клиенте — либо отключить, либо использовать свой сервер для DoT/DoH.

Как перехватывать DNS?

Тут тоже может быть несколько подходов.

Что такое DNSTap?

Это клиент-серверный протокол, основанный на Protocol Buffers и Frame Streams для передачи с DNS-сервера на некий коллектор структурированных DNS-запросов и ответов. По сути DNS-сервер передает метаданные запросов и ответов (тип сообщения,IP клиента/сервера и так далее) плюс полные DNS-сообщения в том (бинарном) виде в котором он работает с ними по сети.

Важно понимать, что в парадигме DNSTap DNS-сервер выступает в роли клиента, а коллектор — в роли сервера. То есть DNS-сервер подключается к коллектору, а не наоборот.

На сегодняшний день DNSTap поддерживается во всех популярных DNS-серверах. Но, например, BIND во многих дистрибутивах (вроде Ubuntu LTS) часто собран почему-то без его поддержки. Так что не будем заморачиваться пересборкой, а возьмём более легкий и быстрый рекурсор — Unbound.

Чем ловить DNSTap?

Есть некоторое количество CLI-утилит для работы с потоком DNSTap-событий, но для решения нашей задачи они подходят плохо. Поэтому я решил изобрести свой велосипед, который будет делать всё что необходимо: dnstap-bgp

Я собрал RPM и DEB пакеты для удобной установки. Должны работать на всех относительно свежих OS с systemd, т.к. зависимостей у них никаких нет.

Схема

Итак, приступим к сборке всех компонентов воедино. В результате у нас должна получиться примерно такая сетевая топология:

Логика работы, думаю, понятна из диаграммы:

На сервере для маршрутов к заблокированным сайтам у меня внутри BIRD используется отдельная таблица и с ОС она никак не пересекается.

В этой схеме есть недостаток: первый SYN пакет от клиента, скорее всего, успеет уйти через отечественного провайдера т.к. маршрут анонсируется не мгновенно. И тут возможны варианты в зависимости от того как провайдер делает блокировку. Если он просто дропает траффик, то проблем нет. А если он редиректит его на какой-то DPI, то (теоретически) возможны спецэффекты.

Также возможны чудеса с несоблюдением клиентами DNS TTL, что может привести к тому что клиент будет юзать какие-то устаревшие записи из своего протухшего кеша вместо того чтобы спросить Unbound.

На практике у меня ни первое ни второе не вызывало проблем, but your mileage may vary.

Настройка сервера

Для удобства раскатывания я написал роль для Ansible. Она может настраивать как сервера, так и клиенты на базе Linux (рассчитано на deb-based дистрибутивы). Все настройки достаточно очевидны и задаются в inventory.yml. Эта роль вырезана из моего большого плейбука, поэтому может содержать ошибки — pull requests welcome 🙂

Пройдёмся по основным компонентам.

При запуске двух BGP-демонов на одном хосте возникает фундаментальная проблема: BIRD никак не хочет поднимать BGP-пиринг с локалхостом (или с любым локальным интерфейсом). От слова совсем. Гугление и чтение mailing-lists не помогло, там утверждают что это by design. Возможно есть какой-то способ, но я его не нашёл.

Можно попробовать другой BGP-демон, но мне нравится BIRD и он используется везде у меня, не хочется плодить сущности.

Поэтому я спрятал dnstap-bgp внутрь network namespace, которое связано с корневым через veth интерфейс: это как труба, концы которой торчат в разных namespace. На каждый из этих концов мы вешаем приватные p2p IP-адреса, которые за пределы хоста не выходят, поэтому могут быть любыми. Это тот же механизм который используется для доступа к процессам внутри любимого всеми Docker и других контейнеров.

Для этого был написан скрипт и в dnstap-bgp был добавлен уже описанный выше функционал перетаскивания себя за волосы в другой namespace. Из-за этого его необходимо запускать под root либо выдать бинарнику CAP_SYS_ADMIN через команду setcap.

Источник

Прозрачный обход блокировок в домашней сети

Последние новости в очередной раз заострили проблему блокировок интернет-ресурсов. С одной стороны о способах их обхода написано немало, и пережевывать эту тему в очередной раз казалось бы незачем. С другой, регулярно предпринимать какие-то дополнительные действия для посещения нужного ресурса — это не совсем то, что должно удовлетворить айтишника (и не всегда то, с чем может справится человек к айти неблизкий).

Нужно простое и прозрачное для пользователей решение, которое, будучи единожды настроенным, позволит просто пользоваться интернетом, не задумываясь, что же сегодня заблокировали по заявкам очередных копирастов-плагиаторов.

Сама собой напрашивается мысль о том, чтобы обходить блокировку уже на домашнем маршрутизаторе.

Собственно, поднять на маршрутизаторе и гонять весь траффик через VPN несложно, а у некоторых VPN-провайдеров есть даже пошаговые инструкции по настройке OpenWrt на работу с ними.

Но скорости VPN сервисов все же отстают от скоростей доступа в интернет, да и VPN-сервис либо стоит денег, либо имеет массу ограничений, либо необходимость регулярного получения новых логинов. С точки зрения оптимизации затрат, как финансовых, так и временных, предпочтительней выглядит Tor, но его скорость еще хуже, а гонять через Tor торренты и вовсе идея не лучшая.

Выход — перенаправлять в VPN/Tor только траффик блокируемых ресурсов, пропуская остальной обычным путем.

Внимание: данная схема не обеспечивает анонимности просмотра заблокированных сайтов: любая внешняя ссылка раскрывает ваш настоящий IP.

Конкретная реализация на OpenWrt приведена в конце статьи. Если не интересуют подробности и альтернативные варианты решения, то можно листать сразу до нее.

Туннелирование и перенаправление траффика в туннель

Настройка VPN или Tor’а сложностей представлять не должна. Tor должен быть настроен, как прозрачный proxy (либо настроить связку из tor и tun2socks). Т.к. конечной целью явлется обход блокировок ркн, то в конфиге Tor’а целесообразно запретить использование выходных узлов на территории РФ ( ).

В Tor’а траффик перенаправляется правилом с REDIRECT ’ом на порт прозрачного прокси в цепочке PREROUTING таблицы nat netfilter’а.

Формирование ipset c (раз)блокируемыми хостами

К сожалению, вариант «загнать все IP из реестра» в ipset не работает как хотелось бы: во-первых в списках присутствуют не все IP адреса блокируемых хостов, во-вторых в попытке уйти от блокировки IP адрес у ресурса может измениться (и провайдер об этом уже знает, а мы – еще нет), ну и в третьих – false positives для находящихся на том же shared hosting’е сайтов.

Городить огород с dpi того или иного вида не очень хочется: как-никак работать это должно на довольно слабом железе. Выход достаточно прост и в какой-то степени элегантен: dnsmasq (DNS сервер, который на маршрутизаторе скорее всего уже установлен) умеет при разрешении имен добавлять ip-адреса в соответствующий ipset (одноименная опция в конфиге). Как раз то, что нужно: вносим в конфиг все домены, которые необходимо разблокировать, и дальше по необходимости dnsmasq сам добавляет в ipset именно тот ip адрес, по которому будет идти обращение к заблокированному ресурсу.

У меня были сомнения, что dnsmasq запустится и будет нормально работать с конфигом в полдесятка тысяч строк (примерно столько записей в реестре после усушки и утряски), однако они к счастью оказались безосновательны.

Ложка дегтя в том, что при обновлении списка dnsmasq придется перезапускать, т.к. по SIGHUP он конфиг не перегружает.

Составление списка доменов

Должно происходить автоматически, насколько это возможно.

Первый вариант (который и реализован в примере): формировать список на основе единого реестра блокировок и обновлять его по cron’у.
Роскомнадзор широкой общественности реестр блокировок не предоставляет, однако мир не без добрых людей и есть минимум два ресурса, где с ним можно ознакомиться. И, что отлично, API у них тоже имеется. При разборе списка нужно учесть, что в списке доменных имен помимо собственно доменных имен присутствуют и IP адреса. Их нужно обрабатывать отдельно (или вообще на них забить: их примерно 0,1% от списка и врядли они ведут на интересующие вас ресурсы). Кириллические домены далеко не всегда представлены в punycode. Немалую часть списка занимают поддомены на одном домене второго уровня, указаны домены с www/без www и просто дублирующиеся записи. Все перечисленное в большей степени относится к списку от rublacklist.net (он в добавок еще и странно, местами некорректно, экранирован). Именно для него пришлось городить монструозный lua-script (приводится ниже), нормализующий и сжимающий список почти в два раза. C antizapret.info ситуация сильно лучше и можно было бы обойтись однострочником на awk.

Теперь еще об одной ложке дегтя: некоторое провайдеры замечены за тем, что помимо включенных в список ркн сайтов самодеятельно блокируют и официально в списках не значащиеся. При этом блокируют тихой сапой и заглушки не выводят. Так что совсем без ручного привода не обойтись.

Дополнительные замечания

Реализация на OpenWrt (15.05)

Сам маршрутизатор должен быть не самый плохой, особенно при использовании Tor’а. MIPS 400MHz@32MB RAM это тот минимум, который стоит рассматривать.

При наличии USB-порта недостаток встроенного флеша можно компенсировать USB-флешкой (вообще мне представляется достаточно здравой идея не использовать встроенный флеш для регулярно перезаписываемых данных).

Штатно в прошивках OpenWrt содержится урезанный dnsmasq, не умеющий ipset. Необходимо заменить его на dnsmasq-full.

Источник

Здравствуйте, многоуважаемые посетители и читатели блога!

Согласно статистике ресурса РосКомСвобода, на середину апреля 2013 года картина с блокировками выглядит примерно так:

Это происходит из-за того, что если контролирующие органы решили, что на том или ином сайте находится запрещенная информация, то этот ресурс с легкостью блокируется по IP-адресу. И ведь они не думают о том, что помимо «вредного» сайта, на этом же IP-адресе могут находиться еще десятки и сотни других сайтов!

Для начала, давайте вкратце рассмотрим, как вообще устроен Интернет с позиции обращения пользователя к тому или иному сайту (серверу).

У сайтов, помимо основного доменного имени (например, bloginfo.biz) есть еще и определенный IP-адрес. который может быть как индивидуальным, выделенным, так и общим. На сайт можно попасть не только введя доменное имя в адресную строку браузера, но и введя IP-адрес. Но это совершенно неудобно. Только представьте, если бы вместо www.yandex.ru нам постоянно приходилось было бы набирать 213.180.193.3. Крайне неудобно.

Для того, чтобы нам не было необходимости запоминать IP-адреса всех известных сайтов и существует DNS, которая занимается распределением адресов в Интернете.

Так вот, когда мы вбиваем в адресную строку браузера, например, google.com, наш компьютер сначала соединяется с DNS-сервером провайдера, чтобы узнать, где конкретно находится нужный нам ресурс. И после этого браузер уже получает IP-адрес сайта, соединяется с ним напрямую и в окне браузера мы видим наш любимый поисковик. Схематически это можно изобразить примерно так:

Так вот «черные списки сайтов», то есть Реестр запрещенных сайтов состоит из записей двух типов:

И чтобы обойти блокировку по домену, достаточно использовать публичные DNS, например:

Как прописать DNS в ОС Windows

Для того, чтобы прописать публичные DNS, нужно зайти в настройки «Центра управления сетями и общим доступом». Для этого достаточно кликнуть левой кнопкой мыши (ЛКМ) на значке вашего подключения (цифра 1 на рисунке), а затем выбрать пункт «Центр управления сетями и общим доступом» (цифра 2):

Также в этот «Центр управления. » можно попасть через «Панель управления». Далее, нужно выбрать то соединение, через которое мы выходим в Интернет, и нажать ЛКМ на нем:

После чего появится диалоговое окно состояния подключения, где нужно нажать на кнопку «Свойства».

Далее мы увидим окно свойств нашего подключения, где нужно выбрать пункт «Протокол Интернета 4 (TCP/IPv4)«. Клацаем по нему два раза ЛКМ и видим новое окно, со свойствами этого протокола. Это наша конечная цель. Отмечаем галочкой «Использовать следующие адреса DNS-серверов» и вручную прописываем предпочитаемый и альтернативный DNS-сервера (на рисунке пример использования DNS-серверов Google,вы можете использовать любые публичные DNS)

Ну и, в общем-то, все. Не забываем нажимать «ОК» при закрытии окон свойств.

Таким образом, если какой-то ресурс внесен в черный список сайтов по доменному имени, то сменив DNS-сервера Вашего провайдера на публичные, вы наверняка сможете на этот ресурс попасть, несмотря на его блокировку. Вообще, я рекомендую использовать публичные DNS-сервера не только для того, чтобы обойти черные списки сайтов, но и в повседневной работе. Как прописать DNS вы с этого момента уже знаете.

Теперь рассмотрим второй вариант блокировки ресурсов – по IP адресу.

Как обойти реестр запрещенных сайтов, заблокированных по IP

Способов обойти подобную блокировку не мало, и заключаются они в том, что если нам не дают напрямую подключиться к какому-то серверу (сайту), то мы сделаем это, используя промежуточный сервер, с которого доступ к этому сайту разрешен. Это становится возможным потому, как эти промежуточные сервера расположены, как правило, вне прямой юрисдикции РФ, т.е. за пределами страны, и наши законы не могут влиять на маршрутизацию и доступ к каким-то ресурсам через эти сервера. Схематически это может выглядеть примерно так:

Так вот об этих промежуточных серверах мы и поговорим. Самым простым (но не рекомендуемым) способом обойти черные списки сайтов, является использование онлайн-анонимайзеров.

Анонимайзеры (Веб-прокси)

Чтобы попасть на заблокированный сайт при помощи онлайн-анонимайзера (иногда их еще называют – анонимизатор, что не вполне корректно), в первую очередь нужно зайти на этот сайт-анонимайзер. В сети их достаточное количество, но я не рекомендую пользоваться малоизвестными сервисами, и тем более, если при заходе на такой сайт, начинает «ругаться» антивирус. Наиболее известные анонимайзеры, это, пожалуй:

Просто заходите на любой из них, и в поле для ввода адреса сайта, введите необходимый. Для примера, на сайте HideMe.ru я вбил в строку адрес whoer.net, чтобы посмотреть, сменится ли мой IP-адрес и страна.

И вот необходимый результат:

Таким образом, любой ресурс, помещенный в черный список сайтов, мы можем с легкостью посетить и почитать. Но не стоит забывать, что анонимайзеры – это не средства реальной анонимизации, и если вы планируете их использовать для чего-то такого нехорошего, то этого делать ни в коем случае нельзя.

Стоит также отметить, что многие онлайн-анонимайзеры предоставляют еще и дополнительные платные услуги, такие как элитные прокси, VPN и прочее.

Расширения для браузеров

У некоторых онлайн-анонимайзеров существуют специальные расширения для браузеров. Например, сервис HideMyAss имеет дополнения для Chrome и Firefox.

Рассмотрим функции этого расширения на примере Chrome. Проходим по ссылке, которая указана выше (или самостоятельно ищем в Chrome Web Store, достаточно ввести в поиск Hide My Ass) и устанавливаем это дополнение. После установки откроется страница конфигурации. В принципе, там можно ничего не менять, будет все работать и так. Внизу ищем кнопочку «Save settings», и нажимаем ее, тем самым сохраняя настройки. Теперь в вашем браузере появилась вот такая вот кнопочка:

Если Вы нажмете на нее на какой-нибудь открытой странице, то эта же страница откроется уже через прокси-сервер. А если нажмете на пустой вкладке, увидите такое поле:

Вводим желаемый адрес, и он также открывается через прокси. Все очень просто, и делается в один клик. Расширение для Mozilla Firefox действует аналогичным образом. Если вас не устраивает сервис Hide My Ass, можете поискать в Chrome Web Store другие подобные расширения. Или просто пройдите по ссылке: Web Proxy для Chrome.

Добавлено позже: В последнее время большую популярность приобрели расширения ZenMate (для Chrome, Firefox, Opera, а также мобильное приложение для Android и iOS) и friGate (для Хрома и Мозиллы). Очень рекомендую.

Встроенные функции браузеров (Турбо Режим)

Простейшим вариантом посещения любого ресурса, помещенного в черные списки сайтов, является браузер Opera. Вернее его функция – Opera Turbo.

Изначально эта функция была призвана экономить трафик пользователей, т.к. все посещаемые страницы сначала загружаются на сервера Opera, страницы сжимаются и только потом передаются в браузер для отображения. И эта функция оказалась очень кстати после введения этих самых черных списков, т.к. она выполняет роль прокси-сервера.

Воспользоваться Opera Turbo очень легко. Запускаем браузер, и в нижнем левом углу ищем такой вот значок, как показано на рисунке:

Нажимаем на эту кнопку (можно ничего не настраивать), и включаем Турбо режим. Кнопочка станет синей, и браузер вас уведомит, что режим включен. Давайте теперь посмотрим, что нам «скажет» whoer.net, насчет нашего месторасположения и IP-адреса.

В этом режиме иногда бывает так, что, к примеру, CSS вообще не грузится, а загружается «голый» html. Скорость загрузки бывает очень низкой, и если у вас слишком долго загружается какой-то сайт, попробуйте отключить Турбо-режим, и включить заново. Таким образом, сменится сервер, и загрузка может ускориться. Этот метод, равно как и анонимайзеры не предоставляет вам никакой анонимности, и за прокси-сервером виден ваш реальный IP.

Турбо режим также имеется и в браузере от Я ндекса. Но для того, чтобы обойти черные списки сайтов, он не очень годится, т.к. используются российские IP-адреса, сервера и маршруты. Но, справедливости ради стоит отметить, что большинство заблокированных сайтов в Турбо режиме Я ндекса все-таки открываются.

Добавлено: «Турбо режим» имеется также в Google Chrome для мобильных ОС.

Все это самые простейшие способы обойти черный список сайтов, которые предназначены только для подобных целей, т.к. никакой защищенности и анонимности они абсолютно не предоставляют. Далее мы вкратце рассмотрим более кардинальные, защищенные и анонимные методы. Но в рамках этой статьи только поверхностно, т.к. тема очень обширная, и ей будут посвящены отдельные статьи и мануалы.

Proxy-серверы

Прокси-сервер – это комплекс определенных программ, позволяющий удаленным клиентам выполнять различные запросы к другим сетевым службам. Собственно, всяческие онлайн-анонимайзеры – это тоже своего рода proxy, только с web-интерфесом (т.е. сайтом, куда мы можем войти и воспользоваться услугами). Прокси же, нам необходимо самостоятельно прописывать в настройках сети. Если делать все ручками, то можно, пойти разными путями.

Браузеры, которые используют системные настройки сети – Chrome, Safari, Internet Explorer.

Не забываем нажать на кнопки «ОК» после этих манипуляций.

Прокси также можно прописать через панель управления: Пуск – Панель управления – Свойства браузера – вкладка «Подключения». И увидим тоже самое окно, которое мы видели, когда настраивали прокси через Chrome.

Такие браузеры, как Mozilla Firefox и Opera позволяют работать через прокси, не используя системных настроек сети. То есть, если прописать прокси-сервер в Мозилле, то во всех остальных браузерах будет использоваться обычное прямое подключение, а в Мозилле – прокси. Это довольно-таки удобно. Ведь постоянно работать через прокси нам, как правило, нет необходимости.

На картинке я стрелочками и цифрами указал порядок действий, для того, чтобы проксифицировать Mozilla Firefox. В Opere – принцип такой же.

У вас, возможно, уже возник вопрос: «А где же брать эти прокси?» Ответ прост: «Конечно в Интернете». Прокси бывают разные, бывают обычные, не анонимные и бесплатные, бывают с высокой анонимностью, а бывают и элитные. Элитные прокси, как правило платные, но нам они не нужны сейчас. Чтобы посетить какой-нибудь ошибочно заблокированный сайт, нам достаточно будет воспользоваться не анонимным бесплатным прокси. Списки прокси можно брать, например, здесь: http://hideme.ru/proxy-list/ или здесь http://spys.ru/en/

У бесплатных прокси есть существенные недостатки:

Да, кстати, пока не забыл сказать: при использовании публичных проксей, анонимайзеров и т.д. – не пользуйтесь интернет-банкингом и т.п. Мало ли, что за софт установлен на неизвестном нам сервере, и кому этот сервер принадлежит.

Как выбрать нужный нам прокси-сервер?

Так как наша сегодняшняя цель «Как обойти блокировку запрещенных сайтов«, то российские прокси нас не интересуют, выбираем иностранные. Смотрим на параметр «Скорость » – чем он ниже, тем лучше. На графу анонимность, в сегодняшнем контексте мы смотреть не будем. Мы ведь хотим попасть на неправомерно заблокированный сайт, на котором никакой противозаконной информации нет, и, следовательно, нам тоже скрывать особенно нечего. В общем, на скриншоте (прокси-лист с сайта HideMe.ru) я выделил наиболее подходящие прокси:

Про прокси пока все. Повторюсь, эта тема очень обширная, и я к ней еще буду возвращаться. Скажу лишь еще, то что также существуют расширения для браузеров, для быстрой смены прокси; программы прокси-чекеры, которые проверяют списки прокси на дееспособность; программы, которые способны строить целые цепочки проксей (например, JAP) и пр. Вообще, проксями (тем более элитными и цепочками) в основном пользуются для различных противоправных действий в сети, киберприступники и всяческие политически неугодные люди (типа оппозиционеров, которые хотят остаться анонимными).

На самом деле VPN (Virtual Privat Network, т.е. виртуальная частная сеть) очень полезная технология. Ей пользуются как на корпоративном уровне (различные организации, для создания собственного защищенного туннеля), так и обычные добропорядочные пользователи.

Например, я настоятельно рекомендую использовать подключение через VPN, если вы находитесь в общественной сети Wi-Fi, так как такие сети очень часто «сниффятся», т.е. различные хакеры и киберпреступники с помощью специального софта сканируют весь трафик в таких сетях, на предмет выявления различных учетных данных: паролей, логинов, данных интернет-банкинга и т.д. Поэтому VPN-туннель в открытых сетях просто необходим, т.к. весь трафик, который проходит через него – шифруется, и становится абсолютно недоступным.

VPN обладает рядом плюсов, относительно предыдущих способов обойти черные списки сайтов:

Из недостатков можно назвать то, что VPN, это в 99% платная услуга. Но и цены не всегда кусаются. Они колеблются в зависимости от тарифного плана и конфигурации. А нам «навороченные» конфигурации не нужны, так что, если решите воспользоваться услугами VPN-сервиса, выбирайте для начала самый дешевый тарифный план. К теме VPN мы также будем еще неоднократно возвращаться на страницах этого сайта.

При помощи Tor, также можно обойти любую блокировку. Причем уровень анонимности весьма достойный, присутствует шифрование, и если вами никто не заинтересован (правоохранительные органы, спецслужбы), то можно вообще за свою анонимность не переживать. Отследить того или иного пользователя, использующего сеть Tor достаточно сложно. Я недавно публиковал новость » В Японии предлагают запретить Tor «, там рассказано, что поймали одного хакера, которого достаточно долго отлавливали. И такие случаи хоть и редки, но все-таки не единичны.

Если вкратце и образно, то сеть Tor, это огромная сеть компьютеров по всему миру, на которых установлен специальный пакет ПО, который позволяет всем пользователям данной сети использовать друг друга в качестве «промежуточного сервера» (эту функцию можно отключить в настройках, чтобы именно ваш компьютер для этих целей не использовался). Причем цепочки соединений выбираются случайным образом.

Главным недостатком для использования Tor в легальных целях, является очень медленная скорость (прим.: на данный момент, по прошествии года с написания этой статьи, скорость в сети Tor уже достаточно высока). Но этот недостаток, как правило, игнорируют те, кто использует его в противоправных деяниях, т.к.. низкая скорость меркнет перед всеми возможностями данной сети. Для большей анонимности и безопасности, Tor иногда используется поверх VPN. Или же наоборот.

Скачать Tor вы можете на официальном сайте. Сейчас существует такой пакет, как Tor Browser Bundle, скачав и установив который, можно сразу же приступать к работе.

На основе Tor базируется множество других проектов, например, OperaTor, PirateBrowser, ОС Tails, Liberte, Whonix и т.д.

I2P – это практически непробиваемая анонимность. В целом реализация похожа на Tor, но с некоторыми «улучшениями». В общем, там все просто «повернуто» в первую очередь на шифровании. Шифруется все, что только можно, каждый пакет, причем еще и многократно. Также в сети очень сложная маршрутизация этих зашифрованных пакетов, которая может меняться каждые N-минут. Деанонимизировать кого-то в этой сети, наверное, нереально.

I2P – это уже конечно скорее для хакеров, кибер- и прочих преступников, нежели для простого обывателя.

Добавлено: в связи со сложившимся в последнее время жестким контролем за Рунетом, все больше сайтов стали иметь свои «зеркала» в сети i2p. И все больше обычных людей стали интересоваться этой технологией.

Виртуальные машины

По виртуальным машинам будет тоже еще не одна статья на моем блоге, т.к. я считаю (да и не я один), что их очень полезно использовать всем тем, кто, так или иначе, связан с компьютерами и интернетом. Сейчас же я просто упомяну об одном, специально собранном дистрибутиве семейства GNU/Linux (Debian), заточенном под безопасность и анонимность – это Whonix.

Дистрибутив состоит из двух образов под виртуалку:

Преимущество этой сборки в том, что используется специальный шлюз, и любой трафик идет только через него, а сам трафик направлен на Tor. А так как не все приложения в той же Windows, например, можно пустить через Tor, и трафик иногда может просачиваться через обычное соединение, это угрожает анонимности. В Whonix такое исключено.

Вот так, например, сейчас выглядят мои «виртуалки» с запущенным Whonix

Да и никогда не стоит забывать, что такие гиганты как Google, Facebook, Я ндекс и т.д., ежесекундно следят за каждым кликом каждого пользователя сети. И неизвестно, как это все может обернуться в будущем. Так что, не пренебрегайте средствами анонимизации, но и не злоупотребляйте ими. Потому как, если постоянно использовать шифрованный канал (VPN, Tor и др.), то это может вызвать подозрения у вашего провайдера.

Спасибо за внимание и до скорых встреч!

Источник