Открыть сервис

Блокировка диапазона

Блокировка диапазона — это метод управления доступом к сетевым ресурсам, при котором ограничивается передача данных для целого набора (диапазона) IP-адресов, сетевых портов, протоколов или доменных имён, объединённых по какому-либо признаку. В отличие от блокировки отдельного адреса или порта, блокировка диапазона позволяет одномоментно перекрыть доступ к группе объектов, что часто используется для борьбы с массовыми атаками, распространением запрещённого контента или для соблюдения региональных ограничений. Метод применяется на уровне межсетевых экранов, маршрутизаторов, DNS-серверов и специализированных систем фильтрации трафика.

История

Ранние методы фильтрации

Первые реализации блокировки диапазона появились в конце 1980-х — начале 1990-х годов, когда администраторы сетей столкнулись с необходимостью ограничивать доступ к ресурсам, неблагонадёжным с точки зрения безопасности. Изначально блокировка осуществлялась вручную путём добавления записей в таблицы маршрутизации или файлы конфигурации межсетевых экранов. С ростом числа атак, таких как DoS (отказ в обслуживании), администраторы начали применять массовые блокировки целых подсетей, с которых исходили угрозы.

Развитие в эпоху интернета

С распространением интернета в 2000-х годах блокировка диапазонов стала стандартной практикой для интернет-провайдеров и государственных органов. В России, например, в 2012 году был принят Федеральный закон № 139-ФЗ «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию»», который ввёл механизм блокировки сайтов с запрещённой информацией. Это привело к созданию Единого реестра запрещённых сайтов, где для блокировки часто используются диапазоны IP-адресов, принадлежащие хостинг-провайдерам, размещающим противоправный контент.

Современные подходы

В 2010-е — 2020-е годы блокировка диапазонов стала более сложной из-за применения технологий обхода, таких как VPN, прокси-серверы и анонимайзеры. В ответ на это системы фильтрации начали использовать динамическое обновление списков блокируемых диапазонов, а также анализ поведения трафика для выявления аномалий. В России, согласно законодательству, блокировка диапазонов может применяться для ограничения доступа к ресурсам, признанным экстремистскими или террористическими (например, ИГИЛ — террористическая организация, запрещена в РФ), а также к сайтам, распространяющим наркотики или призывающим к суициду.

Классификация

По типу блокируемого ресурса

  • Блокировка IP-диапазонов — ограничение доступа к целому диапазону IP-адресов (например, 192.168.0.0/24). Часто используется для блокировки целых хостинг-провайдеров или стран.
  • Блокировка портов — запрет на передачу данных через определённые порты (например, порт 25 для SMTP-трафика) для всех адресов в диапазоне.
  • Блокировка доменных зон — ограничение доступа к доменам, зарегистрированным в определённой зоне (например, .ru, .com), хотя это менее распространено из-за технических сложностей.
  • Блокировка протоколов — запрет на использование определённых протоколов (например, BitTorrent или SSH) для всех адресов в диапазоне.

По масштабу

  • Локальная — применяется на уровне отдельного устройства или локальной сети (например, в корпоративных сетях).
  • Региональная — осуществляется на уровне интернет-провайдера или государства (например, блокировка диапазонов IP-адресов, зарегистрированных в других странах).
  • Глобальная — реализуется на уровне магистральных маршрутизаторов или DNS-серверов (например, блокировка диапазонов, связанных с кибератаками).

По способу реализации

  • Статическая — блокировка на основе заранее заданных списков (например, blacklist).
  • Динамическая — блокировка, обновляемая в реальном времени на основе анализа трафика или данных от систем обнаружения вторжений (IDS).

Устройство и принцип работы

Технические основы

Блокировка диапазона реализуется с помощью правил фильтрации пакетов, которые задаются в межсетевых экранах (firewall) или маршрутизаторах. Каждое правило содержит:

  • Тип трафика (входящий/исходящий).
  • Протокол (TCP, UDP, ICMP и др.).
  • Диапазон IP-адресов (в формате CIDR, например, 10.0.0.0/8).
  • Диапазон портов (например, 80-443).
  • Действие (разрешить, запретить, отбросить).

Пример работы

При попытке пользователя открыть веб-сайт, его компьютер отправляет запрос на DNS-сервер для получения IP-адреса. Если IP-адрес попадает в заблокированный диапазон, межсетевой экран или маршрутизатор отбрасывает пакет (или отправляет ответ об ошибке). В случае блокировки на уровне DNS, запрос к домену, входящему в запрещённый диапазон, не обрабатывается, и пользователь получает сообщение о недоступности сайта.

Инструменты

  • iptables/nftables (Linux) — утилиты для настройки правил фильтрации.
  • Windows Firewall — встроенный межсетевой экран Windows.
  • pfSense/OPNsense — специализированные дистрибутивы для маршрутизаторов.
  • DPI-системы (Deep Packet Inspection) — системы глубокого анализа пакетов, используемые провайдерами для выявления и блокировки диапазонов, связанных с запрещённым контентом.

Применение

Безопасность

  • Защита от DDoS-атак — блокировка диапазонов IP-адресов, с которых исходит атака, чтобы снизить нагрузку на сервер.
  • Предотвращение вторжений — блокировка диапазонов, известных как источники вредоносного ПО или сканирования.
  • Фильтрация спама — блокировка диапазонов IP-адресов, используемых спам-рассылками.

Государственное регулирование

  • Ограничение доступа к запрещённому контенту — в России, согласно законодательству, блокировка диапазонов применяется для сайтов, содержащих экстремистские материалы (например, организации, признанные террористическими, запрещены в РФ), порнографию с участием несовершеннолетних, рекламу наркотиков и т.д.
  • Региональные ограничения — блокировка диапазонов IP-адресов, зарегистрированных в других странах, для соблюдения авторских прав или национальных законов (например, в Китае — блокировка диапазонов Google).
  • Цензура — в некоторых странах блокировка диапазонов используется для ограничения доступа к оппозиционным ресурсам или социальным сетям.

Корпоративное управление

  • Контроль доступа сотрудников — блокировка диапазонов IP-адресов, связанных с социальными сетями, торрент-трекерами или другими нежелательными ресурсами.
  • Защита конфиденциальных данных — блокировка диапазонов, с которых возможны утечки информации.

Техническое обслуживание

  • Блокировка тестовых диапазонов — ограничение доступа к диапазонам, используемым для внутреннего тестирования (например, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16).
  • Изоляция проблемных узлов — временная блокировка диапазонов, вызывающих сбои в сети.

Примеры

Блокировка IP-диапазонов в России

В 2021 году Роскомнадзор (федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи) начал блокировку диапазонов IP-адресов, принадлежащих хостинг-провайдерам, которые размещали сайты с запрещённой информацией. Например, были заблокированы диапазоны 104.16.0.0/12 (Cloudflare) и 185.2.4.0/22 (DigitalOcean), что привело к временной недоступности многих легитимных сайтов, использующих эти хостинги.

Блокировка портов в корпоративных сетях

В крупных компаниях часто блокируются диапазоны портов, связанные с пиринговыми протоколами (например, порты 6881-6889 для BitTorrent), чтобы предотвратить несанкционированное использование полосы пропускания.

Блокировка диапазонов в рамках DDoS-защиты

При атаке на сервер онлайн-игры администраторы могут временно заблокировать диапазон IP-адресов, с которого исходит атака, например, 203.0.113.0/24, чтобы защитить инфраструктуру.

Критика

Побочные эффекты

  • Коллатеральный ущерб — блокировка диапазона часто затрагивает легитимные ресурсы, использующие те же IP-адреса. Например, блокировка диапазона хостинг-провайдера может сделать недоступными тысячи сайтов, не нарушающих закон.
  • Снижение производительности — большое количество правил блокировки может замедлить работу межсетевых экранов и маршрутизаторов.
  • Сложность обновления — статические списки блокировки быстро устаревают, так как злоумышленники меняют IP-адреса.

Обход блокировки

  • Использование VPN и прокси — пользователи могут обходить блокировку, подключаясь к серверам, не входящим в заблокированный диапазон.
  • Динамические IP-адреса — многие провайдеры используют динамические IP-адреса, что делает блокировку диапазонов менее эффективной.
  • Технологии CDN — сети доставки контента (CDN) распределяют трафик через множество IP-адресов, что затрудняет блокировку.

Юридические аспекты

  • Превышение полномочий — в некоторых странах блокировка диапазонов может быть признана незаконной, если она затрагивает права граждан на доступ к информации.
  • Несоразмерность — блокировка целого диапазона из-за одного нарушителя может быть признана несоразмерной мерой.

Интересные факты

  • В 2018 году в России была заблокирована сеть Telegram (мессенджер, признан нежелательной организацией в РФ) путём блокировки диапазонов IP-адресов Amazon и Google, что привело к временной недоступности многих других сервисов.
  • Блокировка диапазонов IP-адресов, зарегистрированных в Китае, используется в некоторых странах для предотвращения кибератак, хотя это часто критикуется за нарушение принципов открытости интернета.
  • В 2020 году блокировка диапазона 5.255.0.0/16 (Mail.ru) в некоторых регионах России была ошибочно применена к сайтам, не имеющим отношения к запрещённому контенту.

Источники

  • Федеральный закон № 139-ФЗ «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию»» (2012).
  • Регламент работы Единого реестра запрещённых сайтов (Роскомнадзор, 2012—2025).
  • Документация по iptables и nftables (Linux Foundation).
  • Статья «Блокировка IP-диапазонов: методы и последствия» (журнал «Сети и системы связи», 2021).
  • Аналитический отчёт «Эффективность блокировки диапазонов в борьбе с DDoS-атаками» (Positive Technologies, 2023).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →