Блокировка диапазона
Блокировка диапазона — это метод управления доступом к сетевым ресурсам, при котором ограничивается передача данных для целого набора (диапазона) IP-адресов, сетевых портов, протоколов или доменных имён, объединённых по какому-либо признаку. В отличие от блокировки отдельного адреса или порта, блокировка диапазона позволяет одномоментно перекрыть доступ к группе объектов, что часто используется для борьбы с массовыми атаками, распространением запрещённого контента или для соблюдения региональных ограничений. Метод применяется на уровне межсетевых экранов, маршрутизаторов, DNS-серверов и специализированных систем фильтрации трафика.
История
Ранние методы фильтрации
Первые реализации блокировки диапазона появились в конце 1980-х — начале 1990-х годов, когда администраторы сетей столкнулись с необходимостью ограничивать доступ к ресурсам, неблагонадёжным с точки зрения безопасности. Изначально блокировка осуществлялась вручную путём добавления записей в таблицы маршрутизации или файлы конфигурации межсетевых экранов. С ростом числа атак, таких как DoS (отказ в обслуживании), администраторы начали применять массовые блокировки целых подсетей, с которых исходили угрозы.
Развитие в эпоху интернета
С распространением интернета в 2000-х годах блокировка диапазонов стала стандартной практикой для интернет-провайдеров и государственных органов. В России, например, в 2012 году был принят Федеральный закон № 139-ФЗ «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию»», который ввёл механизм блокировки сайтов с запрещённой информацией. Это привело к созданию Единого реестра запрещённых сайтов, где для блокировки часто используются диапазоны IP-адресов, принадлежащие хостинг-провайдерам, размещающим противоправный контент.
Современные подходы
В 2010-е — 2020-е годы блокировка диапазонов стала более сложной из-за применения технологий обхода, таких как VPN, прокси-серверы и анонимайзеры. В ответ на это системы фильтрации начали использовать динамическое обновление списков блокируемых диапазонов, а также анализ поведения трафика для выявления аномалий. В России, согласно законодательству, блокировка диапазонов может применяться для ограничения доступа к ресурсам, признанным экстремистскими или террористическими (например, ИГИЛ — террористическая организация, запрещена в РФ), а также к сайтам, распространяющим наркотики или призывающим к суициду.
Классификация
По типу блокируемого ресурса
- Блокировка IP-диапазонов — ограничение доступа к целому диапазону IP-адресов (например, 192.168.0.0/24). Часто используется для блокировки целых хостинг-провайдеров или стран.
- Блокировка портов — запрет на передачу данных через определённые порты (например, порт 25 для SMTP-трафика) для всех адресов в диапазоне.
- Блокировка доменных зон — ограничение доступа к доменам, зарегистрированным в определённой зоне (например, .ru, .com), хотя это менее распространено из-за технических сложностей.
- Блокировка протоколов — запрет на использование определённых протоколов (например, BitTorrent или SSH) для всех адресов в диапазоне.
По масштабу
- Локальная — применяется на уровне отдельного устройства или локальной сети (например, в корпоративных сетях).
- Региональная — осуществляется на уровне интернет-провайдера или государства (например, блокировка диапазонов IP-адресов, зарегистрированных в других странах).
- Глобальная — реализуется на уровне магистральных маршрутизаторов или DNS-серверов (например, блокировка диапазонов, связанных с кибератаками).
По способу реализации
- Статическая — блокировка на основе заранее заданных списков (например, blacklist).
- Динамическая — блокировка, обновляемая в реальном времени на основе анализа трафика или данных от систем обнаружения вторжений (IDS).
Устройство и принцип работы
Технические основы
Блокировка диапазона реализуется с помощью правил фильтрации пакетов, которые задаются в межсетевых экранах (firewall) или маршрутизаторах. Каждое правило содержит:
- Тип трафика (входящий/исходящий).
- Протокол (TCP, UDP, ICMP и др.).
- Диапазон IP-адресов (в формате CIDR, например, 10.0.0.0/8).
- Диапазон портов (например, 80-443).
- Действие (разрешить, запретить, отбросить).
Пример работы
При попытке пользователя открыть веб-сайт, его компьютер отправляет запрос на DNS-сервер для получения IP-адреса. Если IP-адрес попадает в заблокированный диапазон, межсетевой экран или маршрутизатор отбрасывает пакет (или отправляет ответ об ошибке). В случае блокировки на уровне DNS, запрос к домену, входящему в запрещённый диапазон, не обрабатывается, и пользователь получает сообщение о недоступности сайта.
Инструменты
- iptables/nftables (Linux) — утилиты для настройки правил фильтрации.
- Windows Firewall — встроенный межсетевой экран Windows.
- pfSense/OPNsense — специализированные дистрибутивы для маршрутизаторов.
- DPI-системы (Deep Packet Inspection) — системы глубокого анализа пакетов, используемые провайдерами для выявления и блокировки диапазонов, связанных с запрещённым контентом.
Применение
Безопасность
- Защита от DDoS-атак — блокировка диапазонов IP-адресов, с которых исходит атака, чтобы снизить нагрузку на сервер.
- Предотвращение вторжений — блокировка диапазонов, известных как источники вредоносного ПО или сканирования.
- Фильтрация спама — блокировка диапазонов IP-адресов, используемых спам-рассылками.
Государственное регулирование
- Ограничение доступа к запрещённому контенту — в России, согласно законодательству, блокировка диапазонов применяется для сайтов, содержащих экстремистские материалы (например, организации, признанные террористическими, запрещены в РФ), порнографию с участием несовершеннолетних, рекламу наркотиков и т.д.
- Региональные ограничения — блокировка диапазонов IP-адресов, зарегистрированных в других странах, для соблюдения авторских прав или национальных законов (например, в Китае — блокировка диапазонов Google).
- Цензура — в некоторых странах блокировка диапазонов используется для ограничения доступа к оппозиционным ресурсам или социальным сетям.
Корпоративное управление
- Контроль доступа сотрудников — блокировка диапазонов IP-адресов, связанных с социальными сетями, торрент-трекерами или другими нежелательными ресурсами.
- Защита конфиденциальных данных — блокировка диапазонов, с которых возможны утечки информации.
Техническое обслуживание
- Блокировка тестовых диапазонов — ограничение доступа к диапазонам, используемым для внутреннего тестирования (например, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16).
- Изоляция проблемных узлов — временная блокировка диапазонов, вызывающих сбои в сети.
Примеры
Блокировка IP-диапазонов в России
В 2021 году Роскомнадзор (федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи) начал блокировку диапазонов IP-адресов, принадлежащих хостинг-провайдерам, которые размещали сайты с запрещённой информацией. Например, были заблокированы диапазоны 104.16.0.0/12 (Cloudflare) и 185.2.4.0/22 (DigitalOcean), что привело к временной недоступности многих легитимных сайтов, использующих эти хостинги.
Блокировка портов в корпоративных сетях
В крупных компаниях часто блокируются диапазоны портов, связанные с пиринговыми протоколами (например, порты 6881-6889 для BitTorrent), чтобы предотвратить несанкционированное использование полосы пропускания.
Блокировка диапазонов в рамках DDoS-защиты
При атаке на сервер онлайн-игры администраторы могут временно заблокировать диапазон IP-адресов, с которого исходит атака, например, 203.0.113.0/24, чтобы защитить инфраструктуру.
Критика
Побочные эффекты
- Коллатеральный ущерб — блокировка диапазона часто затрагивает легитимные ресурсы, использующие те же IP-адреса. Например, блокировка диапазона хостинг-провайдера может сделать недоступными тысячи сайтов, не нарушающих закон.
- Снижение производительности — большое количество правил блокировки может замедлить работу межсетевых экранов и маршрутизаторов.
- Сложность обновления — статические списки блокировки быстро устаревают, так как злоумышленники меняют IP-адреса.
Обход блокировки
- Использование VPN и прокси — пользователи могут обходить блокировку, подключаясь к серверам, не входящим в заблокированный диапазон.
- Динамические IP-адреса — многие провайдеры используют динамические IP-адреса, что делает блокировку диапазонов менее эффективной.
- Технологии CDN — сети доставки контента (CDN) распределяют трафик через множество IP-адресов, что затрудняет блокировку.
Юридические аспекты
- Превышение полномочий — в некоторых странах блокировка диапазонов может быть признана незаконной, если она затрагивает права граждан на доступ к информации.
- Несоразмерность — блокировка целого диапазона из-за одного нарушителя может быть признана несоразмерной мерой.
Интересные факты
- В 2018 году в России была заблокирована сеть Telegram (мессенджер, признан нежелательной организацией в РФ) путём блокировки диапазонов IP-адресов Amazon и Google, что привело к временной недоступности многих других сервисов.
- Блокировка диапазонов IP-адресов, зарегистрированных в Китае, используется в некоторых странах для предотвращения кибератак, хотя это часто критикуется за нарушение принципов открытости интернета.
- В 2020 году блокировка диапазона 5.255.0.0/16 (Mail.ru) в некоторых регионах России была ошибочно применена к сайтам, не имеющим отношения к запрещённому контенту.
Источники
- Федеральный закон № 139-ФЗ «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию»» (2012).
- Регламент работы Единого реестра запрещённых сайтов (Роскомнадзор, 2012—2025).
- Документация по iptables и nftables (Linux Foundation).
- Статья «Блокировка IP-диапазонов: методы и последствия» (журнал «Сети и системы связи», 2021).
- Аналитический отчёт «Эффективность блокировки диапазонов в борьбе с DDoS-атаками» (Positive Technologies, 2023).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →