Блог
Роскомнадзор vs. Cloudflare
Одним прекрасным рабочим днем столкнулись с проблемой, когда сайт нового клиента, который еще вчера был вполне себе доступен и функционален, перестал открываться. Быстрая проверка через isup.me показывает, что сайт «Is client-site.com down? It's just you.», так сайт доступен, но у нас не открывается, в чем же проблема?
Идем в консоль запускаем ping client-site.com
и получаем ответы от сервера, значит сам сервер доступен, но веб-сервер нам почему-то не отвечает.
Далее запрашиваем http GET http://client-site.com
, получаем ответ от веб-сервера:
HTTP/1.1 301 Moved Permanently
...
Запрашиваем http GET https://client-site.com
, ответа нет.
Получается, что сайт доступен по HTTP, но не доступен по HTTPS, внимательно смотрим ответ веб-сервера и видим строчку:
Server: cloudflare-nginx
Выполняем dig client-site.com
, получаем:
6d-education.com. 300 IN A 104.31.77.164
6d-education.com. 300 IN A 104.31.76.164
Выполняем whois 104.31.0.0/16
, узнаем, что адреса принадлежат Cloudflare. Вспоминаем, что за зверь такой Cloudflare (это DNS-хостинг для защиты сайтов от DDos, доставки контента и т.д.), узнаем, что он скрывает реальный IP-сайта и проксирует все запросы, таким образом за одним IP-адресом сервиса может скрываться много различных сайтов. Здесь появляются подозрения.
Скорее всего сервисом пользуются не только хорошиее сайты, но и плохие, которые могут использовать Cloudflare как по прямому назначению, например, для защиты своих сайтов, так и для обхода блокировок методом collateral freedom, когда сайты хостятся на общедоступной платформе, в ожидании того, что ее не заблокируют по рациональным соображениям.
Идем на сайт eais.rkn.gov.ru, там расположен реестр Роскомнадзора, проверяем домен сайта, реестр ничего не выдает, оно и понятно, раз сайт вполне себе доступен по HTTP, значит сам он в реестр не внесен, да и по какой собственно причине.
Проверяем один из используемых IP-адресов:
Видим, что IP-адрес в реестре Роскомнадзора еще с декабря 2016, и здесь ситуация полностью проясняется. Наш провайдер наконец спохватившись про эту запись в реестре и не имея возможности смотреть HTTPS-трафик полностью отрезает доступ к сайтам на заблокированном IP-адресе, куда под горячую руку попадет и сайт клиента.
Надо сказать, что история c Cloudflare и Роскомнадзором не нова, а по подсчетам каждый третий блокированный Роскомнадзором IP-адрес принадлежит Cloudflare. Такие дела.