[uylug-varios] Estado bloqueará sitios de apuestas on line.
Carlos M. Martinez
carlosmarcelomartinez at gmail.com
Wed Mar 14 06:35:49 PDT 2018
On 14 Mar 2018, at 10:03, Cristian Menghi wrote:
> Y como se realiza tecnológicamente el bloqueo!
Excelente pregunta, y abre una caja de Pandora interesante. Ese
“detalle” (las comillas las pongo porque realmente, no es tal), es
bien interesante. Hay, a groso modo, tres maneras diferentes de
“bloquear” sitios:
-1 Una, casi impracticable**, es poner ACLs (listas de acceso, es decir
filtros por paquete) filtrando las direcciones de los sitios en
cuestión en los routers de borde internacional.
-2 La más común, por ser la más fácil, es realizar bloqueos a nivel
de DNS, por ejemplo instalando la zona “bwin.com” (y de todos los
demás sitios en cuestión) como autoritativa en los DNS de cada
proveedor de Internet, respondiendo una IP cualquiera a toda consulta.
Es la más fácil de hacer, pero también es la más fácil de evadir
por parte de los afectados (8.8.8.8!)
Supongo muchos recuerdan esta foto: https://goo.gl/images/mD51jQ
-3 Una más practicable y más dura es la de hacer lo que se llama
“blackholing”, es decir, instalar rutas a a las direcciones de los
sitios a bloquear apuntando a un destino falso.
La (1) es casi impracticable porque las ACLs generan grandes cargas a
nivel de CPU en cualquier router. Es algo que los operadores evitan
hacer lo más posible. En este caso, no se cuanto volumen de tráfico
consumen los sitios de apuestas, por ahi puede ser algo que los
operadores consideren.
La (2) es lo que se usa generalmente cuando se busca bloquear de
emergencia algo, por una voluntad del momento. Se hace en Venezuela a
veces, es lo que hacen en Turquía con Twitter de vez en cuando, y es lo
que llevó p.ej. a que en Turquía también tuvieron que bloquear el
8.8.8.8, porque la gente no tiene un pelo de tonta.
La (3) es en cierto sentido la más performante y la más robusta, pero
al igual que (1) requiere contar con un inventario de *todas* las
direcciones IP que usan los sitios a bloquear, y en el proceso puede
causar daños colaterales porque bueno, a veces las mismas direcciones
pueden estar compartidas por diferentes sitios.
Hay una cuarta opción, que es contar con equipamiento de DPI
(deep-packet inspection) por el que pase todo el tráfico y lo
descarten, similar a lo que algunos operadores usan para filtrar o hacer
rate-limit de tráfico P2P. Ahora, los operadores no están obligados a
tenerlo y esto les puede costar millones de dólares en inversión.
s2
/Carlos
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20180314/4c92c367/attachment-0001.html>
More information about the Uylug-varios
mailing list