<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta http-equiv="Content-Type" content="text/xhtml; charset=utf-8">
<style>
div.markdown { white-space: normal; }
body { font-family: sans-serif; }
h1 { font-size: 1.4em; }
h2 { font-size: 1.2em; }
h3 { font-size: 1.1em; }
blockquote { margin: 0 0 5px; padding-left: 5px; border-left: 2px solid #777777; color: #777777; }
blockquote blockquote { border-left-color: #999999; color: #999999; }
blockquote blockquote blockquote { border-left-color: #BBBBBB; color: #BBBBBB; }
a { color: #3983C4 }
blockquote a { color: #777777; }
blockquote blockquote a { color: #999999; }
blockquote blockquote blockquote a { color: #BBBBBB; }
math[display="inline"] > mrow { padding:5px; }
div.footnotes li p { margin: 0.2em 0; }
</style>
</head>
<body>
<div class="markdown">
<p dir="auto">On 14 Mar 2018, at 10:03, Cristian Menghi wrote:</p>
<blockquote>
<p dir="auto">Y como se realiza tecnológicamente el bloqueo!</p>
</blockquote>
<p dir="auto">Excelente pregunta, y abre una caja de Pandora interesante. Ese “detalle” (las comillas las pongo porque realmente, no es tal), es bien interesante. Hay, a groso modo, tres maneras diferentes de “bloquear” sitios:</p>
<p dir="auto">-1 Una, casi impracticable**, es poner ACLs (listas de acceso, es decir filtros por paquete) filtrando las direcciones de los sitios en cuestión en los routers de borde internacional.</p>
<p dir="auto">-2 La más común, por ser la más fácil, es realizar bloqueos a nivel de DNS, por ejemplo instalando la zona “bwin.com” (y de todos los demás sitios en cuestión) como autoritativa en los DNS de cada proveedor de Internet, respondiendo una IP cualquiera a toda consulta. Es la más fácil de hacer, pero también es la más fácil de evadir por parte de los afectados (8.8.8.8!)</p>
<p dir="auto">Supongo muchos recuerdan esta foto: <a href="https://goo.gl/images/mD51jQ">https://goo.gl/images/mD51jQ</a></p>
<p dir="auto">-3 Una más practicable y más dura es la de hacer lo que se llama “blackholing”, es decir, instalar rutas a a las direcciones de los sitios a bloquear apuntando a un destino falso.</p>
<p dir="auto">La (1) es casi impracticable porque las ACLs generan grandes cargas a nivel de CPU en cualquier router. Es algo que los operadores evitan hacer lo más posible. En este caso, no se cuanto volumen de tráfico consumen los sitios de apuestas, por ahi puede ser algo que los operadores consideren.</p>
<p dir="auto">La (2) es lo que se usa generalmente cuando se busca bloquear de emergencia algo, por una voluntad del momento. Se hace en Venezuela a veces, es lo que hacen en Turquía con Twitter de vez en cuando, y es lo que llevó p.ej. a que en Turquía también tuvieron que bloquear el 8.8.8.8, porque la gente no tiene un pelo de tonta.</p>
<p dir="auto">La (3) es en cierto sentido la más performante y la más robusta, pero al igual que (1) requiere contar con un inventario de <em>todas</em> las direcciones IP que usan los sitios a bloquear, y en el proceso puede causar daños colaterales porque bueno, a veces las mismas direcciones pueden estar compartidas por diferentes sitios.</p>
<p dir="auto">Hay una cuarta opción, que es contar con equipamiento de DPI (deep-packet inspection) por el que pase todo el tráfico y lo descarten, similar a lo que algunos operadores usan para filtrar o hacer rate-limit de tráfico P2P. Ahora, los operadores no están obligados a tenerlo y esto les puede costar millones de dólares en inversión.</p>
<p dir="auto">s2</p>
<p dir="auto">/Carlos</p>
</div>
</body>
</html>