White Lists Reveladas: Pesquisa, Scans e Contorno na Rússia
Um mergulho técnico profundo nos mecanismos de 'white lists' (listas brancas) em vigor na Rússia, detalhando como funcionam, os resultados de varreduras extensivas e métodos eficazes para contornar essas restrições.
MundiX News·10 de maio de 2026·12 min de leitura·👁 17 views
White Lists Reveladas: Pesquisa, Scans e Contorno na Rússia
O cenário da internet na Rússia tem passado por transformações significativas com a implementação de sistemas de 'white lists' (listas brancas). Em essência, esses sistemas restringem o acesso à internet, permitindo a comunicação apenas com endereços IP e domínios explicitamente aprovados. Este artigo se aprofunda nos aspectos técnicos de como essas listas funcionam, os métodos de escaneamento utilizados para mapeá-las e as estratégias de contorno que emergiram.
A Arquitetura da Filtragem: L3 + L7
As 'white lists' operam em duas camadas principais:
Nível 1 (L3 - Rede): Filtragem CIDR baseada em IP. Uma lista de sub-redes permitidas é mantida. Se um pacote não tem como destino um IP aprovado, ele é descartado no roteador antes mesmo de atingir o sistema de inspeção profunda de pacotes (DPI).
Nível 2 (L7 - Aplicação): O DPI inspeciona o SNI (Server Name Indication) dentro do TLS ClientHello. Mesmo que o IP seja permitido, se o SNI estiver em uma lista negra, o sistema envia um RST (Reset) para encerrar a conexão.
A ordem de processamento é a seguinte: Pacote → [L3: IP na lista branca?] → NÃO → DROP; SIM → [L7: SNI na lista negra?] → SIM → RST; NÃO → PASS.
No nível L3, pacotes destinados a IPs não listados são completamente bloqueados, sem qualquer resposta. Para IPs na lista branca, a filtragem é mais granular. Protocolos como ICMP, TCP na porta 80 e TCP na porta 443 são geralmente permitidos. No entanto, a maioria dos tráfegos UDP, incluindo QUIC (UDP:443), DNS (UDP:53) e WireGuard (UDP:51820), é bloqueada. No nível L7, o DPI verifica o SNI. Um teste com um IP da lista branca do Yandex mostrou que, embora google.com seja bloqueado por IP, ele ainda pode ser acessado se o SNI google.com não estiver explicitamente na lista negra de SNIs. Essa inconsistência sugere que as regras de filtragem de SNI podem variar entre diferentes redes ou provedores.
Escaneamento e Descobertas
Uma varredura extensiva de sub-redes russas através da rede móvel da MegaFon revelou aproximadamente 63.126 IPs em listas brancas, representando cerca de 0,14% do total de endereços IP russos. Os principais Sistemas Autônomos (ASNs) com maior número de IPs na lista branca incluem Yandex.Cloud, Timeweb, Rostelecom e VK. Notavelmente, Yandex.Cloud hospeda uma parcela significativa dos serviços essenciais para o estado, tornando-o um ponto crucial para contorno. A análise também mostrou que a densidade de IPs permitidos dentro de sub-redes /24 raramente excede 37,5%, indicando que a filtragem CIDR é aplicada a blocos inteiros, mesmo que nem todos os IPs dentro deles estejam ativamente em uso.
O DNS também é afetado. Em testes com a rede da MegaFon, servidores DNS externos como Google (8.8.8.8) e Cloudflare (1.1.1.1) retornaram TIMEOUT, enquanto o servidor DNS interno do provedor funcionou. Isso restringe a resolução de nomes a servidores aprovados pelo provedor.
A operação das listas brancas é geograficamente desigual. Enquanto algumas regiões operam com elas 24/7, outras, como Moscou e São Petersburgo, as veem ativadas intermitentemente. A granularidade pode chegar a níveis de bairro, com a conectividade variando de torre de celular para torre de celular. Os próprios 'white lists' também diferem entre os operadores, com listas sendo atualizadas constantemente.
Contornando as Restrições
Diversos métodos foram identificados para contornar as listas brancas:
VLESS + Reality em VPS Russo: Utiliza um servidor VPS com IP e SNI em lista branca (ex: Yandex.Cloud, Timeweb, VK Cloud) combinado com o protocolo VLESS e a técnica Reality para mascarar o tráfego. É considerado o método mais estável e com bom desempenho.
Yandex Cloud Functions / API Gateway: Aproveita a infraestrutura da Yandex Cloud, cujos domínios e IPs são universalmente permitidos. Funções serverless ou API Gateways podem atuar como proxies, roteando o tráfego para servidores externos sem serem inspecionados.
olcRTC: Um projeto experimental que utiliza serviços de videochamada permitidos (como telemost.yandex.ru, salutejazz.ru, stream.wb.ru) para tunelamento de tráfego via WebRTC.
xDNS: Tunelamento de tráfego através de consultas DNS, funcional apenas onde o UDP na porta 53 para DNS externos está aberto.
TURN Relay: Utiliza servidores TURN públicos (como os do VK ou Yandex) para retransmitir tráfego WireGuard, embora esses servidores possam ser rapidamente banidos ou ter suas funcionalidades restritas.
É crucial notar que as listas brancas são uma camada adicional sobre as restrições existentes. O mesmo DPI que bloqueia VPNs e domínios em listas negras em redes domésticas ainda opera. Portanto, técnicas como uTLS (Universal TLS) para mascarar o tráfego como navegação web (usando fp=chrome ou fp=firefox) são essenciais, mesmo com métodos de contorno.
Em resumo, o cenário de 'white lists' na Rússia representa um desafio técnico contínuo. A pesquisa e o desenvolvimento de métodos de contorno, como os detalhados neste artigo, são fundamentais para manter o acesso aberto à informação. A comunidade open-source, através de projetos como o openlibrecommunity/twl e olcng, desempenha um papel vital na documentação e na oferta de soluções.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
White Lists Reveladas: Pesquisa, Scans e Contorno na Rússia
O cenário da internet na Rússia tem passado por transformações significativas com a implementação de sistemas de 'white lists' (listas brancas). Em essência, esses sistemas restringem o acesso à internet, permitindo a comunicação apenas com endereços IP e domínios explicitamente aprovados. Este artigo se aprofunda nos aspectos técnicos de como essas listas funcionam, os métodos de escaneamento utilizados para mapeá-las e as estratégias de contorno que emergiram.
A Arquitetura da Filtragem: L3 + L7
As 'white lists' operam em duas camadas principais:
Nível 1 (L3 - Rede): Filtragem CIDR baseada em IP. Uma lista de sub-redes permitidas é mantida. Se um pacote não tem como destino um IP aprovado, ele é descartado no roteador antes mesmo de atingir o sistema de inspeção profunda de pacotes (DPI).
Nível 2 (L7 - Aplicação): O DPI inspeciona o SNI (Server Name Indication) dentro do TLS ClientHello. Mesmo que o IP seja permitido, se o SNI estiver em uma lista negra, o sistema envia um RST (Reset) para encerrar a conexão.
A ordem de processamento é a seguinte: Pacote → [L3: IP na lista branca?] → NÃO → DROP; SIM → [L7: SNI na lista negra?] → SIM → RST; NÃO → PASS.
No nível L3, pacotes destinados a IPs não listados são completamente bloqueados, sem qualquer resposta. Para IPs na lista branca, a filtragem é mais granular. Protocolos como ICMP, TCP na porta 80 e TCP na porta 443 são geralmente permitidos. No entanto, a maioria dos tráfegos UDP, incluindo QUIC (UDP:443), DNS (UDP:53) e WireGuard (UDP:51820), é bloqueada. No nível L7, o DPI verifica o SNI. Um teste com um IP da lista branca do Yandex mostrou que, embora google.com seja bloqueado por IP, ele ainda pode ser acessado se o SNI google.com não estiver explicitamente na lista negra de SNIs. Essa inconsistência sugere que as regras de filtragem de SNI podem variar entre diferentes redes ou provedores.
Escaneamento e Descobertas
Uma varredura extensiva de sub-redes russas através da rede móvel da MegaFon revelou aproximadamente 63.126 IPs em listas brancas, representando cerca de 0,14% do total de endereços IP russos. Os principais Sistemas Autônomos (ASNs) com maior número de IPs na lista branca incluem Yandex.Cloud, Timeweb, Rostelecom e VK. Notavelmente, Yandex.Cloud hospeda uma parcela significativa dos serviços essenciais para o estado, tornando-o um ponto crucial para contorno. A análise também mostrou que a densidade de IPs permitidos dentro de sub-redes /24 raramente excede 37,5%, indicando que a filtragem CIDR é aplicada a blocos inteiros, mesmo que nem todos os IPs dentro deles estejam ativamente em uso.
O DNS também é afetado. Em testes com a rede da MegaFon, servidores DNS externos como Google (8.8.8.8) e Cloudflare (1.1.1.1) retornaram TIMEOUT, enquanto o servidor DNS interno do provedor funcionou. Isso restringe a resolução de nomes a servidores aprovados pelo provedor.
A operação das listas brancas é geograficamente desigual. Enquanto algumas regiões operam com elas 24/7, outras, como Moscou e São Petersburgo, as veem ativadas intermitentemente. A granularidade pode chegar a níveis de bairro, com a conectividade variando de torre de celular para torre de celular. Os próprios 'white lists' também diferem entre os operadores, com listas sendo atualizadas constantemente.
Contornando as Restrições
Diversos métodos foram identificados para contornar as listas brancas:
VLESS + Reality em VPS Russo: Utiliza um servidor VPS com IP e SNI em lista branca (ex: Yandex.Cloud, Timeweb, VK Cloud) combinado com o protocolo VLESS e a técnica Reality para mascarar o tráfego. É considerado o método mais estável e com bom desempenho.
Yandex Cloud Functions / API Gateway: Aproveita a infraestrutura da Yandex Cloud, cujos domínios e IPs são universalmente permitidos. Funções serverless ou API Gateways podem atuar como proxies, roteando o tráfego para servidores externos sem serem inspecionados.
olcRTC: Um projeto experimental que utiliza serviços de videochamada permitidos (como telemost.yandex.ru, salutejazz.ru, stream.wb.ru) para tunelamento de tráfego via WebRTC.
xDNS: Tunelamento de tráfego através de consultas DNS, funcional apenas onde o UDP na porta 53 para DNS externos está aberto.
TURN Relay: Utiliza servidores TURN públicos (como os do VK ou Yandex) para retransmitir tráfego WireGuard, embora esses servidores possam ser rapidamente banidos ou ter suas funcionalidades restritas.
É crucial notar que as listas brancas são uma camada adicional sobre as restrições existentes. O mesmo DPI que bloqueia VPNs e domínios em listas negras em redes domésticas ainda opera. Portanto, técnicas como uTLS (Universal TLS) para mascarar o tráfego como navegação web (usando fp=chrome ou fp=firefox) são essenciais, mesmo com métodos de contorno.
Em resumo, o cenário de 'white lists' na Rússia representa um desafio técnico contínuo. A pesquisa e o desenvolvimento de métodos de contorno, como os detalhados neste artigo, são fundamentais para manter o acesso aberto à informação. A comunidade open-source, através de projetos como o openlibrecommunity/twl e olcng, desempenha um papel vital na documentação e na oferta de soluções.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
