В Казахстане, оказывается, не блокировали Интернет. Ага.

Вот замечательная заметка с разъяснениями от Казахтелекома:

Компания "Казахтелеком" не блокировала доступ к сайтам 16 декабря, передает корреспондент Tengrinews.kz со ссылкой на службу по связям с общественностью АО "Казахтелеком".

"На праздничные дни технические работы на сетях АО "Казахтелеком" запланированы не были и в настоящее время не ведутся. Отсутствие доступа к определенным ресурсам при наличии доступа к сети Интернет может означать наличие проблем на стороне владельцев сайтов. Решений суда об ограничении доступа к каким бы то ни было ресурсам, на основании которых производится ограничение доступа, также в АО "Казахтелеком" не поступало", - говорится в сообщении.

Подробнее:http://tengrinews.kz/internet/204018/
Любое использование материалов допускается только при наличии гиперссылки на Tengrinews.kz

А вот замечательная трассировка прохождения запроса на Хабре:

Traceroute нам в руки.

C:\>tracert twitter.com

Трассировка маршрута к twitter.com [199.59.148.10]
с максимальным числом прыжков 30:

9 56 ms 58 ms 55 ms akto-gate-1.online.kz [92.47.151.170]
10 * * * Превышен интервал ожидания для запроса.



Замечательно. Берем не блокированный ресурс. Допустим ieee.org.

C:\>tracert ieee.org

Трассировка маршрута к ieee.org [140.98.193.141]
с максимальным числом прыжков 30:

10 58 ms 55 ms 58 ms akto-gate-1.online.kz [92.47.151.174]
11 140 ms 137 ms 129 ms 195.239.3.37
12 129 ms 131 ms 130 ms 195.126.105.213
13 132 ms 131 ms 131 ms xe-4-0-2.XT1.FFT1.ALTER.NET [149.227.16.73]
...


Отлично! Трасса прошла через таинственный akto-gate-1.online.kz и ушла в сеть российского Golden Telecom.

Еще пара экспериментов указывает на проблемы в точках стыка, и только для ряда ресурсов. Ничего нового, таким образом уже несколько лет в Казахстане заблокирован LJ.

Далее.
Народ жалуется, что не работает youtube.com.
Открываю — работает, но не работает ссылка на определенный ролик. 
Это нам говорит о том, что работает система, которая умеет фильтровать по DPI!



Для наглядности включу wireshark.

Не работает. Прокси нет.


Включаю прокси, ссылка работает.


Каким образом может быть описано правило на DPI. Исходя из опыта работы с этой функциональностью думаю как то так:
L3: Список IP адресов
L7: Request URI: /watch?v=ECDZmkWt3lg&feature=player_embedded
Это сделано для того, чтобы снизить нагрузку на железку, так как фильтровать сначала по IP проще, чем искать во всех пакетах HTTP запрос определенный.

Чего достигли мои коллеги? 
1) Выполнили указание не знаю кого, и отсекли от информации целевую группу, в беспорядках участвуют обычно те, кто даже слова прокси не слышал. В целом, выполнили свою работу.
2) Облажались. Закрыли ресурсы таким способом, что сразу видно, где и каким образом выставлен фильтр. Фактически подтвердили установку специального оборудования. И, после этого, официально заявляют, что они не закрывали ничего.

Такие дела, блин.

Как-то оно перекликается с моими предыдущими мыслями.