Про блокировку ресурсов.

Не мое - взято с хабра.

В сети народ утверждает, что не работает твиттер, проверяем — не работает, через прокси работает. Ладно, посмотрим что происходит.

Traceroute нам в руки.

C:\>tracert twitter.com

Трассировка маршрута к twitter.com [199.59.148.10]
с максимальным числом прыжков 30:
…
9 56 ms 58 ms 55 ms akto-gate-1.online.kz [92.47.151.170]
10 * * * Превышен интервал ожидания для запроса.

Замечательно. Берем не блокированный ресурс. Допустим ieee.org.

C:\>tracert ieee.org

Трассировка маршрута к ieee.org [140.98.193.141]
с максимальным числом прыжков 30:
…
10 58 ms 55 ms 58 ms akto-gate-1.online.kz [92.47.151.174]
11 140 ms 137 ms 129 ms 195.239.3.37
12 129 ms 131 ms 130 ms 195.126.105.213
13 132 ms 131 ms 131 ms xe-4-0-2.XT1.FFT1.ALTER.NET [149.227.16.73]
...

Отлично! Трасса прошла через таинственный akto-gate-1.online.kz и ушла в сеть российского Golden Telecom.

Еще пара экспериментов указывает на проблемы в точках стыка, и только для ряда ресурсов. Ничего нового, таким образом уже несколько лет в Казахстане заблокирован LJ.

Далее.
Народ жалуется, что не работает youtube.com.
Открываю — работает, но не работает ссылка на определенный ролик.
Это нам говорит о том, что работает система, которая умеет фильтровать по DPI!

Для наглядности включу wireshark.

Не работает. Прокси нет.

Включаю прокси, ссылка работает.

Каким образом может быть описано правило на DPI. На работы с этой функциональностью думаю как то так:
L3: Список IP адресов
L7: Request URI: /watch?v=ECDZmkWt3lg&feature=player_embedded
Это сделано для того, чтобы снизить нагрузку на железку, так как фильтровать сначала по IP проще, чем искать во всех пакетах HTTP запрос определенный.

Дальше - на хабре.