Блокируют на ТСПУ, и (возможно) на магистрали. Все адреса проходящие по своим базам как UA, маршрут или AS не учитывают.
На ТСПУ блокируют весь трафик (ICMP, TCP, UDP), сверяя только адрес назначения.
Учитывая, что почти все хостинг-провайдеры UA и так блокируют трафик из RU уже около года, то особо разницы и не заметят в RU 
А это не только про хостинг-провайдеры UA. Многие адреса иногда не связаны с UA, кроме как запись в ДБ, и у РКН может быть своя версия, ведомая только им. Например, уже заметили.
Ну я тоже условно про хостинг провайдеров, не только они.
По факту же, уже как год существует проблема связности с UA из-за блокировок со стороны самих провайдеров UA, если не провайдеры, так ЦОДы… Так что новость про ТСПУ меня, на самом деле, несколько удивила. Видимо, просто добить решили то, что коллеги со стороны UA еще не закрыли, иначе я не могу это объяснить.
Вполне вероятно, что это страна регистрации ip адреса.
В одном тематическом чате увидел обсуждение не рабочего сервера на ip из диапазона 81.22.132.0 - 81.22.132.255.
Участники чата прогнали его через ping-admin и получили вот такой результат: Telegram: Contact @protocol_vpn. Я перепроверил и у меня возникло такое впечатление, что из российских. дата-цкнтров указанный адрес пингуется, а вот из обычного интернета нет. Я вбил айпишник в Проверить IP адрес онлайн, информация по IP адресу, страна, город, провайдер и там показывается страна регистрации Украина, а упомянутый в том же чате IP and website location: Check host - online website monitoring ни какой Украины не определяет, а на сайте “serva one” написано только про Юнайтед Кингдом.
В базах RIPE адрес может иметь статус allocated или assigned. Но это, зачастую, не имеет отношения к географии использования адреса, если вы не пытаетесь заставить интернет ходить строем. В противном случае получаете чебурнет (не кванмён, не китайский сектор, а неведома зверушка).
xn----7sba7aachdbqfnhtigrl.xn--j1amh использует Cloudflare
Вместе с адресами блокируют сайты UA. Блокировка SNI на ТСПУ. Как минимум, по маске *.ua (т.e. включает .ua) . Адрес назначения любой.
нету маски, множество других .ua работают
В моих тестах есть.
google.com.ua?
Да и это SNI, но возможно часть адресов исключена для этого правила
у меня работает, рт сз. и вот еще например https://epicentrk.ua/ работает. По доменам выше (2ip.ua, pp.ua,…) у меня таймаут, а вот из реестра https://war.ukraine.ua/ приходит tcp reset
Значит не все сайты, по факту, блокируют, зависит от адреса. Но маска для блокировки SNI общая.
В globalcheck https://epicentrk.ua/ и https://google.com.ua недоступны через все сенсоры используемые для бесплатных тестов.
Блокируют, вероятно, как-то необычно, предположительно, на каких-то (каком-то?) магистральном провайдере, т.к. доступность у разных операторов разная.
Блокировка диапазонов ITLDC выдаёт разные результаты на разных провайдерах:
185.14.28.0/22
217.12.206.0/23
82.118.20.0/22
2a02:27ab::/32
2a00:1ca8::/32
Эти диапазоны используются в Нидерландском и Польском датацентрах. Из общего в 4 из 5 случаев только то, что в качестве ORG указана организация с адресом в Украине. При этом последний диапазон закреплён за Нидерландской компанией, и также недоступен у малой части операторов.
И дополнительно, действительно, блокируют SNI *.ua, уже, видимо, на «обычных» провайдерских ТСПУ.
Не понятно, на каком основании блокируют целые диапазоны дата-центров? И что делать людям, пострадавшим от очередных ковровых блокировок?
Разный результат может быть из-за разницы в обновлениях. В прежней точке уже не наблюдаю тех блокировок. Хоп был ТСПУшный (но возможно я что-то путаю).
Заметил, что блокировки по подсетям и *.ua сняли, Ростелеком.
