Se pa sekrè ke kontwòl la nan bloke sou lis la nan enfòmasyon entèdi nan Larisi kontwole pa sistèm nan otomatik "Enspektè". Ki jan li fonksyone ekri byen isit la nan sa a , foto ki soti nan menm kote a:
Enstale dirèkteman nan founisè a :
Modil "Ajan Enspektè" a se yon eleman estriktirèl nan sistèm otomatik "Enspektè" (AS "Enspektè"). Sistèm sa a fèt pou kontwole konfòmite operatè telecom ak kondisyon restriksyon aksè nan kad dispozisyon ki etabli nan Atik 15.1-15.4 nan Lwa Federal 27 Jiyè 2006 Nimewo 149-FZ “Sou Enfòmasyon, Teknoloji Enfòmasyon ak Pwoteksyon Enfòmasyon. ”
Objektif prensipal kreye AS "Revizor" se asire siveyans konfòmite operatè telecom yo ak kondisyon ki etabli nan Atik 15.1-15.4 nan Lwa Federal 27 Jiyè 2006 No 149-FZ "Sou enfòmasyon, teknoloji enfòmasyon ak pwoteksyon enfòmasyon. " an tèm de idantifye reyalite aksè a enfòmasyon entèdi ak jwenn materyèl sipò (done) sou vyolasyon restriksyon sou aksè a enfòmasyon entèdi.
Lè w ap konsidere lefèt ke, si se pa tout, Lè sa a, anpil founisè te enstale aparèy sa a, ta dwe gen yon gwo rezo sond baliz tankou e menm plis, men ak aksè fèmen. Sepandan, yon baliz se yon baliz pou voye siyal nan tout direksyon, men e si nou kenbe yo epi wè sa nou kenbe ak konbyen?
Anvan nou konte, ann wè poukisa sa ka menm posib.
Yon ti jan nan teyori
Ajan yo tcheke disponiblite yon resous, tankou atravè demann HTTP(S), tankou sa a:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
HTTP, "GET /somepage HTTP/1.1"
TCP, 80 > 14678, "[ACK] Seq=1 Ack=71"
HTTP, "HTTP/1.1 302 Found"
TCP, 14678 > 80, "[FIN, ACK] Seq=71 Ack=479"
TCP, 80 > 14678, "[FIN, ACK] Seq=479 Ack=72"
TCP, 14678 > 80, "[ACK] Seq=72 Ack=480"
Anplis chaj la, demann lan konsiste tou de yon faz etablisman koneksyon: echanj SYN и SYN-ACK, ak faz fini koneksyon: FIN-ACK.
Rejis enfòmasyon entèdi a gen plizyè kalite bloke. Li evidan, si yon resous bloke pa adrès IP oswa non domèn, Lè sa a, nou pa pral wè okenn demann. Sa yo se kalite ki pi destriktif nan bloke, ki mennen nan inaksesiblite a nan tout resous sou yon adrès IP oswa tout enfòmasyon sou yon domèn. Genyen tou yon "pa URL" kalite bloke. Nan ka sa a, sistèm filtraj la dwe analize header demann HTTP pou detèmine egzakteman sa pou bloke. Epi anvan li, jan yo ka wè pi wo a, ta dwe gen yon faz etablisman koneksyon ke ou ka eseye swiv, depi gen plis chans filtre a pral manke li.
Pou fè sa, ou bezwen chwazi yon domèn gratis ki apwopriye ak "URL" ak HTTP bloke kalite a fasilite travay la nan sistèm nan filtraj, de preferans depi lontan abandone, pou misyon pou minimize antre nan trafik etranje eksepte soti nan Ajan. Travay sa a te vin pa ditou gen anpil domèn gratis nan rejis enfòmasyon entèdi ak pou chak gou. Se poutèt sa, domèn nan te achte ak lye nan adrès IP sou yon VPS kouri tcpdump epi konte a te kòmanse.
Odit nan "Oditè"
Mwen te espere wè detanzantan demann, ki nan opinyon mwen ta endike aksyon kontwole. Li enposib di ke mwen pa t 'wè li ditou, men pa te definitivman pa gen okenn foto klè:
Ki se pa etone, menm sou yon domèn ke pèsonn pa bezwen ak sou yon IP pa janm itilize, pral tou senpleman gen yon tòn enfòmasyon ki pa mande, tankou entènèt la modèn. Men, erezman, mwen sèlman bezwen demann pou yon URL espesifik, kidonk tout eskanè yo ak crackers modpas yo te byen vit jwenn. Epitou, li te byen fasil pou konprann ki kote inondasyon an te baze sou mas la nan demann ki sanble. Apre sa, mwen te konpile frekans adrès IP yo epi mwen te ale nan tout tèt la manyèlman, separe moun ki te rate li nan etap anvan yo. Anplis de sa, mwen koupe tout sous yo ki te voye nan yon sèl pake, pa te gen anpil nan yo ankò. Men sa ki te pase:
Yon ti digression lirik. Yon ti kras plis pase yon jou apre, founisè hosting mwen an te voye yon lèt ak yon kontni olye rasyonalize, li di ke enstalasyon ou yo gen yon resous ki soti nan lis la entèdi RKN, kidonk li bloke. Okòmansman mwen te panse ke kont mwen an te bloke, sa a pa t 'ka a. Lè sa a, mwen te panse ke yo te tou senpleman avèti m 'sou yon bagay mwen te deja konnen sou. Men, li te tounen soti ke hoster la vire sou filtè li yo devan domèn mwen an ak kòm yon rezilta mwen te vin anba doub filtraj: soti nan founisè yo ak nan men hoster la. Filtè a sèlman te pase nan fen demann yo: FIN-ACK и RST koupe tout HTTP nan yon URL entèdi. Kòm ou ka wè nan graf ki anwo a, apre premye jou a mwen te kòmanse resevwa mwens done, men mwen te toujou resevwa li, ki te ase ase pou travay la nan konte sous demann.
Ale nan pwen an. Dapre mwen, de eklat yo klèman vizib chak jou, premye a pi piti, apre minwi Moskou tan, dezyèm lan pi pre 6 am ak yon ke jiska 12 midi. Pik la pa rive egzakteman nan menm tan an. Okòmansman, mwen te vle chwazi adrès IP ki te tonbe sèlman nan peryòd sa yo ak chak nan tout peryòd, baze sou sipozisyon ke chèk pa Ajan yo fèt detanzantan. Men, apre yon revizyon atansyon, mwen byen vit dekouvri peryòd tonbe nan lòt entèval, ak lòt frekans, jiska yon demann chak èdtan. Lè sa a, mwen te panse sou zòn tan e ke petèt li te gen yon bagay fè ak yo, Lè sa a, mwen te panse ke an jeneral sistèm nan ta ka pa senkronize globalman. Anplis de sa, NAT pral pwobableman jwe yon wòl e menm Ajan an ka fè demann nan diferan IP piblik.
Piske objektif inisyal mwen an pa t egzakteman, mwen konte tout adrès mwen te rankontre nan yon semèn epi mwen te resevwa - 2791. Kantite sesyon TCP ki etabli nan yon adrès se an mwayèn 4, ak yon medyàn 2. Sesyon pi wo pou chak adrès: 464, 231, 149, 83, 77. Maksimòm nan 95% echantiyon an se 8 sesyon pou chak adrès. Medyan an pa trè wo, kite m fè w sonje ke graf la montre yon peryodik chak jou klè, kidonk yon moun ka atann yon bagay alantou 4 a 8 nan 7 jou. Si nou jete tout sesyon yo ki fèt yon fwa, nou pral jwenn yon medyàn egal a 5. Men, mwen pa t 'kapab eskli yo baze sou yon kritè klè. Okontrè, yon chèk o aza te montre ke yo te gen rapò ak demann pou yon resous entèdi.
Adrès yo se adrès, men sou entènèt la, sistèm otonòm - AS, ki te tounen soti yo dwe pi enpòtan 1510, an mwayèn 2 adrès pou chak AS ak yon medyàn 1. Adrès pi wo pou chak AS: 288, 77, 66, 39, 27. Maksimòm 95% echantiyon an se 4 adrès pou chak AS. Isit la yo espere medyàn nan - yon Ajan pou chak founisè. Nou espere tou tèt la - gen gwo jwè ladan l. Nan yon gwo rezo, Ajan yo ta dwe pwobableman sitiye nan chak rejyon nan prezans operatè a, epi pa bliye sou NAT. Si nou pran li pa peyi, maksimòm yo pral: 1409 - RU, 42 - UA, 23 - CZ, 36 soti nan lòt rejyon yo, pa RIPE NCC. Demann ki soti deyò Larisi atire atansyon. Sa a ka pwobableman eksplike pa erè jeolokalizasyon oswa erè rejistrè lè w ranpli done yo. Oswa lefèt ke yon konpayi Ris ka pa gen rasin Ris, oswa gen yon biwo reprezantan etranje paske li se pi fasil, ki se natirèl lè fè fas ak yon òganizasyon etranje RIPE NCC. Gen kèk pati se san dout initil, men li difisil pou separe li, depi resous la se anba bloke, ak soti nan dezyèm jou a anba bloke doub, ak pifò sesyon yo se jis yon echanj nan plizyè pake sèvis. Ann dakò ke sa a se yon ti pati.
Nimewo sa yo ka deja konpare ak kantite founisè nan Larisi. lisans pou "Sèvis kominikasyon pou transmisyon done, eksepte vwa" - 6387, men sa a se yon estimasyon trè wo nan pi wo a, se pa tout lisans sa yo aplike espesyalman pou founisè entènèt ki bezwen enstale yon Ajan. Nan zòn RIPE NCC a gen yon kantite ASes ki similè anrejistre nan Larisi - 6230, ki pa tout se founisè. epi li te resevwa 3940 konpayi an 2017, e sa se pito yon estimasyon ki soti anwo. Nan nenpòt ka, nou gen de fwa ak yon mwatye mwens kantite AS eklere. Men, isit la li vo konprann ke AS se pa entèdi egal ak founisè a. Gen kèk founisè ki pa gen pwòp AS yo, gen kèk ki gen plis pase yon sèl. Si nou sipoze ke tout moun toujou gen Ajan, Lè sa a, yon moun filtre pi fò pase lòt moun, pou ke demann yo pa distenge ak fatra, si yo rive jwenn yo nan tout. Men, pou yon evalyasyon ki graj li se byen tolerab, menm si yon bagay te pèdi akòz sipèvizyon mwen.
Konsènan DPI
Malgre lefèt ke founisè hosting mwen an vire sou filtè li yo kòmanse nan dezyèm jou a, ki baze sou enfòmasyon ki soti nan premye jou a nou ka konkli ke bloke a ap travay avèk siksè. Se sèlman 4 sous yo te kapab jwenn nan epi yo te konplètman ranpli sesyon HTTP ak TCP (tankou nan egzanp ki anwo a). Yon lòt 460 ka voye GET, men sesyon an imedyatman sispann pa RST. peye atansyon sou TTL:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TTL 50, TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
HTTP, "GET /filteredpage HTTP/1.1"
TTL 64, TCP, 80 > 14678, "[ACK] Seq=1 Ack=294"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST] Seq=3458729893"
TTL 53, TCP, 14678 > 80, "[RST] Seq=3458729893"
HTTP, "HTTP/1.1 302 Found"
#А это попытка исходного узла получить потерю
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[ACK] Seq=294 Ack=145"
TTL 50, TCP, 14678 > 80, "[FIN, ACK] Seq=294 Ack=145"
TTL 64, TCP, 80 > 14678, "[FIN, ACK] Seq=171 Ack=295"
TTL 50, TCP Dup ACK 14678 > 80 "[ACK] Seq=295 Ack=145"
#Исходный узел понимает что сессия разрушена
TTL 50, TCP, 14678 > 80, "[RST] Seq=294"
TTL 50, TCP, 14678 > 80, "[RST] Seq=295"
Varyasyon sa a ka diferan: mwens RST oswa plis retransmèt - tou depann de sa filtè a voye nan ne sous la. Nan nenpòt ka, sa a se modèl ki pi serye, ki soti nan ki li klè ke li te yon resous entèdi ki te mande. Plus toujou gen yon repons ki parèt nan sesyon an ak TTL pi gran pase nan pakè anvan ak ki vin apre yo.
Ou pa menm ka wè li nan rès la GET:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST] Seq=1"
Oswa konsa:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TTL 50, TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST, PSH] Seq=1"
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[FIN, ACK] Seq=89 Ack=172"
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[FIN, ACK] Seq=89 Ack=172"
#Опять фильтр, много раз
TTL 53, TCP, 14678 > 80, "[RST, PSH] Seq=1"
...
Diferans lan se definitivman vizib TTL si yon bagay soti nan filtè a. Men, souvan pa gen anyen ki ka rive nan tout:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP Retransmission, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
...
Oswa konsa:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
#Прошло несколько секунд без трафика
TCP, 80 > 14678, "[FIN, ACK] Seq=1 Ack=1"
TCP Retransmission, 80 > 14678, "[FIN, ACK] Seq=1 Ack=1"
...
Ak tout bagay sa yo repete ak repete ak repete, jan yo ka wè sou graf la, plis pase yon fwa, chak jou.
Konsènan IPv6
Bon nouvèl la se ke li egziste. Mwen ka di seryezman ke demann peryodik nan yon resous entèdi rive soti nan 5 adrès IPv6 diferan, ki se egzakteman konpòtman Ajan yo ke mwen te espere. Anplis, youn nan adrès IPv6 yo pa tonbe anba filtraj epi mwen wè yon sesyon konplè. Soti nan de plis mwen te wè sèlman yon sèl sesyon fini, youn nan yo ki te entèwonp pa RST soti nan filtè a, dezyèm nan tan. Kantite total 7.
Depi gen kèk adrès, mwen etidye yo tout an detay epi li te vin wè ke gen sèlman 3 founisè la, yo ka bay yon ovasyon! Yon lòt adrès se nwaj hosting nan Larisi (pa filtre), yon lòt se yon sant rechèch nan Almay (gen yon filtè, ki kote?). Men, poukisa yo tcheke disponiblite a nan resous entèdi sou yon orè se yon bon kesyon. De rès yo te fè yon sèl demann epi yo sitiye deyò nan Larisi, ak youn nan yo se filtre (nan transpò piblik, apre tout?).
Bloke ak Ajan yo se yon gwo antrav IPv6, aplikasyon an pa deplase trè vit. Li tris. Moun ki rezoud pwoblèm sa a ka konplètman fyè de tèt yo.
Nan konklizyon
Mwen pa t 'fè efò pou 100% presizyon, tanpri padonnen m' pou sa a, mwen espere yon moun vle repete travay sa a ak pi gwo presizyon. Li te enpòtan pou mwen konprann si apwòch sa a ta travay nan prensip. Repons lan se wi. Figi yo jwenn yo, kòm yon premye apwoksimasyon, mwen panse, yo byen serye.
Ki lòt bagay te ka fè ak sa mwen te twò parese fè te konte demann DNS. Yo pa filtre, men yo tou pa bay anpil presizyon paske yo sèlman travay pou domèn nan, epi yo pa pou URL la tout antye. Frekans lan ta dwe vizib. Si ou konbine li ak sa ki vizib dirèkteman nan demann yo, sa pral pèmèt ou separe soti ki pa nesesè a epi jwenn plis enfòmasyon. Li se menm posib detèmine devlopè yo nan DNS yo itilize pa founisè yo ak plis ankò.
Mwen absoliman pa t 'atann ke hoster a ta gen ladan tou pwòp filtè li pou VPS mwen an. Petèt sa a se pratik komen. Nan fen a, RKN voye yon demann pou efase resous la bay hoster la. Men, sa a pa t ' sipriz m ' ak nan kèk fason menm te travay nan avantaj mwen. Filtè a te travay trè efikas, koupe tout demann HTTP kòrèk nan yon URL entèdi, men se pa sa ki kòrèk ki te deja pase nan filtè founisè yo te rive jwenn yo, kwake sèlman nan fòm lan nan fen: FIN-ACK и RST - mwens pou mwens epi li prèske te tounen yon plis. By wout la, IPv6 pa te filtre pa hoster la. Natirèlman, sa a afekte bon jan kalite a nan materyèl la kolekte, men li toujou fè li posib yo wè frekans lan. Li te tounen soti ke sa a se yon pwen enpòtan lè w ap chwazi yon sit pou mete resous pa bliye pran yon enterè nan pwoblèm nan nan òganize travay ak lis la nan sit entèdi ak demann ki soti nan RKN la.
Nan kòmansman an, mwen konpare AS "Enspektè" la ak . Konparezon sa a byen jistifye ak yon gwo rezo Ajan ka benefisye. Pou egzanp, detèmine kalite disponiblite resous ki soti nan diferan founisè nan diferan pati nan peyi a. Ou ka kalkile reta, ou ka bati graf, ou ka analize tout bagay epi wè chanjman ki fèt tou de lokalman ak globalman. Sa a se pa fason ki pi dirèk, men astwonòm yo sèvi ak "bouji estanda", poukisa yo pa sèvi ak Ajan yo? Lè w konnen (lè w te jwenn) konpòtman estanda yo, ou ka detèmine chanjman ki fèt bò kote yo ak kijan sa afekte kalite sèvis yo bay yo. Ak an menm tan an, ou pa bezwen poukont yo mete sond sou rezo a Roskomnadzor te deja enstale yo.
Yon lòt pwen mwen vle manyen sou se ke chak zouti ka yon zam. AS "Enspektè" se yon rezo fèmen, men Ajan yo remèt tout moun nan voye demann pou tout resous ki soti nan lis la entèdi. Gen yon resous konsa pa prezante okenn pwoblèm ditou. An total, founisè atravè Ajan yo, san yo pa vle, di anpil plis sou rezo yo pase sa ki pwobableman vo li: kalite DPI ak dns, kote Ajan an (nœud santral ak rezo sèvis?), makè rezo reta ak pèt - ak sa a se sèlman ki pi evidan. Menm jan yon moun ka kontwole aksyon Ajan yo pou amelyore disponiblite resous yo, yon moun ka fè sa pou lòt rezon e pa gen okenn obstak pou sa. Rezilta a se yon enstriman doub-bò ak anpil aspè, nenpòt moun ka wè sa.
Sous: www.habr.com