ProHoster > Blog > Rêveberî > Bi DNSTAp û BGP re astengkirina ILV derbas bikin

Bi DNSTAp û BGP re astengkirina ILV derbas bikin

Bi DNSTAp û BGP re astengkirina ILV derbas bikin

Mijar pir lêdan e, ez dizanim. Ji bo nimûne, mezin heye gotara, lê tenê beşa IP-ya navnîşa blokê li wir tê hesibandin. Em ê domanan jî zêde bikin.

Ji ber ku dadgeh û RKN her tiştî rast û çep asteng dikin, û pêşkêşker bi dijwarî hewl didin ku nekevin bin cezayên ku ji hêla Revizorro ve hatine derxistin, zirarên têkildar ên ji astengkirinê pir mezin in. Û di nav malperên "qanûnî" yên astengkirî de gelek yên kêrhatî hene (silav, rutracker)

Ez li derveyî hiqûqa RKNê dijîm, lê dê û bav, xizm û hevalên min li malê man. Ji ber vê yekê biryar hate girtin ku ji bo kesên dûrî IT-ê rêyek hêsan were peyda kirin da ku astengkirinê derbas bikin, bi tercîh bêyî tevlêbûna wan.

Di vê têbînîyê de, ez ê tiştên torê yên bingehîn bi gavan rave nekim, lê ez ê prensîbên gelemperî yên ku ev plan çawa dikare were bicîh kirin vebêjim. Ji ber vê yekê zanîna ku torê bi gelemperî û bi taybetî di Linux-ê de çawa dixebite pêdivî ye.

Cureyên qefleyan

Pêşî, bila em bîranîna xwe ya ku têne asteng kirin nûve bikin.

Di XML-ya nebarkirî ya ji RKN de çend celeb kilît hene:

  • IP
  • Dîrok
  • URL

Ji bo sadebûnê, em ê wan kêm bikin du: IP û domain, û em ê bi tenê domainê ji astengkirina URL-ê derxînin (bi rasttir, wan jixwe ev yek ji me re kiriye).

mirovên baş ji Roskomsvoboda ecêbek ecêb fêm kir API, bi rêya ku em dikarin tiştên ku ji me re hewce ne bistînin:

Gihîştina malperên astengkirî

Ji bo vê yekê, em hewceyê hin VPS-yên piçûk ên biyanî, bi tercîh bi seyrûsefera bêsînor - ji van 3-5 dolaran gelek hene. Pêdivî ye ku hûn wê li derûdora nêzîk bigirin da ku ping ne pir mezin be, lê dîsa jî, bihesibînin ku Înternet û erdnîgarî her gav li hev nakin. Û ji ber ku SLA ji bo 5 dolaran tune, çêtir e ku hûn ji bo tolerasyona xeletiyê 2+ perçe ji pêşkêşkerên cihêreng bistînin.

Dûv re, pêdivî ye ku em tunelek şîfrekirî ji routerê xerîdar heya VPS-ê saz bikin. Ez Wireguard wekî sazkirina herî zû û hêsan bikar tînim. Di heman demê de min routerên xerîdar ên li ser Linux-ê jî hene (APU2 an tiştek di OpenWRT de). Di doza hin Mikrotik / Cisco de, hûn dikarin protokolên ku li ser wan hene mîna OpenVPN û GRE-ser-IPSEC bikar bînin.

Nasname û beralîkirina seyrûsefera berjewendiyê

Bê guman, hûn dikarin hemî seyrûsefera Înternetê bi navgîniya welatên biyanî veqetînin. Lê, bi îhtîmalek mezin, leza xebata bi naveroka herêmî re dê ji vê yekê pir zirarê bibîne. Zêdetir, hewcedariyên bandwidthê yên li ser VPS-ê dê pir zêde be.

Ji ber vê yekê, em ê hewce ne ku bi rengek seyrûseferê ji malperên astengkirî re veqetînin û bi bijartî wê ber bi tunelê ve bi rê ve bibin. Her çend hin seyrûsefera "zêde" bigihîje wir, dîsa jî ew ji ajotina her tiştî di tunelê re pir çêtir e.

Ji bo birêvebirina seyrûseferê, em ê protokola BGP bikar bînin û rêyên torên pêwîst ji VPS-ya xwe ji xerîdaran re ragihînin. Werin em BIRD-ê wekî yek ji şeytanên BGP-ê yên herî fonksiyonel û rehet bigirin.

IP

Bi astengkirina IP-ê re, her tişt zelal e: em bi tenê hemî IP-yên astengkirî bi VPS-ê ragihînin. Pirsgirêk ev e ku di navnîşa ku API vedigere de nêzî 600 hezar subnet hene, û pirraniya wan / 32 mêvandar in. Ev hejmara rêgezan dikare rêçikên xerîdar ên qels tevlihev bike.

Ji ber vê yekê, dema ku navnîşê hilberandin, biryar hat girtin ku ger 24 an bêtir mêvandar hebin heya torê / 2 kurt bikin. Bi vî awayî hejmara rêyan daket 100 hezarî. Skrîpta ji bo vê dê li pey.

Domains

Ew tevlihevtir e û çend awayan hene. Mînakî, hûn dikarin li ser her routerê xerîdar Squidek şefaf saz bikin û li wir navgîniya HTTP-ê bikin û li desta TLS binihêrin da ku di doza yekem de URL-ya daxwazkirî û di ya duyemîn de jî domainê ji SNI-yê bistînin.

Lê ji ber hemî cûrbecûr TLS1.3 + eSNI-ya nû, analîza HTTPS her roj kêmtir rast dibe. Erê, û binesaziya li milê xerîdar her ku diçe tevlihevtir dibe - hûn neçar in ku bi kêmanî OpenWRT bikar bînin.

Ji ber vê yekê, min biryar da ku rêça bersivdana bersivên pirsên DNS-ê bigirim. Li vir jî, her DNS-ser-TLS / HTTPS dest pê dike ku li ser serê we digere, lê em dikarin (ji bo nuha) vê beşê li ser xerîdar kontrol bikin - an wê neçalak bikin an jî servera xwe ji bo DoT / DoH bikar bînin.

Meriv çawa DNS-ê digire?

Li vir jî, dibe ku çend nêzîkatî hebin.

  • Destpêkirina seyrûsefera DNS bi PCAP an NFLOG
    Van her du rêbazên destgirtinê di navgîniyê de têne bicîh kirin sidmat. Lê ew ji demek dirêj ve nehatiye piştgirî kirin û fonksiyonel pir primitive e, ji ber vê yekê hûn hîn jî hewce ne ku ji bo wê xêzek binivîsin.
  • Analîzkirina têketinên servera DNS
    Mixabin, vegerên ku ji min re têne zanîn nekarin bersivan, lê tenê daxwazan tomar bikin. Di prensîbê de, ev mentiqî ye, ji ber ku, berevajî daxwazan, bersiv xwedan avahiyek tevlihev in û nivîsandina wan di forma nivîsê de dijwar e.
  • DNSTap
    Xwezî, gelek ji wan jixwe ji bo vê armancê DNSTap piştgirî dikin.

DNSTap çi ye?

Bi DNSTAp û BGP re astengkirina ILV derbas bikin

Ew protokolek xerîdar-pêşkêşker e ku li ser bingeha Protokola Buffers û Frame Streams e ku ji bo veguheztina ji serverek DNS-ê berbi berhevkarek pirs û bersivên DNS-ya sazkirî ve ye. Di bingeh de, servera DNS metadata pirs û bersivê (cûreya peyamê, IP-ya xerîdar / pêşkêşkar, hwd.) û peyamên DNS-ê yên bêkêmasî di forma (binary) de ku ew bi wan re li ser torê dixebite vediguhezîne.

Girîng e ku meriv fêm bike ku di paradîgmaya DNSTap de, servera DNS wekî xerîdar û berhevkar wekî serverek tevdigere. Ango, servera DNS bi berhevkerê ve girêdide, û ne berevajî.

Îro DNSTap di hemî pêşkêşkerên DNS yên populer de piştgirî dike. Lê, mînakî, BIND di gelek belavkirinan de (mîna Ubuntu LTS) bi gelemperî ji ber hin sedeman bêyî piştgiriya wê tê çêkirin. Ji ber vê yekê bila em ji nûvesazkirinê re aciz nebin, lê vegerek siviktir û zûtir bistînin - Unbound.

Meriv çawa DNSTap digire?

Ð • n, Nûh * de hin hejmarek Karûbarên CLI-ê ji bo xebitandina bi rûkalek bûyerên DNSTap re, lê ew ji bo çareserkirina pirsgirêka me ne maqûl in. Ji ber vê yekê, min biryar da ku bisîkleta xwe îcad bikim ku dê her tiştê ku hewce bike bike: dnstap-bgp

Algorîtmaya xebatê:

  • Dema ku dest pê kir, ew navnîşek domanan ji pelek nivîsê bar dike, wan berovajî dike (habr.com -> com.habr), xêzên şikestî, dubare û jêrdomainan ji holê radike (ango heke navnîş habr.com û www.habr.com hebe, ew ê tenê ya yekem were barkirin) û ji bo lêgerîna bilez di nav vê navnîşê de darek pêşgir ava dike
  • Wekî serverek DNSTap tevdigere, ew li benda girêdanek ji serverek DNS ye. Di prensîbê de, ew hem soketên UNIX û hem jî TCP piştgirî dike, lê serverên DNS yên ku ez dizanim tenê dikarin soketên UNIX bikar bînin.
  • Pakêtên DNSTap-ê yên hatina pêşî di nav avahiyek Protobuf de têne deserialîze kirin, û dûv re jî peyama DNS-ya binary bixwe, ku li yek ji zeviyên Protobuf-ê ye, di asta tomarên DNS RR de tê pars kirin.
  • Ew tê kontrol kirin ka mêvandarê daxwazkirî (an domaina dêûbavê wê) di navnîşa barkirî de ye, heke na, bersiv nayê paşguh kirin.
  • Tenê A/AAAA/CNAME RR ji bersivê têne hilbijartin û navnîşanên IPv4/IPv6 yên têkildar ji wan têne derxistin.
  • Navnîşanên IP-ê bi TTL-ya mîhengkirî ve têne cach kirin û ji hemî hevalên BGP-ê yên mîhengkirî re têne reklam kirin.
  • Dema ku bersivek werdigire ku ji IP-ya jixwe vekêşandî destnîşan dike, TTL-ya wê tê nûve kirin
  • Piştî ku TTL qediya, têketin ji cache û ji ragihandinên BGP tê derxistin

Fonksiyona zêde:

  • Ji hêla SIGHUP ve navnîşa domainan ji nû ve dixwînin
  • Rakirina cache bi mînakên din re dnstap-bgp bi rêya HTTP/JSON
  • Cache-ya li ser dîskê (di databasa BoltDB de) dubare bikin da ku naveroka wê piştî destpêkirinê nûve bikin.
  • Piştgiriya ji bo guheztina cîhê navek torê ya cûda (çima ev hewce ye dê li jêr were vegotin)
  • Piştgiriya IPv6

Sînor

  • Domên IDN hîn nayên piştgirî kirin
  • Çend mîhengên BGP

Min berhev kir RPM û DEB pakêtên ji bo sazkirina hêsan. Pêdivî ye ku li ser hemî OS-ên nisbeten dawî yên bi systemd re bixebite. ti girêdayiyên wan nînin.

Scheme

Ji ber vê yekê, bila em dest bi berhevkirina hemî pêkhatan bi hev re bikin. Wekî encamek, divê em tiştek mîna vê topolojiya torê bistînin:
Bi DNSTAp û BGP re astengkirina ILV derbas bikin

Mantiqa xebatê, ez difikirim, ji diagramê zelal e:

  • Xerîdar servera me wekî DNS hatî mîheng kirin, û pirsên DNS-ê jî divê li ser VPN-ê biçin. Ev pêdivî ye ku dabînker nikaribe astengkirina DNS-ê bikar bîne.
  • Dema vekirina malperê, xerîdar pirsek DNS-ê wekî "IP-yên xxx.org çi ne" dişîne.
  • Unbound xxx.org çareser dike (an wê ji cache digire) û bersivek ji xerîdar re dişîne "xxx.org IP-ya wusa û wusa heye", wê bi DNSTap re paralel dubare dike.
  • dnstap-bgp van navnîşanan radigihîne TEYR bi rêya BGP ger domain di navnîşa astengkirî de ye
  • TEYR bi van IP-yan re rêyek reklam dike next-hop self router muwekîlê
  • Pakêtên paşîn ên ji xerîdar ji van IP-yan re di tunelê re derbas dibin

Li ser serverê, ji bo rêwiyên berbi malperên astengkirî, ez tabloyek cihêreng di hundurê BIRD-ê de bikar tînim û ew bi tu awayî bi OS-ê re nagire.

Vê nexşeyê kêmasiyek heye: yekem pakêta SYN ji xerîdar, bi îhtîmalek mezin, dê dem hebe ku bi riya peydakarê navxweyî derkeve. rê tavilê nayê ragihandin. Û li vir vebijark li gorî ka peydaker çawa astengkirinê dike vebijark mimkun in. Ger ew tenê trafîkê davêje, wê hingê pirsgirêk tune. Û heke ew wê beralî bike hin DPI, wê hingê (teorîk) bandorên taybetî gengaz in.

Di heman demê de mimkun e ku xerîdar rêzê ji kerametên DNS TTL re negirin, ku dikare bibe sedem ku xerîdar li şûna ku ji Unbound bipirse, hin navnîşên gemar ji cacheya xweya xerabûyî bikar bîne.

Di pratîkê de, ne ya yekem û ne jî ya duyemîn ji min re pirsgirêk çênebû, lê dibe ku mîlê we cûda bibe.

Server Tuning

Ji bo hêsankirina gerandinê, min nivîsand rola ji bo Ansible. Ew dikare hem pêşkêşker û hem jî xerîdar li ser bingeha Linux-ê (ji bo belavkirinên-based deb-ê hatî sêwirandin) mîheng bike. Hemî mîhengan pir eşkere ne û di nav de têne danîn envanter.yml. Ev rol ji lîstika min a mezin hatî qut kirin, ji ber vê yekê dibe ku xeletiyan hebe - vekişandin bi xêr hatî 🙂

Werin em ji pêkhateyên sereke derbas bibin.

BGP

Bi xebitandina du şeytanên BGP-ê li ser heman mêvandar pirsgirêkek bingehîn heye: BIRD naxwaze peering BGP bi localhost re saz bike (an jî navbeynkariya herêmî). Ji peyva li hemû. Googl û xwendina navnîşên nameyê ne alîkar bû, ew îdîa dikin ku ev ji hêla sêwiranê ve ye. Belkî rêyek heye, lê min ew nedît.

Hûn dikarin daemonek din a BGP biceribînin, lê ez ji BIRD hez dikim û ew li her derê ji hêla min ve tê bikar anîn, ez naxwazim saziyan hilber bikim.

Ji ber vê yekê, min dnstap-bgp di hundurê cîhê navên torê de veşart, ku bi navgîniya veth ve bi root ve girêdayî ye: ew mîna boriyek e, ku dawiya wê di nav navên cihêreng de derdikeve. Li ser her yek ji van dawiyan, em navnîşanên IP-ya p2p yên taybet ên ku ji mêvandarê wêdetir naçin, daleqandî dikin, ji ber vê yekê ew dikarin bibin her tişt. Ev heman mekanîzmaya ku ji bo gihîştina pêvajoyên hundur tê bikar anîn e ji aliyê hemûyan ve tê hezkirin Docker û konteynerên din.

Ji bo vê hatiye nivîsandin nivîs û fonksiyona ku berê li jor hatî destnîşan kirin ji bo ku xwe bi porê bikişîne nav cîhek navekî din li dnstap-bgp hate zêdekirin. Ji ber vê yekê, divê ew wekî root were xebitandin an bi navgîniya fermana setcap-ê ji binary CAP_SYS_ADMIN re were derxistin.

Nimûne skrîpta ji bo afirandina cîhê navan

#!/bin/bash

NS="dtap"

IP="/sbin/ip"
IPNS="$IP netns exec $NS $IP"

IF_R="veth-$NS-r"
IF_NS="veth-$NS-ns"

IP_R="192.168.149.1"
IP_NS="192.168.149.2"

/bin/systemctl stop dnstap-bgp || true

$IP netns del $NS > /dev/null 2>&1
$IP netns add $NS

$IP link add $IF_R type veth peer name $IF_NS
$IP link set $IF_NS netns $NS

$IP addr add $IP_R remote $IP_NS dev $IF_R
$IP link set $IF_R up

$IPNS addr add $IP_NS remote $IP_R dev $IF_NS
$IPNS link set $IF_NS up

/bin/systemctl start dnstap-bgp

dnstap-bgp.conf

namespace = "dtap"
domains = "/var/cache/rkn_domains.txt"
ttl = "168h"

[dnstap]
listen = "/tmp/dnstap.sock"
perm = "0666"

[bgp]
as = 65000
routerid = "192.168.149.2"

peers = [
    "192.168.149.1",
]

çûk.conf

router id 192.168.1.1;

table rkn;

# Clients
protocol bgp bgp_client1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.2 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    export all;
    import none;
}

# DNSTap-BGP
protocol bgp bgp_dnstap {
    table rkn;
    local as 65000;
    neighbor 192.168.149.2 as 65000;
    direct;
    passive on;
    rr client;
    import all;
    export none;
}

# Static routes list
protocol static static_rkn {
    table rkn;
    include "rkn_routes.list";
    import all;
    export none;
}

rkn_routes.list

route 3.226.79.85/32 via "ens3";
route 18.236.189.0/24 via "ens3";
route 3.224.21.0/24 via "ens3";
...

DNS

Ji hêla xwerû, di Ubuntu de, binarya Unbound ji hêla profîla AppArmor ve tê girtin, ku ew qedexe dike ku ew bi her cûre soketên DNSTap ve were girêdan. Hûn dikarin vê profîlê jêbikin, an jî neçalak bikin:

# cd /etc/apparmor.d/disable && ln -s ../usr.sbin.unbound .
# apparmor_parser -R /etc/apparmor.d/usr.sbin.unbound

Divê ev belkî li pirtûkxaneya lîstikê were zêdekirin. Bê guman, îdeal e ku meriv profîlê rast bike û mafên pêwîst derxîne, lê ez pir tembel bûm.

negirêdayî.conf

server:
    chroot: ""
    port: 53
    interface: 0.0.0.0
    root-hints: "/var/lib/unbound/named.root"
    auto-trust-anchor-file: "/var/lib/unbound/root.key"
    access-control: 192.168.0.0/16 allow

remote-control:
    control-enable: yes
    control-use-cert: no

dnstap:
    dnstap-enable: yes
    dnstap-socket-path: "/tmp/dnstap.sock"
    dnstap-send-identity: no
    dnstap-send-version: no

    dnstap-log-client-response-messages: yes

Daxistin û lîsteyên pêvajoyê

Skrîpt ji bo dakêşandin û hilanîna navnîşek navnîşanên IP-yê
Ew navnîşê dakêşîne, bi kurteya pêşgir pfx. ew dont_add и ne_kurtkirin hûn dikarin ji IP-yan û toran re bibêjin ku bişkînin an kurt nekin. Min ew hewce kir. subnet ya VPS-a min di navnîşa blokê de bû 🙂

Tiştê xweş ev e ku RosKomSvoboda API daxwazên bi kargêrê bikarhênerê Python-ê yê xwerû re asteng dike. Wusa dixuye ku senaryo-kiddy ew girtiye. Ji ber vê yekê, em wê bi Ognelis veguherînin.

Heya nuha, ew tenê bi IPv4 re dixebite. para IPv6 piçûk e, lê ew ê hêsan be ku were rast kirin. Heya ku hûn neçar bimînin ku bird6 jî bikar bînin.

rkn.py

#!/usr/bin/python3

import json, urllib.request, ipaddress as ipa

url = 'https://api.reserve-rbl.ru/api/v2/ips/json'
pfx = '24'

dont_summarize = {
    # ipa.IPv4Network('1.1.1.0/24'),
}

dont_add = {
    # ipa.IPv4Address('1.1.1.1'),
}

req = urllib.request.Request(
    url,
    data=None, 
    headers={
        'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36'
    }
)

f = urllib.request.urlopen(req)
ips = json.loads(f.read().decode('utf-8'))

prefix32 = ipa.IPv4Address('255.255.255.255')

r = {}
for i in ips:
    ip = ipa.ip_network(i)
    if not isinstance(ip, ipa.IPv4Network):
        continue

    addr = ip.network_address

    if addr in dont_add:
        continue

    m = ip.netmask
    if m != prefix32:
        r[m] = [addr, 1]
        continue

    sn = ipa.IPv4Network(str(addr) + '/' + pfx, strict=False)

    if sn in dont_summarize:
        tgt = addr
    else:
        tgt = sn

    if not sn in r:
        r[tgt] = [addr, 1]
    else:
        r[tgt][1] += 1

o = []
for n, v in r.items():
    if v[1] == 1:
        o.append(str(v[0]) + '/32')
    else:
        o.append(n)

for k in o:
    print(k)

Skrîpta nûvekirinê
Ez rojê carekê wê li ser tacê dimeşînim, belkî hêjayî kişandina wê her 4 demjimêran be. ev, bi dîtina min, heyama nûvekirinê ye ku RKN ji pêşkêşkeran hewce dike. Zêdetir, wan hin astengên din ên super-lezgîn hene, ku dibe ku zûtir bigihîjin.

Ya jêrîn dike:

  • Skrîpta yekem dimeşîne û navnîşa rêgezan nûve dike (rkn_routes.list) ji bo BIRD
  • BIRD ji nû ve barkirin
  • Ji bo dnstap-bgp navnîşa domên nûve dike û paqij dike
  • Dnstap-bgp ji nû ve barkirin

rkn_update.sh

#!/bin/bash

ROUTES="/etc/bird/rkn_routes.list"
DOMAINS="/var/cache/rkn_domains.txt"

# Get & summarize routes
/opt/rkn.py | sed 's/(.*)/route 1 via "ens3";/' > $ROUTES.new

if [ $? -ne 0 ]; then
    rm -f $ROUTES.new
    echo "Unable to download RKN routes"
    exit 1
fi

if [ -e $ROUTES ]; then
    mv $ROUTES $ROUTES.old
fi

mv $ROUTES.new $ROUTES

/bin/systemctl try-reload-or-restart bird

# Get domains
curl -s https://api.reserve-rbl.ru/api/v2/domains/json -o - | jq -r '.[]' | sed 's/^*.//' | sort | uniq > $DOMAINS.new

if [ $? -ne 0 ]; then
    rm -f $DOMAINS.new
    echo "Unable to download RKN domains"
    exit 1
fi

if [ -e $DOMAINS ]; then
    mv $DOMAINS $DOMAINS.old
fi

mv $DOMAINS.new $DOMAINS

/bin/systemctl try-reload-or-restart dnstap-bgp

Ew bêyî pir fikirîn hatine nivîsandin, ji ber vê yekê heke hûn tiştek bibînin ku dikare were çêtir kirin - biçin wê.

Sazkirina xerîdar

Li vir ez ê ji bo routerên Linux-ê mînakan bidim, lê di mijara Mikrotik / Cisco de divê ew hê hêsantir be.

Pêşîn, me BIRD saz kir:

çûk.conf

router id 192.168.1.2;
table rkn;

protocol device {
    scan time 10;
};

# Servers
protocol bgp bgp_server1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.1 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    rr client;
    export none;
    import all;
}

protocol kernel {
    table rkn;
    kernel table 222;
    scan time 10;
    export all;
    import none;
}

Bi vî rengî, em ê rêyên ku ji BGP-ê hatine wergirtin bi tabloya rêvekirina kernelê ya hejmar 222 re hevdeng bikin.

Piştî wê, bes e ku meriv ji kernelê bipirse ku li vê plakaya binêre berî ku li ya xwerû binêre:

# ip rule add from all pref 256 lookup 222
# ip rule
0:  from all lookup local
256:    from all lookup 222
32766:  from all lookup main
32767:  from all lookup default

Her tişt, dimîne ku meriv DHCP-ê li ser routerê mîheng bike da ku navnîşana IP-ya tunelê ya serverê wekî DNS belav bike, û nexşe amade ye.

kêmasiyên

Bi algorîtmaya heyî ya ji bo hilberandin û hilberandina navnîşa domanan, di nav tiştên din de, youtube.com û CDNên wê.

Û ev yek rê dide vê rastiyê ku hemî vîdyoy dê bi VPN-ê re derbas bibin, ku dikare tevahiya kanalê bigire. Dibe ku hêja ye ku meriv navnîşek domên-dervekirinên populer ên ku RKN-ê ji bo wextê asteng dikin berhev bikin, gewher zirav in. Û dema parskirinê ji wan derbas bibin.

encamê

Rêbaza diyarkirî dihêle hûn hema hema her astengkirina ku pêşkêşkerên nuha bicîh dikin derbas bikin.

Baskî dnstap-bgp dikare ji bo armancek din were bikar anîn ku li ser bingeha navê domainê hin astek kontrolkirina trafîkê hewce ye. Tenê ji bîr mekin ku di dema me de, hezar malper dikarin li ser heman navnîşana IP-yê (mînakî li pişt hin Cloudflare, mînakî) daliqînin, ji ber vê yekê ev rêbaz xwedan rastiyek pir kêm e.

Lê ji bo hewcedariyên dorpêçkirina qefleyan, ev têr e.

Zêdekirin, guherandin, daxwazên kişandinê - bi xêr hatî!

Source: www.habr.com

Add a comment