Min ji bo vê postê teşwîq kir .
Ez wê li vir binivîsim:
îro di 18:53 de
Ez îro ji pêşkêşkarê kêfxweş bûm. Ligel nûvekirina pergala blokekirina malperê, mail.ruya wî hat qedexekirin, ji sibê ve ez telefonî piştgiriya teknîkî dikim, lê ew nikarin tiştekî bikin. Pêşkêşkar piçûk e, û xuya ye ku pêşkêşkerên payebilind wê asteng dikin. Min di vekirina hemî malperan de hêdîbûnek jî dît, belkî wan celebek DLP-ya xelet saz kir? Berê tu pirsgirêk ji bo gihîştinê tune bûn. Hilweşîna RuNet li ber çavên min diqewime...
Rastî ev e ku wusa dixuye ku em heman pêşkêşker in :)
Û bi rastî, Min hema hema sedema pirsgirêkên mail.ru texmîn kir (tevî ku me demek dirêj red kir ku em bi tiştek weha bawer bikin).
Tiştê ku li jêr tê kirin dê bibe du beş:
- sedemên pirsgirêkên me yên heyî bi mail.ru û lêgerîna balkêş a dîtina wan
- hebûna ISP di rastiyên îroyîn de, aramiya serweriya RuNet.
Pirsgirêkên gihîştina bi mail.ru
Oh, ew çîrokek pir dirêj e.
Rastî ev e ku ji bo bicihanîna hewcedariyên dewletê (bêtir hûrgulî di beşa duyemîn de), me hin amûr kirîn, mîheng kirin û saz kirin - hem ji bo parzûnkirina çavkaniyên qedexe û hem jî ji bo bicîhkirinê. aboneyên.
Demek berê, me di dawiyê de bingeha torê bi vî rengî ji nû ve ava kir ku hemî seyrûsefera aboneyan ji vê amûreyê bi tundî di rêça rast de derbas bû.
Çend roj berê me fîlterkirina qedexe li ser wê vekir (dema ku pergala kevn di xebite) - xuya bû ku her tişt baş dimeşe.
Dûv re, wan hêdî hêdî dest pê kir ku NAT li ser vê amûrê ji bo beşên cihêreng ên aboneyan çalak bikin. Ji ber çavan, her tişt jî baş xuya bû.
Lê îro, ku NAT li ser alavên ji bo beşa din a aboneyan çalak kir, ji serê sibê ve em bi hejmarek guncan a gilî li ser tunebûn an hebûna qismî re rû bi rû man. û çavkaniyên din ên Koma Mail Ru.
Wan dest bi kontrolê kirin: tiştek li deverek carinan, caran dişîne di bersiva daxwazên bi taybetî ji torên mail.ru. Wekî din, ew TCP RST-ya bi xeletî hatî çêkirin (bê ACK) eşkere dişîne. Ya ku xuya bû ev e:
Bi xwezayî, ramanên yekem di derbarê alavên nû de bûn: DPI-ya tirsnak, pêbaweriyek pê re tune, hûn qet nizanin ew dikare çi bike - her tiştî, TCP RST di nav amûrên astengkirinê de tiştek pir hevpar e.
Gumanî Me di heman demê de fikra ku kesek "bilind" fîlter dike derxist pêş, lê tavilê ew avêtin.
Pêşîn, me girêdanên bi têra xwe saxlem hene da ku em neçar bimînin ku bi vî rengî cefayê bikişînin :)
Ya duyemîn, em bi çend kesan ve girêdayî ne li Moskowê, û seyrûsefera mail.ru bi wan re derbas dibe - û ne berpirsiyarî û ne jî sedemek din a fîlterkirina seyrûsefera wan heye.
Nîvê rojê yê din li ser tiştê ku bi gelemperî jê re shamanîzm tê gotin derbas bû - ligel firoşkarê amûran, ku em spasiya wan dikin, wan dev jê berneda :)
- fîlterkirin bi tevahî hate asteng kirin
- NAT bi karanîna nexşeya nû hate asteng kirin
- PC-ya ceribandinê di hewzek veqetandî de hate danîn
- Navnîşana IP-ê hate guhertin
Piştî nîvro, makîneyek virtual hate veqetandin ku li gorî nexşeya bikarhênerek birêkûpêk bi torê ve girêdayî bû, û nûnerên firoşker gihîştina wê û amûran hatin dayîn. Şamanîzm berdewam kir :)
Di dawiyê de, nûnerê firoşker bi pêbawerî got ku hardware bi tevahî tiştek pê re tune: rst ji deverek bilindtir têne.
bingotinDi vê nuqteyê de, dibe ku kes bibêje: lê pir hêsantir bû ku meriv ne ji PC-ya ceribandinê, lê ji otobana li jor DPI-yê hilkişîne?
Na, mixabin, avêtina avêtinê (û tewra tenê neynikê) 40 + gbps qet ne hindik e.
Piştî vê yekê, êvarê, ji bilî vegerê li cîhek li jor vegere ser texmîna filtrasyona xerîb.
Min li kîjan IX mêze kir ku seyrûsefera torên MRG naha tê de derbas dibe û bi hêsanî danişînên bgp jê re betal kir. Û - va ye! - her tişt di cih de vegeriya normalê 🙁
Ji aliyekî ve, şerm e ku tevahiya rojê di lêgerîna pirsgirêkê de derbas bû, her çend ew di pênc hûrdeman de hate çareser kirin.
Ji alîyek dî:
- Di bîra min de ev tiştekî nedîtî ye. Wekî ku min berê jî li jor nivîsî - IX rastî ti xala fîlterkirina trafîka transît tune. Bi gelemperî di çirkeyê de bi sedan gigabit/terabit hene. Tenê min nikarî bi ciddî tiştekî weha xeyal bikim heya vê dawiyê.
- Tesadûfek pir bextewar a rewşan: hardwarek nû ya tevlihev ku bi taybetî jê nayê pêbawer kirin û jê ne diyar e ku çi dikare were hêvî kirin - bi taybetî ji bo astengkirina çavkaniyan, tevî TCP RST, hatî çêkirin.
NOC ya vê danûstendina înternetê niha li pirsgirêkekê digere. Li gorî wan (û ez ji wan bawer dikim), ew ne xwedan pergalek filtrasyonê ya taybetî ne. Lê, spas ji ezmên, lêgerîna din êdî ne pirsgirêka me ye :)
Ev hewldanek piçûk bû ku xwe rastdar bikim, ji kerema xwe fêm bikin û biborin :)
PS: Ez bi qestî navê çêkerê DPI/NAT an IX nadim (bi rastî, ez di derheqê wan de giliyên taybetî jî nînim, ya sereke ev e ku meriv fêm bike ka ew çi bû)
Rastiya îro (û duh û duhî) ji nêrîna pêşkêşkerek Înternetê
Min hefteyên paşîn bi girîngî ji nû ve avakirina bingeha torê derbas kir, komek manîpulasyonên "ji bo qezencê" pêk anîn, bi xetereya ku bandorek girîng li seyrûsefera bikarhênerê zindî bike. Armanc, encam û encamên van hemûyan li ber çavan bigirin, ji aliyê exlaqî ve ev hemû pir zehmet e. Bi taybetî - careke din guhdarîkirina axaftinên xweş ên di derbarê parastina aramiya Runet, serwerî, hwd. wate ya vê çîye.
Di vê beşê de, ez ê hewl bidim ku "pêşveçûna" ya bingehîn a torê ya ISP-ya tîpîk di deh salên borî de vebêjim.
Deh sal berê.
Di wan demên pîroz de, bingeha torgilokek pêşkêşkar dikare wekî şeqamek trafîkê hêsan û pêbawer be:
Di vê wêneya pir, pir hêsan de, rêç, zengil, ip/mpls tune.
Esasê wê ev e ku seyrûsefera bikarhêner di dawiyê de gihîşte guheztina asta kernel - ji cihê ku ew çû , ji ku derê, wekî qaîdeyek, vedigere guheztina bingehîn, û dûv re "derve" - bi yek an çend deriyên sînorî berbi Înternetê.
Planek wusa pir, pir hêsan e ku meriv hem li ser L3 (rêveçûna dînamîkî) hem jî li L2 (MPLS) veqetîne.
Hûn dikarin N+1 ji her tiştî saz bikin: gihîştina pêşkêşker, guheztin, sînor - û bi rengekî din wan ji bo têkçûna otomatîkî veqetînin.
Piştî çend salan Li Rûsyayê ji her kesî re eşkere bû ku êdî ne gengaz e ku meriv bi vî rengî bijî: lezgîn bû ku zarokan ji bandora xirab a Înternetê biparêze.
Pêdiviya lezgîn hebû ku meriv rêyên fîlterkirina seyrûsefera bikarhêner bibîne.
Li vir nêzîkatiyên cuda hene.
Di rewşek ne pir baş de, tiştek "di nav valahiyê" de tête danîn: di navbera seyrûsefera bikarhêner û Înternetê de. Trafîka ku di nav vê "tiştekî" re derbas dibe tê analîz kirin û, mînakî, pakêtek sexte ya bi beralîkirin ber bi aboneyê ve tê şandin.
Di rewşek hinekî çêtir de - heke hebên seyrûseferê destûrê bide - hûn dikarin bi guhên xwe hîleyek piçûk bikin: ji bo fîlterkirinê tenê seyrûsefera ku ji bikarhêneran derdikeve tenê ji wan navnîşanên ku divê werin fîlter kirin bişînin (ji bo kirina vê yekê, hûn dikarin navnîşanên IP-yê bigirin. li wir ji qeydê hatî destnîşan kirin, an jî di nav qeydê de domên heyî çareser bikin).
Carekê, ji bo van armancan, min sade nivîsî - her çend ez newêrim jê re bibêjim jî. Ew pir hêsan e û ne pir hilber e - di heman demê de, wê destûr da me û bi dehan (heke ne bi sedan) pêşkêşkerên din ku tavilê bi mîlyonan pergalên DPI-ya pîşesazî nehêlin, lê çend salên din jî dem da.
Bi awayê, di derbarê DPI-ya wê demê û ya niha deBi awayê, gelek kesên ku pergalên DPI-ê yên ku di wê demê de li sûkê peyda bûne bikirin, berê wan avêtine. Welê, ew ji bo vê ne hatine sêwirandin: bi sed hezaran navnîşan, bi deh hezaran URL.
Û di heman demê de, hilberînerên navxweyî pir bi hêz li vê bazarê rabûne. Ez nabêjim hêmana hardware - her tişt li vir ji her kesî re zelal e, lê nermalava - ya sereke ya ku DPI heye - belkî îro, heke ne ya herî pêşkeftî ya cîhanê ye, wê hingê bê guman a) bi gav û sînoran pêşve diçe, û b) bi bihayê hilberek qutkirî - bi hevrikên biyanî re bi hêsanî nayê berhev kirin.
Ez dixwazim serbilind bim, lê hinekî xemgîn =)
Niha her tişt wiha xuya bû:
Di çend salên din de herkesî jixwe muxatab hebûn; Di qeydê de çavkanî zêdetir bûn. Ji bo hin alavên kevintir (mînak, Cisco 7600), pilana "parzkirina alî" bi tenê nesergirtî bû: hejmara rêyên li ser 76 platforman bi qasî nehsed hezarî sînorkirî ye, dema ku hejmara rêyên IPv4 tenê îro nêzî 800 e. hezar. Û heke ew jî ipv6 be... Û her weha... çiqas heye? 900000 navnîşanên kesane di qedexeya RKN de? =)
Kesek veguherî nexşeyek ku hemî seyrûsefera paşerojê li ser serverek fîlterkirinê neynikê dike, ku divê tevahiya herikê analîz bike û, ger tiştek xirab were dîtin, RST di her du alîyan de (şirker û wergir) bişîne.
Lêbelê, her ku seyrûseferek zêde be, ev pîlan kêmtir sepandin e. Ger di pêvajoyê de derengiya herî piçûk hebe, seyrûsefera neynikê dê bi hêsanî bifire, û pêşkêşker dê raporek baş bistîne.
Zêdetir û bêtir pêşkêşvan neçar in ku pergalên DPI-ê yên bi astên cihêreng ên pêbaweriyê li seranserê otoban saz bikin.
Salek an du sal berê Li gorî gotegotan, hema hema hemî FSB dest bi daxwaza sazkirina rastîn a amûran kir (berê, piraniya pêşkêşkeran bi erêkirina rayedaran ve têne rêve kirin plana SORM - planek tedbîrên operasyonê yên ku hewce ne ku li cîhek tiştek bibînin)
Ji bilî drav (ne tam zêde, lê dîsa jî bi mîlyonan), SORM bi torê re gelek manîpulasyonên din jî hewce dike.
- Pêdivî ye ku SORM berî wergera nat navnîşanên bikarhêner "gewr" bibîne
- SORM xwedan hejmarek sînorkirî ya navgînên torê ye
Ji ber vê yekê, bi taybetî, me neçar ma ku em perçeyek kernelê pir ji nû ve ava bikin - bi tenê ji bo ku seyrûsefera bikarhêner li ser serverên gihîştinê li cîhek li cîhek berhev bikin. Ji bo ku wê di SORM de bi çend girêdan re neynikê bikin.
Ango, pir hêsan bû, ew bû (çep) û bû (rast):
Now Pir pêşkêşvan di heman demê de pêkanîna SORM-3 jî hewce dike - ku di nav tiştên din de, têketina weşanên nat jî vedihewîne.
Ji bo van mebestan, di heman demê de me neçar ma ku amûrên cihêreng ji bo NAT-ê li diyagrama li jor zêde bikin (bi rastî ya ku di beşa yekem de tê nîqaş kirin). Digel vê yekê, bi rêzek diyar lê zêde bikin: ji ber ku SORM berî wergerandina navnîşanan divê seyrûseferê "bibîne", pêdivî ye ku seyrûsefer bi hişkî bi vî rengî bimeşe: bikarhêner -> guheztin, kernel -> pêşkêşkerên gihîştinê -> SORM -> NAT -> guheztin, kernel - > Înternet. Ji bo vê yekê, me neçar bû ku bi rastî ji bo berjewendiyê herikîna trafîkê "bizivirînin" ber bi rêyek din ve, ku ev jî pir dijwar bû.
Bi kurtasî: di deh salên çûyî de, sêwirana bingehîn a pêşkêşkerek navînî gelek caran tevlihevtir bûye, û xalên têkçûnê yên zêde (hem di forma alav û hem jî di forma xetên veguheztinê de) pir zêde bûne. Bi rastî, pir hewcedariya "her tiştî bibînin" tê wateya kêmkirina vê "her tişt" ji xalek.
Ez difikirim ku ev dikare bi zelalî ji destpêşxeriyên heyî re were veqetandin da ku Runet serwer bike, biparêze, aram bike û baştir bike :)
Û Yarovaya hîn jî li pêş e.
Source: www.habr.com