Россияда тыюу салынган маалыматтардын тизмесине бөгөт коюуну көзөмөлдөө "Инспектор" автоматташтырылган системасы тарабынан көзөмөлдөнүп турганы жашыруун эмес. Бул кантип иштейт, бул жерде жакшы жазылган , ошол эле жерден сүрөт:
Түздөн-түз провайдерге орнотулган :
«Инспектор агенти» модулу «Инспектор» автоматташтырылган тутумунун («Инспектор» АС) структуралык элементи болуп саналат. Бул система 15.1-жылдын 15.4-июлундагы № 27-ФЗ «Маалымат, маалыматтык технологиялар жана маалыматты коргоо жөнүндө» Федералдык Мыйзамынын 2006-149-беренелеринде белгиленген жоболордун алкагында байланыш операторлору тарабынан жеткиликтүүлүктү чектөө талаптарынын сакталышын көзөмөлдөө үчүн иштелип чыккан. ”
«Ревизор» ААКны түзүүнүн негизги максаты «Маалымат, маалыматтык технологиялар жана маалыматты коргоо жөнүндө» 15.1-жылдын 15.4-июлундагы № 27-ФЗ Федералдык Мыйзамынын 2006-149-беренелеринде белгиленген талаптарды байланыш операторлорунун аткаруусуна мониторинг жүргүзүүнү камсыз кылуу болуп саналат. " тыюу салынган маалыматтарга жетүүнүн фактыларын аныктоо жана бузуулар жөнүндө тастыктоочу материалдарды (маалыматтарды) алуу жагынан тыюу салынган маалыматтарга жетүүнү чектөө.
Баардыгы болбосо дагы, көптөгөн провайдерлер бул аппаратты орноткондугун эске алуу менен, маяк зонддорунун чоң тармагы болушу керек эле. жана андан да көп, бирок жабык мүмкүнчүлүк менен. Бирок, маяк бардык багыттар боюнча сигналдарды жөнөтүү үчүн маяк, бирок биз аларды кармап, эмнени кармаганыбызды жана канча экенин көрсөк эмне болот?
Эсептөөдөн мурун, келгиле, эмне үчүн бул мүмкүн болушу мүмкүн экенин карап көрөлү.
теориясынын бир үзүм
Агенттер бул сыяктуу HTTP(S) сурамдары аркылуу ресурстун жеткиликтүүлүгүн текшерет:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
HTTP, "GET /somepage HTTP/1.1"
TCP, 80 > 14678, "[ACK] Seq=1 Ack=71"
HTTP, "HTTP/1.1 302 Found"
TCP, 14678 > 80, "[FIN, ACK] Seq=71 Ack=479"
TCP, 80 > 14678, "[FIN, ACK] Seq=479 Ack=72"
TCP, 14678 > 80, "[ACK] Seq=72 Ack=480"
Пайдалуу жүктөн тышкары, суроо-талап, ошондой эле байланыш түзүү баскычынан турат: алмашуу SYN и SYN-ACK, жана туташуунун аяктоо этаптары: FIN-ACK.
Тыюу салынган маалыматтардын реестри бөгөттөөнүн бир нече түрүн камтыйт. Албетте, бул ресурс IP дареги же домендик аты менен бөгөттөлсө, анда биз эч кандай суроо-талаптарды көрбөйбүз. Бул бир IP даректеги бардык ресурстарга же домендеги бардык маалыматтарга жетүүгө мүмкүн болбогон блоктоонун эң кыйратуучу түрлөрү. Ошондой эле бөгөттөөнүн "URL боюнча" түрү бар. Бул учурда, чыпкалоо системасы эмнени бөгөттөө керектигин так аныктоо үчүн HTTP сурамынын башын талдоо керек. Жана ага чейин, жогоруда көрүнүп тургандай, сиз көз салууга аракет кыла турган байланышты орнотуу фазасы болушу керек, анткени чыпка аны өткөрүп жибериши мүмкүн.
Бул үчүн, чыпкалоо тутумунун ишин жеңилдетүү үчүн "URL" жана HTTP бөгөттөөчү түрү менен ылайыктуу акысыз доменди тандап алышыңыз керек, Агенттерден тышкары бөтөн трафиктин киришин азайтуу үчүн. Бул милдет такыр эле кыйын эмес болуп чыкты, тыюу салынган маалыматтардын реестринде жана ар кандай табит үчүн көптөгөн акысыз домендер бар. Ошондуктан, домен сатылып алынган жана VPS иштеп жаткан IP даректерине байланган tcpdump жана эсептөө башталды.
«Аудиторлордун» аудити
Мен суроо-талаптардын мезгил-мезгили менен жарылып кетишин күттүм, бул менин оюмча, көзөмөлгө алынган иш-аракеттерди көрсөтөт. Мен аны такыр көргөн жокмун деп айтуу мүмкүн эмес, бирок так сүрөттөлүш болгон эмес:
Бул таң калыштуу эмес, атүгүл эч кимге кереги жок доменде жана эч качан колдонулбаган IP-де, жөн гана бир тонна керексиз маалымат болот, мисалы, заманбап Интернет. Бирок, бактыга жараша, мага белгилүү бир URL үчүн гана суроо-талаптар керек болчу, андыктан бардык сканерлер жана сырсөз бузукулар бат эле табылды. Ошондой эле, ушуга окшош суроо-талаптардын массасынын негизинде суу ташкыны кайда экенин түшүнүү оңой эле. Андан кийин, мен IP даректеринин пайда болуу жыштыгын түздүм жана мурунку этаптарда аны өткөрүп жибергендерди бөлүп, бардык жогорку жагын кол менен өттүм. Кошумчалай кетсек, мен бир пакетте жөнөтүлгөн бардык булактарды кесип салдым, азыр алардын саны көп эмес. Жана бул окуя:
Кичинекей лирикалык чегинүү. Бир күндөн бир аз убакыт өткөндөн кийин, менин хостинг провайдерим сиздин объекттериңизде RKN тыюу салынган тизмесинен ресурс бар, ошондуктан ал бөгөттөлгөн деп, кыйла жөнөкөйлөштүрүлгөн кат жөнөттү. Башында менин аккаунтум жабылып калган деп ойлогом, андай эмес. Анан алар мага мурунтан эле билген нерсем жөнүндө эскертип жатышат деп ойлодум. Бирок хосттер менин доменимдин алдында чыпкасын күйгүзүп, натыйжада мен кош чыпкалоодон өттүм: провайдерлерден жана хосттерден. Чыпка сурамдардын аягынан гана өттү: FIN-ACK и RST тыюу салынган URL дарегиндеги бардык HTTPди кесип. Жогорудагы графиктен көрүнүп тургандай, биринчи күндөн кийин мен азыраак маалымат ала баштадым, бирок мен дагы эле аны кабыл алдым, бул суроо-талап булактарын эсептөө үчүн жетиштүү болду.
пунктуна кел. Менин оюмча, эки жарылуу күн сайын ачык көрүнүп турат, биринчиси азыраак, Москва убактысы боюнча түн ортосунан кийин, экинчиси саат 6га жакын, 12ге чейин куйругу менен. Чокусу так ошол эле убакта болбойт. Адегенде мен Агенттер тарабынан текшерүүлөр мезгил-мезгили менен аткарылат деген божомолдун негизинде ушул мезгилдерде жана ар бир мезгилде гана түшкөн IP даректерди тандагым келди. Бирок кылдаттык менен карап чыккандан кийин, мен саат сайын бир суроого чейин башка жыштыктар менен башка интервалдарга түшкөн мезгилдерди бат эле таптым. Анан мен убакыт алкактары жөнүндө ойлондум, балким, алар менен кандайдыр бир байланышы бардыр, анан жалпысынан система глобалдык деңгээлде синхрондолуп кетпеши мүмкүн деп ойлодум. Мындан тышкары, NAT, балким, роль ойнойт жана ошол эле Агент ар кандай коомдук IPлерден сурамдарды жасай алат.
Баштапкы максатым так болбогондуктан, мен бир жумада жолуккан даректердин баарын санап чыктым - 2791. Бир даректен түзүлгөн TCP сеанстарынын саны орто эсеп менен 4, медианасы 2. Ар бир дарек боюнча жогорку сеанстар: 464, 231, 149, 83, 77. Үлгүлөрдүн 95% максималдуу дарек боюнча 8 сессия. Медиана өтө жогору эмес, графикте так күнүмдүк мезгилдүүлүк көрсөтүлөрүн эскерте кетейин, андыктан 4 күндүн ичинде 8-7ге жакын нерсени күтүүгө болот. Эгерде биз бир жолу болгон бардык сессияларды ыргытсак, анда биз 5ке барабар медианага ээ болобуз. Бирок мен аларды так критерийдин негизинде жокко чыгара алган жокмун. Тескерисинче, кокус текшерүү алардын тыюу салынган ресурс боюнча суроо-талаптарга байланыштуу экенин көрсөттү.
Даректер даректер, бирок Интернетте автономдуу системалар - AS маанилүү болуп чыкты 1510, орто эсеп менен АС үчүн 2 дарек, медианасы 1. АС үчүн эң мыкты даректер: 288, 77, 66, 39, 27. Үлгүдөгү эң көп 95% АС үчүн 4 дарек. Бул жерде медиана күтүлөт - ар бир провайдерге бир агент. Биз да жогорку даражаны күтөбүз – анын ичинде чоң оюнчулар бар. Чоң тармакта, агенттер оператордун ар бир аймагында жайгашкан болушу керек жана NAT жөнүндө унутпаңыз. Эгер өлкө боюнча алсак, максимум болот: 1409 - RU, 42 - UA, 23 - CZ, RIPE NCC эмес, башка аймактардан 36. Орусиянын сыртынан келген суроо-талаптар көңүл бурат. Бул, балким, маалыматтарды толтурууда геолокация каталары же каттоочу каталар менен түшүндүрүлүшү мүмкүн. Же орусиялык компаниянын орусиялык тамыры жок болушу мүмкүн, же чет өлкөлүк өкүлчүлүгү болушу мүмкүн, анткени бул жеңилирээк, бул RIPE NCC чет өлкөлүк уюм менен иштөөдө табигый көрүнүш. Кээ бир бөлүгү, албетте, ашыкча, бирок аны бөлүп алуу ишенимдүү кыйын, анткени ресурс бөгөттөлүүдө, ал эми экинчи күндөн баштап кош бөгөттөө астында жана көпчүлүк сеанстар жөн гана бир нече тейлөө пакеттерин алмаштыруу болуп саналат. Бул кичинекей бөлүгү экенине макул бололу.
Бул сандарды Россиядагы провайдерлердин саны менен салыштырууга болот. лицензиялар "Маалыматтарды берүү боюнча байланыш кызматтары, үн кошпогондо" - 6387, бирок бул жогорудан өтө жогору баа, бул лицензиялардын бардыгы эле Агентти орнотуу керек болгон Интернет-провайдерлерге тиешелүү эмес. RIPE NCC зонасында Россияда 6230 катталган АСлардын саны окшош, алардын баары провайдерлер эмес. жана 3940-жылы 2017 компанияны алган жана бул жогорудан алынган баа. Кандай болгон күндө да бизде жарыктандыруучу АС эки жарым эсе аз. Бирок бул жерде AS провайдер менен бирдей эмес экенин түшүнүү керек. Кээ бир провайдерлердин өздөрүнүн AS жок, кээ биринде бирден көп. Эгерде ар бир адамдын дагы эле Агенттери бар деп ойлосок, анда кимдир бирөө башкаларга караганда күчтүүрөөк чыпкалайт, андыктан алардын суроо-талаптары таштандыдан айырмаланбайт, эгерде алар аларга жетсе. Бирок одоно баа берүү үчүн, менин көзөмөлүмдөн улам бир нерсе жоголсо да, чыдамдуу.
DPI жөнүндө
Менин хостинг-провайдерим экинчи күндөн баштап чыпкасын күйгүзгөнүнө карабастан, биринчи күндөн алынган маалыматка таянып, бөгөттөө ийгиликтүү иштеп жатат деп жыйынтык чыгарсак болот. 4 гана булак HTTP жана TCP сеанстарынан өтүп, толугу менен аяктады (жогорку мисалдагыдай). Дагы 460 жөнөтсө болот GET, бирок сессия дароо тарабынан токтотулат RST. көңүл буруңуз TTL:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TTL 50, TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
HTTP, "GET /filteredpage HTTP/1.1"
TTL 64, TCP, 80 > 14678, "[ACK] Seq=1 Ack=294"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST] Seq=3458729893"
TTL 53, TCP, 14678 > 80, "[RST] Seq=3458729893"
HTTP, "HTTP/1.1 302 Found"
#А это попытка исходного узла получить потерю
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[ACK] Seq=294 Ack=145"
TTL 50, TCP, 14678 > 80, "[FIN, ACK] Seq=294 Ack=145"
TTL 64, TCP, 80 > 14678, "[FIN, ACK] Seq=171 Ack=295"
TTL 50, TCP Dup ACK 14678 > 80 "[ACK] Seq=295 Ack=145"
#Исходный узел понимает что сессия разрушена
TTL 50, TCP, 14678 > 80, "[RST] Seq=294"
TTL 50, TCP, 14678 > 80, "[RST] Seq=295"
Мунун вариациялары ар кандай болушу мүмкүн: азыраак RST же андан көп ретрансляциялар - ошондой эле чыпка булак түйүнүнө эмне жөнөтөөрүнөн көз каранды. Кандай болгон күндө да, бул эң ишенимдүү шаблон, андан суралган тыюу салынган ресурс экени көрүнүп турат. Plus менен сессияда пайда болгон жооп ар дайым бар TTL мурунку жана кийинки пакеттерге караганда көбүрөөк.
Калгандарынан да көрө албайсың GET:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST] Seq=1"
Же бул:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TTL 50, TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST, PSH] Seq=1"
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[FIN, ACK] Seq=89 Ack=172"
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[FIN, ACK] Seq=89 Ack=172"
#Опять фильтр, много раз
TTL 53, TCP, 14678 > 80, "[RST, PSH] Seq=1"
...
Айырма сөзсүз көрүнүп турат TTL чыпкадан бир нерсе чыкса. Бирок көп учурда эч нерсе келбейт:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP Retransmission, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
...
Же бул:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
#Прошло несколько секунд без трафика
TCP, 80 > 14678, "[FIN, ACK] Seq=1 Ack=1"
TCP Retransmission, 80 > 14678, "[FIN, ACK] Seq=1 Ack=1"
...
Ал эми мунун баары графиктен көрүнүп тургандай, күн сайын бир эмес, бир нече жолу кайталанат жана кайталанат.
IPv6 жөнүндө
Жакшы кабар, ал бар. Тыюу салынган ресурска мезгил-мезгили менен суроо-талаптар 5 башка IPv6 даректеринен келип чыгат деп ишенимдүү айта алам, бул мен күткөн Агенттердин жүрүм-туруму. Мындан тышкары, IPv6 даректеринин бири чыпкалоодон өтпөйт жана мен толук сессияны көрүп жатам. Дагы экиден бир гана бүтпөгөн сессияны көрдүм, анын бири үзгүлтүккө учурады RST фильтрден, экинчи жолу. Жалпы суммасы 7.
Даректер аз болгондуктан, мен алардын баарын ийне-жибине чейин изилдеп чыктым жана ал жерде 3 гана провайдер бар экен, аларды дүркүрөгөн кол чабуулар менен тосуп алса болот! Дагы бир дареги Россиядагы булут хостинги (фильтр кылбайт), дагы бири Германиядагы илимий борбор (фильтр бар, кайда?). Бирок эмне үчүн алар график боюнча тыюу салынган ресурстардын болушун текшеришет - бул жакшы суроо. Калган экөө бир өтүнүч менен Россиянын чегинен тышкары жайгашкан жана алардын бири чыпкаланган (транзитте, баары бир?).
Бөгөттөө жана агенттер IPv6 үчүн чоң тоскоолдук болуп саналат, аны ишке ашыруу өтө тез эмес. Бул кайгылуу. Бул маселени чечкендер өздөрү менен толук сыймыктана алышат.
Жыйынтык
Мен 100% тактыкка умтулган жокмун, бул үчүн мени кечирип коюңуз, кимдир бирөө бул ишти көбүрөөк тактык менен кайталагысы келет деп үмүттөнөм. Бул ыкма принципиалдуу түрдө иштейби же жокпу, түшүнүү мен үчүн маанилүү болду. Жооп ооба. Алынган цифралар, биринчи болжолдоо катары, менимче, абдан ишенимдүү.
Дагы эмне кылса болмок жана мен өтө жалкоо болгонум, DNS сурамдарын эсептөө болду. Алар чыпкаланган эмес, бирок алар бүтүндөй URL үчүн эмес, домен үчүн гана иштегендиктен көп тактыкты камсыз кылбайт. Жыштык көрүнүп турушу керек. Эгерде сиз аны түздөн-түз суроо-талаптарда көрүнгөн нерселер менен бириктирсеңиз, бул сизге керексиздерди бөлүп, көбүрөөк маалымат алууга мүмкүндүк берет. Ал тургай, провайдерлер колдонгон DNS иштеп чыгуучуларын жана башка көптөгөн нерселерди аныктоого болот.
Хостер менин VPS үчүн өзүнүн чыпкасын кошот деп таптакыр күткөн эмесмин. Балким, бул жалпы практика болуп саналат. Акыр-аягы, RKN хосттерге ресурсту жок кылуу өтүнүчүн жөнөтөт. Бирок бул мени таң калтырган жок жана кандайдыр бир деңгээлде менин пайдама да иштеди. Чыпка абдан эффективдүү иштеди, тыюу салынган URL дарегине бардык туура HTTP сурамдарын кесип салды, бирок буга чейин провайдерлердин чыпкасынан өткөн туура эмес, аяктоо түрүндө болсо да аларга жеткен жок: FIN-ACK и RST - минус үчүн минус жана ал дээрлик плюс болуп чыкты. Баса, IPv6 хосттер тарабынан чыпкаланган эмес. Албетте, бул чогултулган материалдын сапатына таасирин тийгизди, бирок ал дагы эле жыштыгын көрүүгө мүмкүндүк берди. Бул ресурстарды жайгаштыруу үчүн сайтты тандоодо маанилүү жагдай экени белгилүү болду, тыюу салынган сайттардын тизмеси жана РКНнын суроо-талаптары менен иштөөнү уюштуруу маселеси менен кызыгууну унутпаңыз.
Башында «Инспектор» АС менен салыштыргам . Бул салыштыруу абдан негиздүү жана Агенттердин чоң тармагы пайдалуу болушу мүмкүн. Мисалы, өлкөнүн ар кайсы аймактарында ар кандай провайдерлерден ресурстардын жеткиликтүүлүгүнүн сапатын аныктоо. Сиз кечигүүлөрдү эсептей аласыз, графиктерди түзө аласыз, бардыгын талдап, жергиликтүү жана глобалдык деңгээлде болуп жаткан өзгөрүүлөрдү көрө аласыз. Бул эң түз жол эмес, бирок астрономдор "стандарттуу шамдарды" колдонушат, эмне үчүн агенттерди колдонбойт? Алардын стандарттуу жүрүм-турумун билип (тапкан соң) сиз алардын айланасында болуп жаткан өзгөрүүлөрдү жана бул көрсөтүлүүчү кызматтардын сапатына кандай таасир этээрин аныктай аласыз. Ошол эле учурда тармакка зонддорду өз алдынча жайгаштыруунун кереги жок, Роскомнадзор аларды мурунтан эле орнотуп койгон.
Дагы бир токтолгум келген жагдай, ар бир курал курал боло алат. AS "Инспектор" жабык тармак, бирок Агенттер тыюу салынган тизмедеги бардык ресурстарга суроо-талаптарды жөнөтүү менен бардыгын өткөрүп беришет. Мындай ресурстун болушу эч кандай көйгөй жаратпайт. Жалпысынан, агенттер аркылуу провайдерлер, билбестен, өз тармагы жөнүндө, балким, арзырлык эмес, көбүрөөк айтып беришет: DPI жана DNS түрлөрү, Агенттин жайгашкан жери (борбордук түйүн жана тейлөө тармагы?), кечигүүлөрдүн жана жоготуулардын тармак маркерлери - жана бул эң айкын гана. Кимдир бирөө өз ресурстарынын жеткиликтүүлүгүн жакшыртуу боюнча Агенттердин иш-аракеттерин көзөмөлдөй алгандай эле, кимдир бирөө муну башка максаттар үчүн жасай алат жана буга эч кандай тоскоолдуктар жок. Натыйжада, эки жээктүү жана абдан көп кырдуу аспап болуп саналат, аны ар ким көрө алат.
Source: www.habr.com