Huet mech zu dësem Post gefrot .
Ech zitéieren et hei:
haut um 18:53
Ech war frou mam Provider haut. Zesumme mat der Aktualiséierung vun der Site Spär System, seng Mailer mail.ru war verbuede.Ech ruffen technesch Ënnerstëtzung zanter Moien, mä si kënnen näischt maachen. De Fournisseur ass kleng, a scheinbar méi héijer Ubidder blockéieren et. Ech gemierkt och eng Ofsenkung vun der Ouverture vun all Siten, vläicht installéiert se eng Zort vun kromme DLP? Virdrun waren et keng Problemer mat Zougang. D'Zerstéierung vum RuNet geschitt direkt virun mengen Aen ...
De Fakt ass datt et schéngt wéi mir dee selwechte Provider sinn :)
An wierklech, Ech hu bal d'Ursaach vun de Probleemer mat mail.ru geschat (obwuel mir refuséiert hunn an esou eng Saach fir eng laang Zäit ze gleewen).
Wat folgend ass an zwee Deeler opgedeelt:
- d'Grënn fir eis aktuell Problemer mat mail.ru an der spannender Sich no hinnen ze fannen
- d'Existenz vum ISP an der heiteger Realitéit, d'Stabilitéit vum souveränen RuNet.
Accessibilitéit Problemer mat mail.ru
Oh, et ass eng zimlech laang Geschicht.
D'Tatsaach ass datt fir d'Ufuerderunge vum Staat ëmzesetzen (méi Detailer am zweeten Deel), mir kaaft, konfiguréiert an installéiert Ausrüstung - souwuel fir verbueden Ressourcen ze filteren a fir d'Ëmsetzung Abonnente.
Virun enger Zäit hu mir endlech den Netzwierkkär esou opgebaut datt all Abonnentverkéier duerch dës Ausrüstung strikt an déi richteg Richtung passéiert ass.
Virun e puer Deeg hu mir verbueden Filteren drop ageschalt (während den ale System funktionnéiert) - alles schéngt gutt ze goen.
Als nächst hunn se lues a lues ugefaang NAT op dëser Ausrüstung fir verschidden Deeler vun Abonnenten z'erméiglechen. Vun der Ausgesinn schéngt och alles gutt ze goen.
Awer haut, nodeems Dir NAT op d'Ausrüstung fir den nächsten Deel vun den Abonnenten aktivéiert huet, ware mir vu moies mat enger anstänneger Unzuel vu Reklamatiounen iwwer Onverfügbarkeet oder deelweis Disponibilitéit konfrontéiert an aner Mail Ru Group Ressourcen.
Si hunn ugefaang ze kontrolléieren: iergendwou eppes heiansdo, heiansdo schéckt an Äntwert op Demanden exklusiv op mail.ru Netzwierker. Ausserdeem schéckt et eng falsch generéiert (ouni ACK), offensichtlech kënschtlech TCP RST. Dëst ass wéi et ausgesinn huet:
Natierlech waren déi éischt Gedanken iwwer déi nei Ausrüstung: schrecklech DPI, kee Vertrauen an et, Dir wësst ni wat et maache kann - schliisslech ass TCP RST eng zimlech allgemeng Saach ënner Blockéierungsinstrumenter.
Virgab Mir hunn och d'Iddi virgestallt datt een "Superior" filtert, awer direkt ewechgehäit.
Als éischt hu mir genuch vernünfteg Uplinks fir datt mir net esou leiden mussen :)
Zweetens si mir mat e puer verbonnen zu Moskau, a Verkéier op mail.ru geet duerch hinnen - a si hu weder Responsabilitéiten nach all aner Motiver Verkéier ze Filter.
Déi nächst Halschent vum Dag gouf un deem wat normalerweis Shamanismus genannt gëtt - zesumme mam Ausrüstungsverkeefer, fir dee mir hinnen Merci soen, hunn se net opginn :)
- Filteren war komplett ausgeschalt
- NAT gouf mat dem neie Schema behënnert
- den Test PC war an engem separat isoléiert Pool gesat
- IP Adresséierung geännert
Am Nomëtteg gouf eng virtuell Maschinn zougewisen, déi mam Netz verbonnen ass no dem Schema vun engem reguläre Benotzer, a Vertrieder vum Verkeefer kruten Zougang zu deem an d'Ausrüstung. De Shamanismus ass weidergaang :)
Zum Schluss huet de Vertrieder vum Verkeefer zouversiichtlech gesot datt d'Hardware absolut näischt domat ze dinn huet: d'Rescht kommen iergendwou méi héich.
RemarqueZu dësem Zäitpunkt kann iergendeen soen: awer et war vill méi einfach en Dump net vum Test-PC ze huelen, mee vun der Autobunn iwwer dem DPI?
Nee, leider, en Dump huelen (a souguer just spigelen) 40+gbps ass guer net trivial.
Duerno war et owes näischt méi ze maachen wéi zréck op d'Annam vun enger komescher Filtratioun iergendwou uewen.
Ech hunn gekuckt duerch wéi en IX de Traffic op d'MRG Netzwierker elo passéiert an einfach d'bgp Sessiounen derbäi annuléiert. An - kuck! - alles ass direkt erëm normal 🙁
Engersäits ass et schued datt de ganzen Dag no de Problem gesicht gouf, obwuel et a fënnef Minutten geléist gouf.
Op der anerer Säit:
- A menger Erënnerung ass dëst eng eemoleg Saach. Wéi ech schonn uewen geschriwwen - IX wierklech et huet kee Sënn fir den Transitverkéier ze filteren. Si hunn normalerweis Honnerte vu Gigabits / Terabits pro Sekonn. Ech konnt mech just net eescht esou eppes virstellen bis viru kuerzem.
- en onheemlech glécklecht Zoufall vun Ëmstänn: eng nei komplex Hardware déi net besonnesch vertraut ass an aus där et net kloer ass wat erwaart ka ginn - speziell ugepasst fir Ressourcen ze blockéieren, dorënner TCP RSTs
Den NOC vun dësem Internetaustausch sicht de Moment no engem Problem. No hinnen (an ech gleewen hinnen), si hu kee speziell ofgebaut filtration System. Awer, merci Himmel, déi weider Quest ass net méi eise Problem :)
Dëst war e klenge Versuch mech selwer ze justifiéieren, w.e.g. verstoen a verzeien :)
PS: Ech nennen bewosst den Hiersteller vun DPI / NAT oder IX net (tatsächlech hunn ech keng speziell Reklamatiounen iwwer si, den Haapt Saach ass ze verstoen wat et war)
D'Realitéit vun haut (wéi och vu gëschter a viru gëschter) aus der Siicht vun engem Internetprovider
Ech hunn déi lescht Wochen wesentlech de Kär vum Netz opgebaut, eng Rëtsch Manipulatiounen "fir Profit" auszeféieren, mam Risiko fir de Live Benotzerverkéier wesentlech ze beaflossen. Wann Dir d'Ziler, d'Resultater an d'Konsequenze vun dësem alles berücksichtegt, moralesch ass et ganz schwéier. Besonnesch - nach eng Kéier lauschteren schéin Rieden iwwer Schutz vun der Stabilitéit vun der Runet, Souveränitéit, etc. a sou weider.
An dëser Rubrik wäert ech probéieren d'"Evolutioun" vum Netzwierkkär vun engem typesche ISP an de leschten zéng Joer ze beschreiwen.
Virun zéng Joer.
An deene geseenten Zäiten kéint de Kär vun engem Providernetz esou einfach an zouverlässeg sinn wéi e Stau:
An dësem ganz, ganz vereinfacht Bild, et gi keng Trunks, Réng, IP / mpls Routing.
Seng Essenz ass datt de Benotzerverkéier schlussendlech op de Kärelniveau Wiessel koum - vu wou et gaang ass , vu wou, an der Regel, zréck an de Kär schalt, an dann "eraus" - duerch eng oder méi Grenz Paart op den Internet.
Esou e Schema ass ganz, ganz einfach ze reservéieren souwuel op L3 (dynamesch Routing) an op L2 (MPLS).
Dir kënnt N + 1 vun alles installéieren: Zougang Server, Schalter, Grenzen - an déi eng oder aner Manéier reservéiert se fir automatesch Failover.
No e puer Joer Et gouf kloer fir jiddereen an Russland, datt et onméiglech war esou ze liewen méi: et war dréngend Kanner aus dem pernicious Afloss vum Internet ze schützen.
Et war en dréngende Bedierfnes fir Weeër ze fannen fir de Benotzerverkéier ze filteren.
Et gi verschidde Approche hei.
An engem net ganz gudde Fall gëtt eppes "an der Spalt" gesat: tëscht Benotzerverkéier an Internet. De Verkéier, deen duerch dëst "eppes" passéiert, gëtt analyséiert an zum Beispill e gefälschte Paket mat engem Viruleedung un den Abonnent geschéckt.
An engem liicht bessere Fall - wann de Verkéiersvolumen et erlaben - kënnt Dir e klengen Trick mat Ären Oueren maachen: schéckt fir ze filteren nëmmen Traffic, deen aus de Benotzer staamt, nëmmen op déi Adressen, déi gefiltert ginn musse (fir dëst ze maachen, kënnt Dir entweder d'IP Adressen huelen do aus dem Registry spezifizéiert, oder zousätzlech existéierend Domainen am Registry opléisen).
Op enger Zäit, fir dës Zwecker, hunn ech eng einfach geschriwwen - obwuel ech et net trauen, hien esou ze nennen. Et ass ganz einfach an net ganz produktiv - awer et huet eis an Dosende (wann net Honnerte) vun anere Fournisseuren erlaabt net direkt Millioune op industriell DPI Systemer auszeschléissen, awer huet e puer zousätzlech Joer Zäit ginn.
Iwwregens, iwwer deemools an aktuell DPIIwwregens, vill, déi d'DPI Systemer déi zu där Zäit um Maart verfügbar hunn, kaaft hunn, hu se scho ewechgehäit. Gutt, si sinn net dofir entworf: Honnertdausende vun Adressen, Zéngdausende vun URLen.
A gläichzäiteg sinn d'Inlandproduzenten ganz staark op dësem Maart geklommen. Ech schwätzen net vun der Hardware Komponent - alles ass kloer fir jiddereen hei, mee Software - den Haapt Saach, datt DPI huet - ass vläicht haut, wann net déi fortgeschratt an der Welt, dann sécherlech a) Entwécklung mat Sprangen a Grenzen, a b) um Präis vun engem Këschteprodukt - einfach onvergläichbar mat auslännesche Konkurrenten.
Ech géif gären houfreg sinn, awer e bëssen traureg =)
Elo huet alles esou ausgesinn:
An e puer méi Joer jidderee hat schonn Auditeuren; Et waren ëmmer méi Ressourcen am Registry. Fir e puer eeler Ausrüstung (zum Beispill Cisco 7600), gouf de Schema "Säitfilter" einfach net applicabel: d'Zuel vun de Strecken op 76 Plattformen ass limitéiert op eppes wéi nénghonnertdausend, während d'Zuel vun den IPv4-Strecken haut eleng op 800 kënnt. dausend. A wann et och ipv6 ass ... An och ... wéi vill ass et? 900000 eenzel Adressen am RKN Verbuet? =)
Een huet op e Schema gewiesselt mat Spigelen vum ganze Réckgratverkéier op e Filterserver, deen de ganze Flux analyséiere soll an, wann eppes Schlechtes fonnt gëtt, RST a béid Richtungen (Sender an Empfänger) schécken.
Wéi och ëmmer, wat méi Traffic, dest manner applicabel ass dëse Schema. Wann et déi geringste Verspéidung bei der Veraarbechtung ass, fléien de gespigelten Traffic einfach onnotéiert laanscht, an de Provider kritt e feine Bericht.
Méi a méi Ubidder sinn gezwongen DPI Systemer vu variabelen Zouverlässegkeetsgraden iwwer Autobunnen z'installéieren.
Virun engem Joer oder zwee no Rumeuren, bal all FSB ugefaang déi aktuell Installatioun vun Equipement ze verlaangen (virdrun hunn déi meescht Ubidder mat Genehmegung vun den Autoritéite geréiert SORM Plang - e Plang vun operationelle Moossnamen am Fall wou Dir eppes iergendwou muss fannen)
Nieft Suen (net genee exorbitant, awer nach Millioune), huet SORM vill méi Manipulatioune mam Netz verlaangt.
- SORM muss "gro" Benotzer Adressen virun nat Iwwersetzung gesinn
- SORM huet eng limitéiert Zuel vu Netzwierkschnëttplazen
Dofir hu mir virun allem e Stéck vum Kärel missen nei opbauen - einfach fir de Benotzerverkéier op den Zougangsserver iergendwou op enger Plaz ze sammelen. Fir et an SORM mat verschiddene Linken ze spigelen.
Dat ass, ganz vereinfacht, et war (lénks) vs gouf (riets):
Elo Déi meescht Ubidder erfuerderen och d'Ëmsetzung vum SORM-3 - wat ënner anerem d'Logéierung vun den nat Sendungen enthält.
Fir dës Zwecker musse mir och separat Ausrüstung fir NAT op d'Diagramm hei uewen addéieren (genau wat am éischten Deel diskutéiert gëtt). Desweideren, addéieren an enger bestëmmter Uerdnung: well SORM muss de Traffic "gesinn" ier Dir Adressen iwwersetzt, muss de Verkéier strikt wéi follegt goen: Benotzer -> Schalten, Kernel -> Zougangsserver -> SORM -> NAT -> Schalten, Kernel - > Internet. Fir dëst ze maachen, hu mir wuertwiertlech de Verkéiersfloss an déi aner Richtung fir Profitt ze "dréinen", wat och zimlech schwéier war.
Zesummegefaasst: an de leschten zéng Joer ass de Kär Design vun engem Moyenne Provider vill Mol méi komplex ginn, an zousätzlech Punkten vun Echec (souwuel an der Form vun Ausrüstung an a Form vun eenzelne schalt Linnen) hu vill eropgaang. Eigentlech implizéiert déi ganz Fuerderung fir "alles ze gesinn" dëst "Alles" op ee Punkt ze reduzéieren.
Ech mengen dat kann zimmlech transparent op aktuell Initiativen extrapoléiert ginn fir de Runet ze souveräniséieren, ze schützen, ze stabiliséieren an ze verbesseren :)
An Yarovaya ass nach vir.
Source: will.com