Et ass kee Geheimnis, datt d'Kontroll vun Spär op der Lëscht vun verbueden Informatiounen an Russland vun der automatiséiert System "Inspekter" iwwerwaacht gëtt. Wéi et funktionéiert ass hei gutt geschriwwen , Bild vun der selwechter Plaz:
Installéiert direkt beim Provider :
De Modul "Agent Inspector" ass e strukturellt Element vum automatiséierte System "Inspector" (AS "Inspector"). Dëse System ass entwéckelt fir d'Konformitéit vun Telekomoperateuren mat Zougangsbeschränkungsfuerderungen am Kader vun de Bestëmmungen ze iwwerwaachen, déi duerch Artikelen 15.1-15.4 vum Bundesgesetz vum 27. Juli 2006 Nr 149-FZ "Iwwer Informatiouns-, Informatiounstechnologien an Informatiounsschutz. "
Den Haaptziel vun der Schafung vun AS "Revizor" ass d'Iwwerwaachung vun der Konformitéit vun den Telekomoperateuren mat den Ufuerderungen, déi duerch den Artikel 15.1-15.4 vum Bundesgesetz vum 27. Juli 2006 Nr. " wat d'Fakten iwwer den Zougang zu verbuedener Informatioun z'identifizéieren an d'Ënnerstëtzungsmaterial (Daten) iwwer Verstéiss ze kréien fir den Zougang zu verbuedener Informatioun ze beschränken.
Wann Dir d'Tatsaach berücksichtegt datt, wann net all, da vill Fournisseuren dësen Apparat installéiert hunn, sollt et e grousst Netz vu Beaconsonden wéi an nach méi, awer mat zouenen Zougang. Wéi och ëmmer, e Beacon ass e Beacon fir Signaler an all Richtungen ze schécken, awer wat wa mir se fänken a kucken wat mir gefaangen hunn a wéi vill?
Ier mer zielen, kucke mer firwat dat iwwerhaapt méiglech ass.
E bësse vun der Theorie
Agente kontrolléieren d'Disponibilitéit vun enger Ressource, och duerch HTTP(S) Ufroen, wéi dësen:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
HTTP, "GET /somepage HTTP/1.1"
TCP, 80 > 14678, "[ACK] Seq=1 Ack=71"
HTTP, "HTTP/1.1 302 Found"
TCP, 14678 > 80, "[FIN, ACK] Seq=71 Ack=479"
TCP, 80 > 14678, "[FIN, ACK] Seq=479 Ack=72"
TCP, 14678 > 80, "[ACK] Seq=72 Ack=480"
Nieft der Notzlaascht besteet d'Ufro och aus enger Verbindung Etablissement Phase: Austausch SYN и SYN-ACK, an d'Verbindungsphasen: FIN-ACK.
De Register vun verbuedenen Informatiounen enthält verschidden Aarte vu Blockéierung. Natierlech, wann eng Ressource duerch IP Adress oder Domain Numm blockéiert ass, da wäerte mir keng Ufroe gesinn. Dëst sinn déi zerstéierend Aarte vu Blockéierung, déi zu der Onzougänglechkeet vun all Ressourcen op enger IP Adress oder all Informatioun op engem Domain féieren. Et gëtt och eng Aart vu Blockéierung "per URL". An dësem Fall muss de Filtersystem den HTTP-Ufro-Header parséieren fir genau ze bestëmmen wat fir ze blockéieren. A ier et, wéi uewen gesi kann, et soll eng Verbindung Etablissement Phase ginn, datt Dir probéieren kann ze Streck, well déi meescht wahrscheinlech de Filter et verpasst.
Fir dëst ze maachen, musst Dir e passende gratis Domain mat der "URL" an HTTP-Blockéierungstyp auswielen fir d'Aarbecht vum Filtersystem ze erliichteren, am léifsten laang opginn, fir d'Entrée vum externe Verkéier ze minimiséieren ausser vun Agenten. Dës Aufgab huet sech als guer net schwéier erausgestallt, et gi ganz vill gratis Domainen am Register vun verbuedenen Informatioun a fir all Goût. Dofir gouf d'Domain kaaft a verbonne mat IP Adressen op engem VPS lafen tcpdump an d'Zeechung huet ugefaang.
Audit vun "Auditors"
Ech hunn erwaart periodesch Ausbroch vun Ufroen ze gesinn, wat menger Meenung no kontrolléiert Handlung bedeit. Et ass onméiglech ze soen datt ech et guer net gesinn hunn, awer et war definitiv kee kloert Bild:
Wat net verwonnerlech ass, och op engem Domain, dee kee brauch, an op enger ni benotzten IP, gëtt et einfach eng Tonn vun onerwënschte Informatioun, sou wéi de modernen Internet. Awer glécklecherweis hunn ech nëmmen Ufroe fir eng spezifesch URL gebraucht, sou datt all Scanner a Passwuert Cracker séier fonnt goufen. Och war et ganz einfach ze verstoen wou d'Iwwerschwemmung baséiert op der Mass vun ähnlechen Ufroen. Als nächst hunn ech d'Frequenz vun der Optriede vun IP Adressen zesummegesat an duerch déi ganz Spëtzt manuell duerchgaang, déi trennen déi et an de fréiere Stadien verpasst hunn. Zousätzlech hunn ech all d'Quellen ausgeschnidden, déi an engem Package geschéckt goufen, et waren net méi vill vun hinnen. An dat ass wat geschitt ass:
Eng kleng lyresch Digression. E bësse méi wéi engem Dag méi spéit huet mäi Hosting Provider e Bréif mat engem zimlech streamlined Inhalt geschéckt, a gesot datt Är Ariichtungen eng Ressource aus der RKN verbueden Lëscht enthalen, also ass et blockéiert. Am Ufank hunn ech geduecht datt mäi Kont gespaart wier, dëst war net de Fall. Dunn hunn ech geduecht datt si mech einfach iwwer eppes gewarnt hunn wat ech scho wousst. Awer et huet sech erausgestallt datt den Hoster säi Filter virun mengem Domain ageschalt huet an als Resultat sinn ech ënner Duebelfilterung komm: vun de Provider a vum Hoster. De Filter huet nëmmen d'Enn vun den Ufroe passéiert: FIN-ACK и RST all HTTP op enger verbuedener URL ofschneiden. Wéi Dir aus der Grafik hei uewen gesitt, hunn ech nom éischten Dag ugefaang manner Donnéeën ze kréien, awer ech krut se nach ëmmer, wat ganz genuch war fir d'Aufgab fir Ufroquellen ze zielen.
Gitt zum Punkt. Menger Meenung no sinn zwee Burst all Dag kloer ze gesinn, déi éischt méi kleng, no Mëtternuecht Moskauer Zäit, déi zweet méi no 6 Auer mat engem Schwanz bis 12 Auer. Den Héichpunkt geschitt net genee zur selwechter Zäit. Am Ufank wollt ech IP Adressen auswielen, déi nëmmen an dëse Perioden gefall sinn an all an all Perioden, baséiert op der Virgab datt d'Kontrollen vun Agenten periodesch duerchgefouert ginn. Awer no virsiichteg Iwwerpréiwung hunn ech séier Perioden entdeckt, déi an aner Intervalle falen, mat anere Frequenzen, bis zu enger Ufro all Stonn. Dunn hunn ech iwwer Zäitzonen geduecht an datt et vläicht eppes domat ze dinn huet, dunn hunn ech geduecht datt am Allgemengen de System vläicht net global synchroniséiert ass. Zousätzlech wäert NAT wahrscheinlech eng Roll spillen an deeselwechten Agent kann Ufroe vu verschiddenen ëffentlechen IPs maachen.
Well mäin initialen Zil net genau war, hunn ech all d'Adressen gezielt, déi ech an enger Woch begéint hunn a krut - 2791. D'Zuel vun TCP Sessiounen, déi vun enger Adress etabléiert sinn, ass am Duerchschnëtt 4, mat engem Median vun 2. Top Sessiounen pro Adress: 464, 231, 149, 83, 77. De Maximum vun 95% vun der Probe ass 8 Sessiounen pro Adress. De Median ass net ganz héich, ech erënnere mech drun datt d'Grafik eng kloer Dagsperiodizitéit weist, sou datt een a 4 Deeg eppes ronderëm 8 bis 7 erwaart. Wa mir all Sessiounen erauswerfen, déi eemol optrieden, kréie mir e Median gläich wéi 5. Mee ech konnt se net ausschléissen op Basis vun engem klore Critère. Am Géigendeel, eng zoufälleg Kontroll huet gewisen, datt si mat Ufroe fir eng verbueden Ressource Zesummenhang waren.
Adressen sinn Adressen, awer um Internet, autonom Systemer - AS, déi sech méi wichteg erausgestallt hunn 1510, am Duerchschnëtt 2 Adressen pro AS mat engem Median vun 1. Top Adressen pro AS: 288, 77, 66, 39, 27. Déi maximal 95% vun der Probe sinn 4 Adressen pro AS. Hei gëtt de Median erwaart - een Agent pro Provider. Mir erwaarden och d'Spëtzt - et si grouss Spiller dran. An engem grousse Reseau, Agenten sollen wahrscheinlech an all Regioun vun der Bedreiwer Präsenz etabléiert ginn, an vergiesst net iwwer NAT. Wa mir et duerch Land huelen, wäert d'maximal ginn: 1409 - RU, 42 - UA, 23 - CZ, 36 aus anere Regiounen, net RIPE NCC. Ufroe vun ausserhalb Russland lackele Opmierksamkeet. Dëst kann méiglecherweis duerch Geolocatiounsfehler oder Registrarfehler erkläert ginn wann Dir Daten ausfëllt. Oder d'Tatsaach, datt eng russesch Firma vläicht net russesch Wuerzelen hunn, oder hunn eng auslännesch Vertrieder Büro well et méi einfach ass, déi natierlech ass, wann Dir mat enger auslännescher Organisatioun RIPE NCC. Een Deel ass ouni Zweifel iwwerflësseg, awer et ass zouverlässeg schwéier ze trennen, well d'Ressource ënner Blockéierung ass, a vum zweeten Dag ënner Duebelblocking, an déi meescht Sessiounen sinn nëmmen en Austausch vu verschiddene Servicepakete. Loosst eis d'accord sinn datt dëst e klengen Deel ass.
Dës Zuelen kënne scho mat der Zuel vun de Provider an Russland verglach ginn. Lizenzen fir "Kommunikatiounsservicer fir Dateniwwerdroung, ausser Stëmm" - 6387, awer dëst ass eng ganz héich Schätzung vun uewen, net all dës Lizenzen gëllen speziell fir Internet Ubidder déi en Agent installéiere mussen. An der RIPE NCC Zone gëtt et eng ähnlech Zuel vun ASen a Russland registréiert - 6230, vun deenen net all Ubidder sinn. a krut 3940 Betriber 2017, an dat ass éischter eng Schätzung vun uewen. Op alle Fall hu mir zwee an en halleft Mol manner Zuel vu beliichten ASen. Awer hei ass et derwäert ze verstoen datt AS net strikt gläich mam Provider ass. E puer Ubidder hunn net hiren eegene AS, anerer hu méi wéi een. Wa mir dovun ausgoen, datt jidderee nach ëmmer Agenten huet, da filtert een méi staark wéi anerer, sou datt hir Ufroe vun Dreck net z'ënnerscheeden, wa se iwwerhaapt erreechen. Awer fir eng graff Bewäertung ass et zimmlech tolerabel, och wann eppes wéinst menger Iwwerwaachung verluer ass.
Iwwer DPI
Trotz der Tatsaach, datt mäi Hosting Provider säi Filter ab dem zweeten Dag ageschalt huet, baséiert op der Informatioun vum éischten Dag kënne mir ofschléissen datt d'Blockéierung erfollegräich funktionnéiert. Nëmmen 4 Quelle konnten duerchkommen an hunn HTTP- an TCP-Sessiounen komplett ofgeschloss (wéi am Beispill hei uewen). Aner 460 kënne geschéckt ginn GET, awer d'Sessioun gëtt direkt ofgeschloss vum RST. Opgepasst op TTL:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TTL 50, TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
HTTP, "GET /filteredpage HTTP/1.1"
TTL 64, TCP, 80 > 14678, "[ACK] Seq=1 Ack=294"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST] Seq=3458729893"
TTL 53, TCP, 14678 > 80, "[RST] Seq=3458729893"
HTTP, "HTTP/1.1 302 Found"
#А это попытка исходного узла получить потерю
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[ACK] Seq=294 Ack=145"
TTL 50, TCP, 14678 > 80, "[FIN, ACK] Seq=294 Ack=145"
TTL 64, TCP, 80 > 14678, "[FIN, ACK] Seq=171 Ack=295"
TTL 50, TCP Dup ACK 14678 > 80 "[ACK] Seq=295 Ack=145"
#Исходный узел понимает что сессия разрушена
TTL 50, TCP, 14678 > 80, "[RST] Seq=294"
TTL 50, TCP, 14678 > 80, "[RST] Seq=295"
Variatiounen vun dëser kann anescht ginn: manner RST oder méi retransmits - hänkt och op wat de Filter un d'Quell Node schéckt. Op alle Fall ass dëst déi zouverlässegst Schabloun, aus deem et kloer ass datt et eng verbueden Ressource war déi gefrot gouf. Plus et gëtt ëmmer eng Äntwert déi an der Sëtzung schéngt mat TTL méi grouss wéi a virdrun a spéider Packagen.
Dir kënnt et och net aus dem Rescht gesinn GET:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST] Seq=1"
Oder sou:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TTL 50, TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST, PSH] Seq=1"
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[FIN, ACK] Seq=89 Ack=172"
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[FIN, ACK] Seq=89 Ack=172"
#Опять фильтр, много раз
TTL 53, TCP, 14678 > 80, "[RST, PSH] Seq=1"
...
Den Ënnerscheed ass definitiv ze gesinn TTL wann eppes aus dem Filter kënnt. Awer dacks kënnt iwwerhaapt näischt:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP Retransmission, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
...
Oder sou:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
#Прошло несколько секунд без трафика
TCP, 80 > 14678, "[FIN, ACK] Seq=1 Ack=1"
TCP Retransmission, 80 > 14678, "[FIN, ACK] Seq=1 Ack=1"
...
An dat alles gëtt widderholl a widderholl a widderholl, wéi op der Grafik ze gesinn ass, méi wéi eemol, all Dag.
Iwwer IPv6
Déi gutt Noriicht ass datt et existéiert. Ech kann zouverlässeg soen datt periodesch Ufroe fir eng verbueden Ressource vu 5 verschiddenen IPv6 Adressen optrieden, wat genau d'Behuele vun den Agenten ass dat ech erwaart hunn. Ausserdeem fällt eng vun den IPv6 Adressen net ënner Filteren an ech gesinn eng voll Sessioun. Vun zwee méi hunn ech nëmmen eng ongeschloss Sessioun gesinn, eng vun deenen ënnerbrach gouf RST vum Filter, zweet an der Zäit. De ganze Montant 7.
Well et wéineg Adressen sinn, hunn ech se all am Detail studéiert an et huet sech erausgestallt datt et nëmmen 3 Ubidder do sinn, si kënnen e Standing Ovation ginn! Eng aner Adress ass Cloud Hosting a Russland (filtert net), eng aner ass e Fuerschungszentrum an Däitschland (et gëtt e Filter, wou?). Awer firwat kontrolléieren se d'Disponibilitéit vun verbuedenen Ressourcen op engem Zäitplang ass eng gutt Fro. Déi reschtlech zwee hunn eng Demande gemaach a sinn ausserhalb vu Russland, an ee vun hinnen ass gefiltert (am Transit, no all?).
Blockéieren an Agenten sinn e grousst Hindernis fir IPv6, d'Ëmsetzung vun deem ass net ganz séier bewegt. Et ass traureg. Déi, déi dëse Problem geléist hunn, kënne ganz houfreg op sech selwer sinn.
Conclusioun
Ech hunn net fir 100% Genauegkeet gestrieft, verzeien mech w.e.g. dofir, ech hoffen, datt een dës Aarbecht mat méi Genauegkeet widderhuelen wëll. Et war fir mech wichteg ze verstoen ob dës Approche am Prinzip funktionnéiert. D'Äntwert ass jo. Als éischt Approximatioun sinn déi kritt Zuelen, mengen ech, ganz zouverlässeg.
Wat soss kéint gemaach ginn a wat ech ze faul war fir ze maachen war DNS Ufroen ze zielen. Si ginn net gefiltert, awer si bidden och net vill Genauegkeet well se nëmme fir d'Domain funktionnéieren, an net fir déi ganz URL. D'Frequenz soll siichtbar sinn. Wann Dir et kombinéiert mat deem wat direkt an den Ufroen sichtbar ass, erlaabt dëst Iech déi onnéideg ze trennen a méi Informatioun ze kréien. Et ass souguer méiglech d'Entwéckler vun der DNS ze bestëmmen déi vun de Provider benotzt gëtt a vill méi.
Ech hunn absolut net erwaart datt den Hoster och säin eegene Filter fir meng VPS enthält. Vläicht ass dëst allgemeng Praxis. Um Enn schéckt RKN eng Ufro fir d'Ressource un den Hoster ze läschen. Awer dëst huet mech net iwwerrascht an op e puer Weeër souguer zu mengem Virdeel geschafft. De Filter huet ganz effektiv geschafft, all korrekt HTTP-Ufroen op eng verbueden URL ofgeschnidden, awer net korrekt, déi virdru duerch de Filter vum Fournisseur passéiert waren, hunn et erreecht, awer nëmmen a Form vun Endungen: FIN-ACK и RST - Minus fir Minus an et huet sech bal e Plus erausgestallt. Iwwregens, IPv6 gouf net vum Hoster gefiltert. Natierlech huet dëst d'Qualitéit vum gesammelten Material beaflosst, awer et huet et ëmmer nach méiglech gemaach d'Frequenz ze gesinn. Et huet sech erausgestallt datt dëst e wichtege Punkt ass wann Dir e Site auswielt fir d'Ressourcen ze placéieren, vergiesst net d'Fro vun der Organisatioun vun der Aarbecht mat der Lëscht vun verbuedenen Siten an Ufroe vum RKN ze interesséieren.
Am Ufank hunn ech den AS "Inspekter" verglach mat . Dëse Verglach ass zimmlech gerechtfäerdegt an e grousst Netzwierk vun Agenten ka profitabel sinn. Zum Beispill, Bestëmmung vun der Qualitéit vun der Ressource Disponibilitéit vu verschiddene Fournisseuren a verschiddenen Deeler vum Land. Dir kënnt Verspéidungen berechent, Dir kënnt Grafike bauen, Dir kënnt alles analyséieren an d'Verännerunge gesinn, déi lokal a global optrieden. Dëst ass net déi direkt Manéier, awer Astronomen benotzen "Standard Käerzen", firwat net Agenten benotzen? Wësse (nach fonnt) hiert Standardverhalen, kënnt Dir d'Ännerungen bestëmmen, déi ronderëm si geschéien a wéi dëst d'Qualitéit vun de geliwwerte Servicer beaflosst. A gläichzäiteg braucht Dir net onofhängeg Sonden am Netz ze setzen Roskomnadzor huet se schonn installéiert.
En anere Punkt, deen ech wëll beréieren, ass datt all Tool eng Waff kann sinn. AS "Inspector" ass en zouenen Netzwierk, awer d'Agenten iwwerginn jidderengem andeems se Ufroe fir all Ressourcen aus der verbuedener Lëscht schécken. Sou eng Ressource ze hunn stellt guer keng Problemer. Am Ganzen erzielen Ubidder duerch Agenten, onbewosst, vill méi iwwer hiren Netzwierk wéi et wahrscheinlech wäert ass: DPI an DNS Typen, Standuert vum Agent (Zentral Node a Servicenetz?), Netzmarker vu Verspéidungen a Verloschter - an dat ass nëmmen déi offensichtlechst. Just wéi een d'Aktiounen vun den Agenten iwwerwaache kann fir d'Disponibilitéit vun hire Ressourcen ze verbesseren, kann een dat fir aner Zwecker maachen an et gi keng Hindernisser dofir. D'Resultat ass en duebelschneitegt a ganz villsäitegt Instrument, jidderee kann dat gesinn.
Source: will.com