Nav noslÄpums, ka aizliegtÄs informÄcijas sarakstÄ esoÅ”o bloÄ·ÄÅ”anas kontroli KrievijÄ uzrauga automatizÄtÄ sistÄma āInspektorsā. Å eit ir labi uzrakstÄ«ts, kÄ tas darbojas
InstalÄta tieÅ”i pie pakalpojumu sniedzÄja
Modulis "AÄ£entu inspektors" ir automatizÄtÄs sistÄmas "Inspektors" (AS "Inspektors") strukturÄls elements. Å Ä« sistÄma ir paredzÄta, lai uzraudzÄ«tu telekomunikÄciju operatoru atbilstÄ«bu piekļuves ierobežojumu prasÄ«bÄm saskaÅÄ ar 15.1. gada 15.4. jÅ«lija federÄlÄ likuma Nr. 27-FZ āPar informÄciju, informÄcijas tehnoloÄ£ijÄm un informÄcijas aizsardzÄ«buā 2006.ā149. pantu. ā
AS "Revizor" izveides galvenais mÄrÄ·is ir nodroÅ”inÄt telekomunikÄciju operatoru atbilstÄ«bu prasÄ«bÄm, kas noteiktas 15.1.gada 15.4.jÅ«lija FederÄlÄ likuma Nr.27-FZ "Par informÄciju, informÄcijas tehnoloÄ£ijÄm un informÄcijas aizsardzÄ«bu" 2006.-149. " attiecÄ«bÄ uz faktu noskaidroÅ”anu par piekļuvi aizliegtai informÄcijai un par pamatojoÅ”o materiÄlu (datu) iegÅ«Å”anu par pÄrkÄpumiem, lai ierobežotu piekļuvi aizliegtai informÄcijai.
Å
emot vÄrÄ to, ka, ja ne visi, tad daudzi pakalpojumu sniedzÄji ir instalÄjuÅ”i Å”o ierÄ«ci, vajadzÄja bÅ«t lielam bÄkas zondu tÄ«klam, piemÄram,
Pirms skaitÄ«Å”anas redzÄsim, kÄpÄc tas pat varÄtu bÅ«t iespÄjams.
Mazliet teorija
AÄ£enti pÄrbauda resursa pieejamÄ«bu, tostarp izmantojot HTTP(S) pieprasÄ«jumus, piemÄram, Å”o:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
HTTP, "GET /somepage HTTP/1.1"
TCP, 80 > 14678, "[ACK] Seq=1 Ack=71"
HTTP, "HTTP/1.1 302 Found"
TCP, 14678 > 80, "[FIN, ACK] Seq=71 Ack=479"
TCP, 80 > 14678, "[FIN, ACK] Seq=479 Ack=72"
TCP, 14678 > 80, "[ACK] Seq=72 Ack=480"
Papildus lietderÄ«gajai slodzei pieprasÄ«jums sastÄv arÄ« no savienojuma izveides fÄzes: apmaiÅas SYN
Šø SYN-ACK
, un savienojuma pabeigÅ”anas fÄzes: FIN-ACK
.
AizliegtÄs informÄcijas reÄ£istrÄ ir vairÄki bloÄ·ÄÅ”anas veidi. AcÄ«mredzot, ja resurss ir bloÄ·Äts ar IP adresi vai domÄna nosaukumu, mÄs neredzÄsim pieprasÄ«jumus. Å ie ir visdestruktÄ«vÄkie bloÄ·ÄÅ”anas veidi, kuru dÄļ visi resursi vienÄ IP adresÄ vai visa informÄcija domÄnÄ kļūst nepieejami. Ir arÄ« bloÄ·ÄÅ”anas veids āpÄc URLā. Å ÄdÄ gadÄ«jumÄ filtrÄÅ”anas sistÄmai ir jÄparsÄ HTTP pieprasÄ«juma galvene, lai precÄ«zi noteiktu, ko bloÄ·Ät. Un pirms tÄ, kÄ redzams iepriekÅ”, vajadzÄtu bÅ«t savienojuma izveides fÄzei, kuru varat mÄÄ£inÄt izsekot, jo, visticamÄk, filtrs to palaidÄ«s garÄm.
Lai to izdarÄ«tu, jums ir jÄizvÄlas piemÄrots bezmaksas domÄns ar āURLā un HTTP bloÄ·ÄÅ”anas veidu, lai atvieglotu filtrÄÅ”anas sistÄmas darbu, vÄlams, jau sen pamestu, lai samazinÄtu sveÅ”as trafika iekļūŔanu, izÅemot no aÄ£entiem. Å is uzdevums izrÄdÄ«jÄs nepavisam grÅ«ts, aizliegtÄs informÄcijas reÄ£istrÄ ir diezgan daudz bezmaksas domÄnu un katrai gaumei. TÄpÄc domÄns tika iegÄdÄts un saistÄ«ts ar IP adresÄm VPS, kas darbojas tcpdump
un sÄkÄs skaitÄ«Å”ana.
"Revidentu" audits
Es gaidÄ«ju periodiskus pieprasÄ«jumu uzliesmojumus, kas, manuprÄt, liecinÄtu par kontrolÄtu rÄ«cÄ«bu. Nevar teikt, ka es to nemaz neredzÄju, bet skaidra attÄla noteikti nebija:
Kas nav pÄrsteidzoÅ”i, pat domÄnÄ, kas nevienam nav vajadzÄ«gs un nekad neizmantotÄ IP, vienkÄrÅ”i bÅ«s daudz nevÄlamas informÄcijas, tÄds ir mÅ«sdienu internets. Bet par laimi man vajadzÄja tikai konkrÄta URL pieprasÄ«jumus, tÄpÄc visi skeneri un paroļu uzlauzÄji tika Ätri atrasti. TÄpat, pamatojoties uz lÄ«dzÄ«gu pieprasÄ«jumu masu, bija diezgan viegli saprast, kur plÅ«di. TÄlÄk es apkopoju IP adreÅ”u raÅ”anÄs biežumu un manuÄli izgÄju cauri visam topam, atdalot tos, kuri to palaida garÄm iepriekÅ”Äjos posmos. TurklÄt es izgriezu visus avotus, kas tika nosÅ«tÄ«ti vienÄ iepakojumÄ, to vairs nebija daudz. Un notika Å”Ädi:
Neliela liriska atkÄpe. Nedaudz vairÄk kÄ dienu vÄlÄk mans hostinga pakalpojumu sniedzÄjs nosÅ«tÄ«ja vÄstuli ar diezgan vienkÄrÅ”otu saturu, sakot, ka jÅ«su telpÄs ir resurss no RKN aizliegtÄ saraksta, tÄpÄc tas ir bloÄ·Äts. SÄkumÄ domÄju, ka mans konts ir bloÄ·Äts, tas tÄ nebija. Tad es domÄju, ka viÅi mani vienkÄrÅ”i brÄ«dina par kaut ko, par ko es jau zinÄju. Bet izrÄdÄ«jÄs, ka mitinÄtÄjs ieslÄdza savu filtru mana domÄna priekÅ”Ä, un rezultÄtÄ es nokļuvu dubultÄ filtrÄcijÄ: no pakalpojumu sniedzÄjiem un no mitinÄtÄja. Filtrs izturÄja tikai pieprasÄ«jumu beigas: FIN-ACK
Šø RST
nogriežot visu HTTP pie aizliegta URL. KÄ redzat no iepriekÅ” redzamÄ grafika, pÄc pirmÄs dienas es sÄku saÅemt mazÄk datu, taÄu es joprojÄm tos saÅÄmu, kas bija pilnÄ«gi pietiekami, lai veiktu pieprasÄ«jumu avotu skaitÄ«Å”anu.
NonÄc pie lietas. ManuprÄt, katru dienu ir skaidri redzami divi uzliesmojumi, pirmais mazÄks, pÄc pusnakts pÄc Maskavas laika, otrs tuvÄk 6 no rÄ«ta ar asti lÄ«dz plkst.12. Maksimums nenotiek tieÅ”i tajÄ paÅ”Ä laikÄ. SÄkumÄ vÄlÄjos atlasÄ«t IP adreses, kas izkrita tikai Å”ajos periodos un katru visos periodos, pamatojoties uz pieÅÄmumu, ka aÄ£entu pÄrbaudes tiek veiktas periodiski. TaÄu, rÅ«pÄ«gi pÄrskatot, es Ätri atklÄju periodus, kas ietilpst citos intervÄlos, ar citÄm frekvencÄm, lÄ«dz vienam pieprasÄ«jumam katru stundu. Tad es domÄju par laika joslÄm un to, ka varbÅ«t tam ir kÄds sakars ar tÄm, tad domÄju, ka kopumÄ sistÄma varÄtu nebÅ«t globÄli sinhronizÄta. TurklÄt NAT, iespÄjams, spÄlÄs savu lomu, un tas pats aÄ£ents var veikt pieprasÄ«jumus no dažÄdiem publiskajiem IP.
TÄ kÄ mans sÄkotnÄjais mÄrÄ·is nebija precÄ«zi, es saskaitÄ«ju visas adreses, kuras es sastapu nedÄļas laikÄ, un saÅÄmu - 2791. No vienas adreses izveidoto TCP sesiju skaits vidÄji ir 4, ar vidÄjo 2. PopulÄrÄkÄs sesijas vienÄ adresÄ: 464, 231, 149, 83, 77. Maksimums no 95% izlases ir 8 sesijas uz vienu adresi. MediÄna nav Ä«paÅ”i augsta, atgÄdinÄÅ”u, ka grafikÄ redzama skaidra dienas periodiskums, tÄtad 4 dienÄs varÄtu gaidÄ«t kaut ko ap 8 lÄ«dz 7. Ja mÄs izmetÄ«sim visas sesijas, kas notiek vienu reizi, mÄs iegÅ«sim mediÄnu, kas vienÄda ar 5. Bet es nevarÄju tÄs izslÄgt, pamatojoties uz skaidru kritÄriju. Gluži pretÄji, izlases veida pÄrbaude parÄdÄ«ja, ka tie ir saistÄ«ti ar aizliegta resursa pieprasÄ«jumiem.
Adreses ir adreses, bet internetÄ autonomÄs sistÄmas - AS, kas izrÄdÄ«jÄs svarÄ«gÄkas 1510, vidÄji 2 adreses katrai AS ar vidÄjo 1. GalvenÄs adreses katrÄ AS: 288, 77, 66, 39, 27. MaksimÄlais 95% no izlases ir 4 adreses vienai AS. Å eit ir sagaidÄma mediÄna - viens aÄ£ents katram pakalpojumu sniedzÄjam. SagaidÄm arÄ« topu ā tajÄ ir lieli spÄlÄtÄji. LielÄ tÄ«klÄ aÄ£entiem, iespÄjams, jÄatrodas katrÄ operatora klÄtbÅ«tnes reÄ£ionÄ, un neaizmirstiet par NAT. Ja Åemam pa valstÄ«m, tad maksimumi bÅ«s: 1409 - RU, 42 - UA, 23 - CZ, 36 no citiem reÄ£ioniem, nevis RIPE NCC. UzmanÄ«bu piesaista pieprasÄ«jumi no Ärpus Krievijas. IespÄjams, to var izskaidrot ar Ä£eolokÄcijas kļūdÄm vai reÄ£istratora kļūdÄm, aizpildot datus. Vai arÄ« tas, ka Krievijas uzÅÄmumam var nebÅ«t krievu saknes, vai ir Ärzemju pÄrstÄvniecÄ«ba, jo tÄ ir vieglÄk, kas ir dabiski, ja ir darÄ«Å”ana ar Ärzemju organizÄciju RIPE NCC. KÄda daļa neapÅ”aubÄmi ir lieka, taÄu to ir grÅ«ti atdalÄ«t, jo resurss tiek bloÄ·Äts, bet no otrÄs dienas - dubultÄ, un lielÄkÄ daļa sesiju ir tikai vairÄku pakalpojumu pakeÅ”u apmaiÅa. Vienosimies, ka tÄ ir maza daļa.
Å os skaitļus jau var salÄ«dzinÄt ar pakalpojumu sniedzÄju skaitu KrievijÄ.
Par DPI
Neskatoties uz to, ka mans hostinga pakalpojumu sniedzÄjs ieslÄdza savu filtru, sÄkot ar otro dienu, pÄc pirmÄs dienas informÄcijas varam secinÄt, ka bloÄ·ÄÅ”ana darbojas veiksmÄ«gi. Tikai 4 avoti varÄja tikt cauri un ir pilnÄ«bÄ pabeiguÅ”i HTTP un TCP sesijas (kÄ iepriekÅ” minÄtajÄ piemÄrÄ). VÄl 460 var nosÅ«tÄ«t GET
, bet sesija nekavÄjoties tiek pÄrtraukta lÄ«dz RST
. pievÄrs uzmanÄ«bu TTL
:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TTL 50, TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
HTTP, "GET /filteredpage HTTP/1.1"
TTL 64, TCP, 80 > 14678, "[ACK] Seq=1 Ack=294"
#ŠŠ¾Ń ŃŃŠ¾ ŠæŃŠøŃŠ»Š°Š» ŃŠøŠ»ŃŃŃ
TTL 53, TCP, 14678 > 80, "[RST] Seq=3458729893"
TTL 53, TCP, 14678 > 80, "[RST] Seq=3458729893"
HTTP, "HTTP/1.1 302 Found"
#Š ŃŃŠ¾ ŠæŠ¾ŠæŃŃŠŗŠ° ŠøŃŃ
Š¾Š“Š½Š¾Š³Š¾ ŃŠ·Š»Š° ŠæŠ¾Š»ŃŃŠøŃŃ ŠæŠ¾ŃŠµŃŃ
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[ACK] Seq=294 Ack=145"
TTL 50, TCP, 14678 > 80, "[FIN, ACK] Seq=294 Ack=145"
TTL 64, TCP, 80 > 14678, "[FIN, ACK] Seq=171 Ack=295"
TTL 50, TCP Dup ACK 14678 > 80 "[ACK] Seq=295 Ack=145"
#ŠŃŃ
Š¾Š“Š½ŃŠ¹ ŃŠ·ŠµŠ» ŠæŠ¾Š½ŠøŠ¼Š°ŠµŃ ŃŃŠ¾ ŃŠµŃŃŠøŃ ŃŠ°Š·ŃŃŃŠµŠ½Š°
TTL 50, TCP, 14678 > 80, "[RST] Seq=294"
TTL 50, TCP, 14678 > 80, "[RST] Seq=295"
VariÄcijas var bÅ«t dažÄdas: mazÄk RST
vai vairÄk retranslÄciju ā arÄ« atkarÄ«gs no tÄ, ko filtrs nosÅ«ta uz avota mezglu. JebkurÄ gadÄ«jumÄ Å”Ä« ir visuzticamÄkÄ veidne, no kuras ir skaidrs, ka tas bija aizliegts resurss, kas tika pieprasÄ«ts. TurklÄt vienmÄr ir atbilde, kas parÄdÄs sesijÄ ar TTL
lielÄks nekÄ iepriekÅ”ÄjÄs un turpmÄkajÄs paketÄs.
To pat nevar redzÄt no pÄrÄjiem GET
:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
#ŠŠ¾Ń ŃŃŠ¾ ŠæŃŠøŃŠ»Š°Š» ŃŠøŠ»ŃŃŃ
TTL 53, TCP, 14678 > 80, "[RST] Seq=1"
Vai arī:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TTL 50, TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
#ŠŠ¾Ń ŃŃŠ¾ ŠæŃŠøŃŠ»Š°Š» ŃŠøŠ»ŃŃŃ
TTL 53, TCP, 14678 > 80, "[RST, PSH] Seq=1"
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[FIN, ACK] Seq=89 Ack=172"
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[FIN, ACK] Seq=89 Ack=172"
#ŠŠæŃŃŃ ŃŠøŠ»ŃŃŃ, Š¼Š½Š¾Š³Š¾ ŃŠ°Š·
TTL 53, TCP, 14678 > 80, "[RST, PSH] Seq=1"
...
AtŔķirība noteikti ir redzama TTL
ja kaut kas nÄk no filtra. Bet bieži vien nekas var nesanÄkt:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP Retransmission, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
...
Vai arī:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
#ŠŃŠ¾ŃŠ»Š¾ Š½ŠµŃŠŗŠ¾Š»ŃŠŗŠ¾ ŃŠµŠŗŃŠ½Š“ Š±ŠµŠ· ŃŃŠ°ŃŠøŠŗŠ°
TCP, 80 > 14678, "[FIN, ACK] Seq=1 Ack=1"
TCP Retransmission, 80 > 14678, "[FIN, ACK] Seq=1 Ack=1"
...
Un tas viss atkÄrtojas un atkÄrtojas un atkÄrtojas, kÄ redzams grafikÄ, ne reizi vien, katru dienu.
Par IPv6
LabÄ ziÅa ir tÄ, ka tÄ pastÄv. Varu droÅ”i teikt, ka periodiski pieprasÄ«jumi aizliegtam resursam tiek saÅemti no 5 dažÄdÄm IPv6 adresÄm, kas ir tieÅ”i tÄda AÄ£entu uzvedÄ«ba, kÄdu es gaidÄ«ju. TurklÄt viena no IPv6 adresÄm neietilpst filtrÄÅ”anÄ, un es redzu pilnu sesiju. No vÄl divÄm es redzÄju tikai vienu nepabeigtu sesiju, no kurÄm vienu pÄrtrauca RST
no filtra, otrais pÄc laika. KopÄjÄ summa 7.
TÄ kÄ adreÅ”u ir maz, tad izpÄtÄ«ju visas sÄ«ki un izrÄdÄ«jÄs, ka tur ir tikai 3 provaideri, viÅiem var dot ovÄcijas! Cita adrese ir mÄkoÅa hostings KrievijÄ (nefiltrÄ), cita ir pÄtniecÄ«bas centrs VÄcijÄ (ir filtrs, kur?). Bet kÄpÄc viÅi pÄc grafika pÄrbauda aizliegto resursu pieejamÄ«bu, ir labs jautÄjums. PÄrÄjie divi iesniedza vienu pieprasÄ«jumu un atrodas Ärpus Krievijas, un viens no tiem ir filtrÄts (galu galÄ?).
BloÄ·ÄÅ”ana un aÄ£enti ir liels ŔķÄrslis IPv6, kura ievieÅ”ana nevirzÄs ļoti Ätri. Tas ir skumji. Tie, kas atrisinÄja Å”o problÄmu, var pilnÄ«bÄ lepoties ar sevi.
NoslÄgumÄ
Es netiecos uz 100% precizitÄti, lÅ«dzu, piedodiet man par to, ceru, ka kÄds vÄlas atkÄrtot Å”o darbu ar lielÄku precizitÄti. Man bija svarÄ«gi saprast, vai Ŕī pieeja principÄ darbosies. Atbilde ir jÄ. IegÅ«tie skaitļi, kÄ pirmais tuvinÄjums, manuprÄt, ir diezgan ticami.
Ko vÄl varÄja darÄ«t un ko man bija par slinku darÄ«t, bija DNS pieprasÄ«jumu saskaitÄ«Å”ana. Tie netiek filtrÄti, taÄu tie arÄ« nenodroÅ”ina lielu precizitÄti, jo tie darbojas tikai domÄnam, nevis visam URL. Biežumam jÄbÅ«t redzamam. Ja to apvienojat ar to, kas ir tieÅ”i redzams vaicÄjumos, tas ļaus jums atdalÄ«t nevajadzÄ«go un iegÅ«t vairÄk informÄcijas. Ir pat iespÄjams noteikt pakalpojumu sniedzÄju izmantotÄ DNS izstrÄdÄtÄjus un daudz ko citu.
Es absolÅ«ti negaidÄ«ju, ka hoster manam VPS iekļaus arÄ« savu filtru. VarbÅ«t tÄ ir ierasta prakse. Galu galÄ RKN nosÅ«ta resursdatoram pieprasÄ«jumu dzÄst resursu. Bet tas mani nepÄrsteidza un savÄ ziÅÄ pat darbojÄs man par labu. Filtrs darbojÄs ļoti efektÄ«vi, nogriežot visus pareizos HTTP pieprasÄ«jumus uz aizliegtu URL, bet ne pareizie, kas iepriekÅ” bija izgÄjuÅ”i caur pakalpojumu sniedzÄju filtru, tos sasniedza, kaut arÄ« tikai galotÅu veidÄ: FIN-ACK
Šø RST
- mÄ«nuss mÄ«nusam un gandrÄ«z izrÄdÄ«jÄs pluss. Starp citu, resursdators nefiltrÄja IPv6. Protams, tas ietekmÄja savÄktÄ materiÄla kvalitÄti, taÄu tas tomÄr ļÄva redzÄt biežumu. IzrÄdÄ«jÄs, ka tas ir svarÄ«gs punkts, izvÄloties vietu resursu izvietoÅ”anai; neaizmirstiet painteresÄties par jautÄjumu par darba organizÄÅ”anu ar aizliegto vietÅu sarakstu un RKN pieprasÄ«jumiem.
SÄkumÄ salÄ«dzinÄju AS "Inspektors" ar
VÄl viens punkts, kam vÄlos pieskarties, ir tas, ka katrs instruments var bÅ«t ierocis. AS "Inspektors" ir slÄgts tÄ«kls, bet AÄ£enti nodod visus, sÅ«tot pieprasÄ«jumus par visiem resursiem no aizliegtÄ saraksta. Å Äda resursa izmantoÅ”ana nerada nekÄdas problÄmas. KopumÄ pakalpojumu sniedzÄji ar aÄ£entu starpniecÄ«bu neapzinÄti pastÄsta par savu tÄ«klu daudz vairÄk, nekÄ, iespÄjams, ir tÄ vÄrts: DPI un DNS veidi, aÄ£enta atraÅ”anÄs vieta (centrÄlais mezgls un pakalpojumu tÄ«kls?), kavÄjumu un zudumu tÄ«kla marÄ·ieri - un tas ir tikai pats acÄ«mredzamÄkais. TÄpat kÄ kÄds var pÄrraudzÄ«t AÄ£entu darbÄ«bas, lai uzlabotu savu resursu pieejamÄ«bu, kÄds to var darÄ«t citiem mÄrÄ·iem, un tam nav ŔķÄrŔļu. RezultÄts ir divpusÄ«gs un ļoti daudzpusÄ«gs instruments, to var redzÄt ikviens.
Avots: www.habr.com