Menggesa saya ke jawatan ini .
Saya petik di sini:
hari ini pada 18:53
Saya gembira dengan pembekal hari ini. Bersama-sama dengan kemas kini sistem penyekatan tapak, mail.ru mailernya telah diharamkan. Saya telah menghubungi sokongan teknikal sejak pagi, tetapi mereka tidak boleh berbuat apa-apa. Pembekalnya kecil, dan nampaknya penyedia yang berpangkat lebih tinggi menyekatnya. Saya juga melihat kelembapan dalam pembukaan semua tapak, mungkin mereka memasang sejenis DLP yang bengkok? Sebelum ini tiada masalah dengan akses. Kemusnahan RuNet sedang berlaku di depan mata saya...
Hakikatnya nampaknya kami adalah pembekal yang sama :)
Dan sesungguhnya, Saya hampir meneka punca masalah dengan mail.ru (walaupun kami enggan mempercayai perkara sedemikian untuk masa yang lama).
Perkara berikut akan dibahagikan kepada dua bahagian:
- sebab masalah semasa kami dengan mail.ru dan usaha menarik untuk mencarinya
- kewujudan ISP dalam realiti hari ini, kestabilan RuNet yang berdaulat.
Masalah kebolehaksesan dengan mail.ru
Oh, ia cerita yang agak panjang.
Hakikatnya ialah untuk melaksanakan keperluan negara (lebih terperinci di bahagian kedua), kami membeli, mengkonfigurasi, dan memasang beberapa peralatan - baik untuk menapis sumber yang dilarang dan untuk melaksanakan pelanggan.
Beberapa ketika dahulu, kami akhirnya membina semula teras rangkaian sedemikian rupa sehingga semua trafik pelanggan melalui peralatan ini dengan ketat ke arah yang betul.
Beberapa hari yang lalu kami menghidupkan penapisan yang dilarang padanya (semasa membiarkan sistem lama berfungsi) - semuanya kelihatan berjalan lancar.
Seterusnya, mereka secara beransur-ansur mula mendayakan NAT pada peralatan ini untuk bahagian pelanggan yang berlainan. Dari segi rupa, semuanya juga kelihatan berjalan lancar.
Tetapi hari ini, setelah mendayakan NAT pada peralatan untuk bahagian pelanggan seterusnya, sejak pagi tadi kami berhadapan dengan sejumlah aduan yang baik tentang ketiadaan atau ketersediaan separa dan sumber Kumpulan Mail Ru yang lain.
Mereka mula menyemak: sesuatu di suatu tempat kadang-kadang, kadang-kadang menghantar sebagai tindak balas kepada permintaan secara eksklusif kepada rangkaian mail.ru. Lebih-lebih lagi, ia menghantar TCP RST yang dijana secara salah (tanpa ACK), jelas tiruan. Inilah rupanya:
Sememangnya, pemikiran pertama adalah tentang peralatan baharu: DPI yang dahsyat, tidak mempercayainya, anda tidak pernah tahu apa yang boleh dilakukannya - lagipun, TCP RST adalah perkara yang agak biasa di kalangan alat penyekat.
Andaian Kami juga mengemukakan idea bahawa seseorang "superior" sedang menapis, tetapi segera membuangnya.
Pertama, kami mempunyai uplink yang cukup waras supaya kami tidak perlu menderita seperti ini :)
Kedua, kami disambungkan kepada beberapa di Moscow, dan lalu lintas ke mail.ru melaluinya - dan mereka tidak mempunyai tanggungjawab mahupun motif lain untuk menapis trafik.
Separuh hari berikutnya dihabiskan untuk apa yang biasanya dipanggil shamanisme - bersama dengan vendor peralatan, yang kami berterima kasih kepada mereka, mereka tidak berputus asa :)
- penapisan telah dilumpuhkan sepenuhnya
- NAT telah dilumpuhkan menggunakan skim baharu
- PC ujian diletakkan di dalam kolam terpencil yang berasingan
- Pengalamatan IP berubah
Pada sebelah petang, mesin maya diperuntukkan yang disambungkan ke rangkaian mengikut skema pengguna biasa, dan wakil vendor diberi akses kepadanya dan peralatan. Bomoh diteruskan :)
Pada akhirnya, wakil vendor dengan yakin menyatakan bahawa perkakasan itu langsung tiada kaitan dengannya: yang pertama datang dari tempat yang lebih tinggi.
NotaPada ketika ini, seseorang mungkin berkata: tetapi lebih mudah untuk membuang sampah bukan dari PC ujian, tetapi dari lebuh raya di atas DPI?
Tidak, malangnya, membuang (dan juga hanya mencerminkan) 40+gbps bukanlah perkara remeh sama sekali.
Selepas ini, pada waktu petang, tiada apa yang perlu dilakukan selain kembali kepada andaian penapisan aneh di suatu tempat di atas.
Saya melihat melalui mana IX lalu lintas ke rangkaian MRG kini melalui dan hanya membatalkan sesi bgp kepadanya. Dan - lihat dan lihat! - semuanya segera kembali normal π
Di satu pihak, ia memalukan bahawa sepanjang hari dihabiskan untuk mencari masalah itu, walaupun ia diselesaikan dalam masa lima minit.
Sebaliknya:
β dalam ingatan saya ini adalah perkara yang tidak pernah berlaku sebelum ini. Seperti yang telah saya tulis di atas - IX benar-benar tiada gunanya menapis trafik transit. Mereka biasanya mempunyai ratusan gigabit/terabit sesaat. Saya tidak dapat membayangkan sesuatu seperti ini sehingga baru-baru ini.
β satu kebetulan yang sangat bertuah dalam keadaan: perkakasan kompleks baharu yang tidak begitu dipercayai dan tidak jelas perkara yang boleh dijangkakan β disesuaikan khusus untuk menyekat sumber, termasuk TCP RST
NOC pertukaran internet ini sedang mencari masalah. Menurut mereka (dan saya percaya mereka), mereka tidak mempunyai sistem penapisan yang digunakan khas. Tetapi, alhamdulillah, pencarian selanjutnya bukan lagi masalah kami :)
Ini adalah percubaan kecil untuk membenarkan diri saya, harap faham dan maafkan :)
PS: Saya sengaja tidak menamakan pengeluar DPI/NAT atau IX (sebenarnya, saya tidak mempunyai sebarang aduan khas tentang mereka, perkara utama ialah memahami apa itu)
Realiti hari ini (dan juga semalam dan hari sebelum semalam) dari sudut pandangan penyedia Internet
Saya telah menghabiskan beberapa minggu terakhir dengan ketara membina semula teras rangkaian, melakukan banyak manipulasi "untuk keuntungan", dengan risiko menjejaskan trafik pengguna secara langsung. Mempertimbangkan matlamat, keputusan dan akibat semua ini, secara moral semuanya agak sukar. Terutama - sekali lagi mendengar ucapan indah tentang melindungi kestabilan Runet, kedaulatan, dll. dan sebagainya.
Dalam bahagian ini, saya akan cuba menerangkan "evolusi" teras rangkaian ISP biasa sepanjang sepuluh tahun yang lalu.
Sepuluh tahun lalu.
Pada masa yang diberkati itu, teras rangkaian pembekal mungkin semudah dan boleh dipercayai seperti kesesakan lalu lintas:
Dalam gambar yang sangat, sangat mudah ini, tiada batang, cincin, penghalaan ip/mpls.
Intipatinya ialah trafik pengguna akhirnya mencapai peralihan peringkat kernel - dari mana ia pergi , dari mana, sebagai peraturan, kembali ke penukaran teras, dan kemudian "keluar" - melalui satu atau lebih gerbang sempadan ke Internet.
Skim sedemikian adalah sangat, sangat mudah untuk ditempah pada L3 (penghalaan dinamik) dan pada L2 (MPLS).
Anda boleh memasang N+1 daripada apa-apa sahaja: akses pelayan, suis, sempadan - dan dengan satu cara atau yang lain menempahnya untuk failover automatik.
Selepas beberapa tahun Ia menjadi jelas kepada semua orang di Rusia bahawa adalah mustahil untuk hidup seperti ini lagi: adalah penting untuk melindungi kanak-kanak daripada pengaruh Internet yang merosakkan.
Terdapat keperluan mendesak untuk mencari cara untuk menapis trafik pengguna.
Terdapat pendekatan yang berbeza di sini.
Dalam kes yang tidak begitu baik, sesuatu diletakkan "dalam jurang": antara trafik pengguna dan Internet. Trafik yang melalui "sesuatu" ini dianalisis dan, sebagai contoh, paket palsu dengan ubah hala dihantar ke arah pelanggan.
Dalam kes yang lebih baik sedikit - jika volum trafik membenarkan - anda boleh melakukan helah kecil dengan telinga anda: hantar untuk menapis hanya trafik yang berasal daripada pengguna sahaja ke alamat yang perlu ditapis (untuk melakukan ini, anda boleh sama ada mengambil alamat IP ditentukan di sana daripada pendaftaran, atau tambahan menyelesaikan domain yang sedia ada dalam pendaftaran).
Pada satu masa, untuk tujuan ini, saya menulis ringkas - walaupun saya tidak berani memanggilnya begitu. Ia sangat mudah dan tidak begitu produktif - walau bagaimanapun, ia membenarkan kami dan berpuluh-puluh (jika tidak beratus-ratus) pembekal lain untuk tidak serta-merta mengeluarkan berjuta-juta pada sistem DPI perindustrian, tetapi memberikan beberapa tahun tambahan masa.
Dengan cara ini, mengenai DPI masa itu dan semasaNgomong-ngomong, ramai yang membeli sistem DPI yang terdapat di pasaran pada masa itu telah membuangnya. Nah, mereka tidak direka untuk ini: ratusan ribu alamat, puluhan ribu URL.
Dan pada masa yang sama, pengeluar domestik telah meningkat dengan sangat kuat ke pasaran ini. Saya tidak bercakap tentang komponen perkakasan - semuanya jelas kepada semua orang di sini, tetapi perisian - perkara utama yang DPI ada - mungkin hari ini, jika bukan yang paling maju di dunia, maka sudah tentu a) berkembang dengan pesat, dan b) pada harga produk berkotak - tidak dapat dibandingkan dengan pesaing asing.
Saya ingin berbangga, tetapi sedikit sedih =)
Sekarang semuanya kelihatan seperti ini:
Dalam beberapa tahun lagi semua orang sudah mempunyai juruaudit; Terdapat lebih banyak sumber dalam pendaftaran. Untuk beberapa peralatan lama (contohnya, Cisco 7600), skim "penapisan sisi" menjadi tidak terpakai: bilangan laluan pada 76 platform dihadkan kepada kira-kira sembilan ratus ribu, manakala bilangan laluan IPv4 sahaja hari ini menghampiri 800 ribu. Dan jika ia juga ipv6... Dan juga... berapa harganya? 900000 alamat individu dalam larangan RKN? =)
Seseorang beralih kepada skema dengan pencerminan semua trafik tulang belakang ke pelayan penapisan, yang sepatutnya menganalisis keseluruhan aliran dan, jika sesuatu yang buruk ditemui, hantar RST dalam kedua-dua arah (pengirim dan penerima).
Walau bagaimanapun, semakin banyak trafik, semakin kurang terpakai skim ini. Jika terdapat sedikit kelewatan dalam pemprosesan, trafik yang dicerminkan hanya akan terbang tanpa disedari, dan pembekal akan menerima laporan yang baik.
Semakin ramai pembekal terpaksa memasang sistem DPI dengan pelbagai tahap kebolehpercayaan di seluruh lebuh raya.
Setahun dua yang lalu mengikut khabar angin, hampir semua FSB mula menuntut pemasangan peralatan sebenar (sebelum ini, kebanyakan pembekal diuruskan dengan kelulusan daripada pihak berkuasa Pelan SORM - pelan langkah operasi sekiranya perlu mencari sesuatu di suatu tempat)
Selain wang (tidak terlalu tinggi, tetapi masih berjuta-juta), SORM memerlukan lebih banyak manipulasi dengan rangkaian.
- SORM perlu melihat alamat pengguna "kelabu" sebelum terjemahan nat
- SORM mempunyai bilangan antara muka rangkaian yang terhad
Oleh itu, khususnya, kami terpaksa membina semula sekeping kernel - semata-mata untuk mengumpul trafik pengguna ke pelayan akses di suatu tempat di satu tempat. Untuk mencerminkannya dalam SORM dengan beberapa pautan.
Iaitu, sangat mudah, ia (kiri) vs menjadi (kanan):
Sekarang Kebanyakan pembekal juga memerlukan pelaksanaan SORM-3 - yang termasuk, antara lain, pengelogan siaran nat.
Untuk tujuan ini, kami juga terpaksa menambah peralatan berasingan untuk NAT pada rajah di atas (tepatnya apa yang dibincangkan dalam bahagian pertama). Selain itu, tambah dalam susunan tertentu: memandangkan SORM mesti "melihat" trafik sebelum menterjemah alamat, trafik mesti berjalan dengan ketat seperti berikut: pengguna -> penukaran, kernel -> pelayan akses -> SORM -> NAT -> penukaran, kernel - > Internet. Untuk melakukan ini, kami terpaksa "memusingkan" aliran trafik ke arah lain untuk mendapatkan keuntungan, yang juga agak sukar.
Ringkasnya: sepanjang sepuluh tahun yang lalu, reka bentuk teras pembekal purata telah menjadi berkali-kali lebih kompleks, dan titik kegagalan tambahan (kedua-duanya dalam bentuk peralatan dan dalam bentuk talian pensuisan tunggal) telah meningkat dengan ketara. Sebenarnya, keperluan untuk "melihat segala-galanya" membayangkan mengurangkan "segala-galanya" ini kepada satu titik.
Saya fikir ini boleh diekstrapolasi dengan agak telus kepada inisiatif semasa untuk mendaulatkan Runet, melindunginya, menstabilkannya dan memperbaikinya :)
Dan Yarovaya masih di hadapan.
Sumber: www.habr.com