Mhuwiex sigriet li l-kontroll tal-imblukkar fuq il-lista ta 'informazzjoni pprojbita fir-Russja huwa mmonitorjat mis-sistema awtomatizzata "Spettur". Kif taħdem huwa miktub tajjeb hawn f'dan , stampa mill-istess post:
Installat direttament fil-fornitur :
Il-modulu "Aġent Spettur" huwa element strutturali tas-sistema awtomatizzata "Spettur" (KIF "Spettur"). Din is-sistema hija mfassla biex timmonitorja l-konformità mill-operaturi tat-telekomunikazzjoni mar-rekwiżiti ta 'restrizzjoni tal-aċċess fil-qafas tad-dispożizzjonijiet stabbiliti mill-Artikoli 15.1-15.4 tal-Liġi Federali tas-27 ta' Lulju 2006 Nru 149-FZ "Dwar l-Informazzjoni, it-Teknoloġiji tal-Informazzjoni u l-Protezzjoni tal-Informazzjoni. ”
L-għan ewlieni tal-ħolqien ta' AS "Revizor" huwa li jiġi żgurat il-monitoraġġ tal-konformità tal-operaturi tat-telekomunikazzjoni mar-rekwiżiti stabbiliti mill-Artikoli 15.1-15.4 tal-Liġi Federali tas-27 ta' Lulju 2006 Nru 149-FZ "Dwar l-Informazzjoni, it-Teknoloġiji tal-Informazzjoni u l-Protezzjoni tal-Informazzjoni " f'termini ta 'identifikazzjoni ta' fatti ta 'aċċess għal informazzjoni pprojbita u kisba ta' materjali ta 'appoġġ (dejta) dwar vjolazzjonijiet biex jiġi ristrett l-aċċess għal informazzjoni pprojbita.
Meta wieħed iqis il-fatt li, jekk mhux kollha, allura ħafna fornituri installaw dan l-apparat, kellu jkun hemm netwerk kbir ta 'sondi beacon bħal u saħansitra aktar, iżda b'aċċess magħluq. Madankollu, beacon huwa xempju biex jibgħat sinjali fid-direzzjonijiet kollha, imma x'jiġri jekk naqbduhom u naraw x'qbidna u kemm?
Qabel ma ngħoddu, ejja naraw għaliex dan jista 'saħansitra jkun possibbli.
Daqsxejn ta 'teorija
L-aġenti jivverifikaw id-disponibbiltà ta’ riżorsa, inkluż permezz ta’ talbiet HTTP(S), bħal din:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
HTTP, "GET /somepage HTTP/1.1"
TCP, 80 > 14678, "[ACK] Seq=1 Ack=71"
HTTP, "HTTP/1.1 302 Found"
TCP, 14678 > 80, "[FIN, ACK] Seq=71 Ack=479"
TCP, 80 > 14678, "[FIN, ACK] Seq=479 Ack=72"
TCP, 14678 > 80, "[ACK] Seq=72 Ack=480"
Minbarra t-tagħbija, it-talba tikkonsisti wkoll f'fażi ta' stabbiliment ta' konnessjoni: skambju SYN и SYN-ACK, u l-fażijiet tat-tlestija tal-konnessjoni: FIN-ACK.
Ir-reġistru ta' informazzjoni pprojbita fih diversi tipi ta' imblukkar. Ovvjament, jekk riżorsa tkun imblukkata bl-indirizz IP jew bl-isem tad-dominju, allura ma naraw l-ebda talba. Dawn huma l-aktar tipi distruttivi ta 'imblukkar, li jwasslu għall-inaċċessibbiltà tar-riżorsi kollha fuq indirizz IP wieħed jew l-informazzjoni kollha fuq dominju. Hemm ukoll tip ta 'imblukkar "bil-URL". F'dan il-każ, is-sistema ta 'filtrazzjoni trid teżamina l-header tat-talba HTTP biex tiddetermina eżattament x'għandek timblokka. U qabel dan, kif jista 'jara hawn fuq, għandu jkun hemm fażi ta' stabbiliment ta 'konnessjoni li tista' tipprova ssegwi, peress li x'aktarx il-filtru jitlifha.
Biex tagħmel dan, trid tagħżel dominju ħieles xieraq bit-tip ta 'imblukkar "URL" u HTTP biex tiffaċilita x-xogħol tas-sistema ta' filtrazzjoni, preferibbilment abbandunata għal żmien twil, biex timminimizza d-dħul ta 'traffiku estranju ħlief mill-Aġenti. Dan il-kompitu rriżulta li ma kien xejn diffiċli; hemm ħafna oqsma ħielsa fir-reġistru ta 'informazzjoni pprojbita u għal kull togħma. Għalhekk, id-dominju kien mixtri u marbut ma 'indirizzi IP fuq VPS li qed jaħdem tcpdump u beda l-għadd.
Verifika ta' "Awdituri"
Jien stennejt li nara fqigħ perjodiċi ta' talbiet, li fl-opinjoni tiegħi jindikaw azzjoni kkontrollata. Huwa impossibbli li ngħid li ma rajtu xejn, iżda żgur ma kien hemm l-ebda stampa ċara:
Li mhux sorprendenti, anke fuq dominju li ħadd ma għandu bżonn u fuq IP li qatt ma ntuża, se jkun hemm sempliċiment ton ta 'informazzjoni mhux mitluba, bħal dan huwa l-Internet modern. Imma fortunatament, kelli bżonn biss talbiet għal URL speċifiku, għalhekk l-iskaners u l-crackers tal-passwords kollha nstabu malajr. Ukoll, kien pjuttost faċli li wieħed jifhem fejn l-għargħar kien ibbażat fuq il-massa ta 'talbiet simili. Sussegwentement, ikkumpilajt il-frekwenza tal-okkorrenza tal-indirizzi IP u għaddejt man-naħa ta 'fuq kollu manwalment, u sseparat lil dawk li tilfuha fl-istadji preċedenti. Barra minn hekk, qatgħet is-sorsi kollha li ntbagħtu f'pakkett wieħed, ma kienx hemm ħafna minnhom aktar. U dan huwa dak li ġara:
Digressjoni lirika żgħira. Ftit aktar minn ġurnata wara, il-fornitur tal-hosting tiegħi bagħat ittra b'kontenut pjuttost issimplifikat, u qal li l-faċilitajiet tiegħek fihom riżors mil-lista RKN pprojbita, għalhekk hija mblukkata. Għall-ewwel ħsibt li l-kont tiegħi kien imblukkat, dan ma kienx il-każ. Imbagħad ħsibt li kienu sempliċement iwissuni dwar xi ħaġa li diġà kont naf dwarha. Iżda rriżulta li l-hoster xegħel il-filtru tiegħu quddiem id-dominju tiegħi u bħala riżultat ġejt taħt filtrazzjoni doppja: mill-fornituri u mill-hoster. Il-filtru għadda biss mit-truf tat-talbiet: FIN-ACK и RST qtugħ HTTP kollu f'URL ipprojbit. Kif tistgħu taraw mill-graff ta 'hawn fuq, wara l-ewwel jum bdejt nirċievi inqas dejta, iżda xorta rċevejtha, li kien pjuttost biżżejjed għall-kompitu li jingħaddu s-sorsi tat-talba.
Wasal sal-punt. Fl-opinjoni tiegħi, żewġ tifqigħ huma viżibbli b'mod ċar kuljum, l-ewwel iżgħar, wara nofsillejl ħin Moska, it-tieni eqreb lejn 6 am b'denb sa 12 nofsinhar. Il-quċċata ma sseħħx eżattament fl-istess ħin. Għall-ewwel, ridt nagħżel indirizzi IP li waqgħu biss f'dawn il-perjodi u kull wieħed fil-perjodi kollha, abbażi tas-suppożizzjoni li l-kontrolli mill-Aġenti jsiru perjodikament. Iżda wara reviżjoni bir-reqqa, malajr skoprejt perjodi li jaqgħu f'intervalli oħra, bi frekwenzi oħra, sa talba waħda kull siegħa. Imbagħad ħsibt dwar iż-żoni tal-ħin u li forsi kellha x’taqsam magħhom, imbagħad ħsibt li b’mod ġenerali s-sistema setgħet ma tkunx sinkronizzata globalment. Barra minn hekk, NAT probabbilment se jkollu rwol u l-istess Aġent jista 'jagħmel talbiet minn IPs pubbliċi differenti.
Peress li l-għan inizjali tiegħi ma kienx eżattament, għoddt l-indirizzi kollha li ltqajt magħhom f'ġimgħa u sibt - 2791. In-numru ta 'sessjonijiet TCP stabbiliti minn indirizz wieħed huwa medja ta' 4, b'medjan ta '2. L-ogħla sessjonijiet għal kull indirizz: 464, 231, 149, 83, 77. Il-massimu minn 95% tal-kampjun huwa 8 sessjonijiet għal kull indirizz. Il-medjan mhix għolja ħafna, ħalluni nfakkarkom li l-grafika turi perjodiċità ċara ta 'kuljum, għalhekk wieħed jista' jistenna xi ħaġa madwar 4 sa 8 f'7 ijiem. Jekk inwarrbu s-sessjonijiet kollha li jseħħu darba, se nġibu medjan ugwali għal 5. Imma ma stajtx neskludihom ibbażati fuq kriterju ċar. Għall-kuntrarju, verifika każwali wriet li kienu relatati ma’ talbiet għal riżors ipprojbit.
L-indirizzi huma indirizzi, iżda fuq l-Internet, sistemi awtonomi - AS, li rriżultaw li kienu aktar importanti 1510, bħala medja 2 indirizzi għal kull AS b'medjan ta' 1. L-ogħla indirizzi għal kull AS: 288, 77, 66, 39, 27. Il-massimu ta' 95% tal-kampjun huwa 4 indirizzi għal kull AS. Hawnhekk il-medjan huwa mistenni - Aġent wieħed għal kull fornitur. Nistennew ukoll il-quċċata - hemm atturi kbar fiha. F'netwerk kbir, l-Aġenti għandhom probabbilment jinsabu f'kull reġjun tal-preżenza tal-operatur, u tinsiex dwar NAT. Jekk nieħduha skont il-pajjiż, il-massimi jkunu: 1409 - RU, 42 - UA, 23 - CZ, 36 minn reġjuni oħra, mhux RIPE NCC. Talbiet minn barra r-Russja jiġbdu l-attenzjoni. Dan probabbilment jista' jiġi spjegat minn żbalji ta' ġeolokalizzazzjoni jew żbalji tar-reġistratur meta timla d-dejta. Jew il-fatt li kumpanija Russa jista 'ma jkollhiex għeruq Russi, jew ikollha uffiċċju rappreżentattiv barrani minħabba li huwa aktar faċli, li huwa naturali meta tittratta organizzazzjoni barranija RIPE NCC. Xi parti hija bla dubju superfluwa, iżda huwa diffiċli b'mod affidabbli li tisseparaha, peress li r-riżors huwa taħt imblukkar, u mit-tieni jum taħt imblukkar doppju, u l-biċċa l-kbira tas-sessjonijiet huma biss skambju ta 'diversi pakketti ta' servizz. Ejja naqblu li din hija parti żgħira.
Dawn in-numri diġà jistgħu jitqabblu man-numru ta 'fornituri fir-Russja. liċenzji għal "Servizzi ta 'komunikazzjoni għat-trażmissjoni tad-dejta, eskluż il-vuċi" - 6387, iżda din hija stima għolja ħafna minn fuq, mhux dawn il-liċenzji kollha japplikaw speċifikament għal fornituri tal-Internet li jeħtieġu jinstallaw Aġent. Fiż-żona RIPE NCC hemm numru simili ta 'ASes irreġistrati fir-Russja - 6230, li mhux kollha huma fornituri. u rċeviet 3940 kumpanija fl-2017, u din hija pjuttost stima minn fuq. Fi kwalunkwe każ, għandna darbtejn u nofs inqas numru ta 'ASs illuminati. Iżda hawnhekk ta 'min jifhem li AS mhix strettament ugwali għall-fornitur. Xi fornituri m'għandhomx AS tagħhom stess, xi wħud għandhom aktar minn wieħed. Jekk nassumu li kulħadd għad għandu l-Aġenti, allura xi ħadd jiffiltra b'mod aktar qawwi minn oħrajn, sabiex it-talbiet tagħhom ma jkunux jistgħu jintgħarfu miż-żibel, jekk jilħquhom xejn. Iżda għal valutazzjoni approssimattiva hija pjuttost tollerabbli, anki jekk xi ħaġa kienet mitlufa minħabba s-sorveljanza tiegħi.
Dwar DPI
Minkejja l-fatt li l-fornitur tal-hosting tiegħi xegħel il-filtru tiegħu mit-tieni jum, abbażi tal-informazzjoni mill-ewwel jum nistgħu nikkonkludu li l-imblukkar qed jaħdem b'suċċess. 4 sorsi biss setgħu jgħaddu u lestew kompletament is-sessjonijiet HTTP u TCP (bħal fl-eżempju ta 'hawn fuq). Jistgħu jintbagħtu 460 oħra GET, iżda s-sessjoni tintemm immedjatament minn RST. Oqgħod attent għal TTL:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TTL 50, TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
HTTP, "GET /filteredpage HTTP/1.1"
TTL 64, TCP, 80 > 14678, "[ACK] Seq=1 Ack=294"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST] Seq=3458729893"
TTL 53, TCP, 14678 > 80, "[RST] Seq=3458729893"
HTTP, "HTTP/1.1 302 Found"
#А это попытка исходного узла получить потерю
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[ACK] Seq=294 Ack=145"
TTL 50, TCP, 14678 > 80, "[FIN, ACK] Seq=294 Ack=145"
TTL 64, TCP, 80 > 14678, "[FIN, ACK] Seq=171 Ack=295"
TTL 50, TCP Dup ACK 14678 > 80 "[ACK] Seq=295 Ack=145"
#Исходный узел понимает что сессия разрушена
TTL 50, TCP, 14678 > 80, "[RST] Seq=294"
TTL 50, TCP, 14678 > 80, "[RST] Seq=295"
Varjazzjonijiet ta 'dan jistgħu jkunu differenti: inqas RST jew aktar ritrażmetti - jiddependi wkoll fuq dak li l-filtru jibgħat lin-nodu tas-sors. Fi kwalunkwe każ, dan huwa l-aktar mudell affidabbli, li minnu jidher ċar li kienet riżorsa pprojbita li ntalbet. Barra minn hekk dejjem ikun hemm tweġiba li tidher fis-sessjoni bi TTL akbar milli fil-pakketti preċedenti u sussegwenti.
Lanqas tista’ taraha mill-bqija GET:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST] Seq=1"
Jew hekk:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TTL 50, TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST, PSH] Seq=1"
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[FIN, ACK] Seq=89 Ack=172"
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[FIN, ACK] Seq=89 Ack=172"
#Опять фильтр, много раз
TTL 53, TCP, 14678 > 80, "[RST, PSH] Seq=1"
...
Id-differenza hija definittivament viżibbli TTL jekk xi ħaġa tiġi mill-filtru. Iżda ħafna drabi ma jista' jasal xejn:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP Retransmission, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
...
Jew hekk:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
#Прошло несколько секунд без трафика
TCP, 80 > 14678, "[FIN, ACK] Seq=1 Ack=1"
TCP Retransmission, 80 > 14678, "[FIN, ACK] Seq=1 Ack=1"
...
U dan kollu huwa ripetut u ripetut u ripetut, kif jidher fuq il-graff, aktar minn darba, kuljum.
Dwar IPv6
L-aħbar tajba hija li teżisti. Nista' ngħid b'mod affidabbli li talbiet perjodiċi lil riżorsa pprojbita jseħħu minn 5 indirizzi IPv6 differenti, li hija eżattament l-imġieba tal-Aġenti li stennejt. Barra minn hekk, wieħed mill-indirizzi IPv6 ma jaqax taħt filtrazzjoni u nara sessjoni sħiħa. Minn tnejn oħra rajt sessjoni waħda biss mhux mitmuma, li waħda minnhom ġiet interrotta minn RST mill-filtru, it-tieni fil-ħin. Ammont totali 7.
Peress li hemm ftit indirizzi, studjajthom kollha fid-dettall u rriżulta li hemm biss 3 fornituri hemmhekk, jistgħu jingħataw standing ovation! Indirizz ieħor huwa cloud hosting fir-Russja (ma jiffiltrax), ieħor huwa ċentru ta 'riċerka fil-Ġermanja (hemm filtru, fejn?). Imma għaliex jiċċekkjaw id-disponibbiltà tar-riżorsi pprojbiti fuq skeda hija mistoqsija tajba. It-tnejn li fadal għamlu talba waħda u jinsabu barra mir-Russja, u waħda minnhom hija ffiltrata (fi tranżitu, wara kollox?).
L-imblukkar u l-Aġenti huma xkiel kbir għall-IPv6, li l-implimentazzjoni tiegħu mhix miexja malajr ħafna. Huwa imdejjaq. Dawk li solvew din il-problema jistgħu jkunu kburin bis-sħiħ bihom infushom.
Bħala konklużjoni
Ma stinkajtx għal preċiżjoni ta '100%, jekk jogħġbok aħfirli għal dan, nispera li xi ħadd irid jirrepeti dan ix-xogħol b'eżattezza akbar. Kien importanti għalija li nifhem jekk dan l-approċċ kienx se jaħdem fil-prinċipju. It-tweġiba hija iva. Iċ-ċifri miksuba, bħala l-ewwel approssimazzjoni, naħseb, huma pjuttost affidabbli.
X'iktar seta' sar u dak li kont għażżien wisq biex nagħmel kien li ngħodd it-talbiet tad-DNS. Mhumiex iffiltrati, iżda wkoll ma jipprovdux ħafna preċiżjoni peress li jaħdmu biss għad-dominju, u mhux għall-URL kollu. Il-frekwenza għandha tkun viżibbli. Jekk tgħaqqadha ma' dak li jidher direttament fil-mistoqsijiet, dan jippermettilek tissepara dak li mhux meħtieġ u tikseb aktar informazzjoni. Huwa saħansitra possibbli li jiġu ddeterminati l-iżviluppaturi tad-DNS użati mill-fornituri u ħafna aktar.
Assolutament ma stennejtx li l-hoster kien jinkludi wkoll il-filtru tiegħu stess għall-VPS tiegħi. Forsi din hija prattika komuni. Fl-aħħar, RKN jibgħat talba biex titħassar ir-riżors lill-hoster. Iżda dan ma ssorprendixni u f'ċerti modi saħansitra ħadem għall-vantaġġ tiegħi. Il-filtru ħadem b'mod effettiv ħafna, qata' t-talbiet HTTP korretti kollha għal URL ipprojbit, iżda mhux dawk korretti li qabel kienu għaddew mill-filtru tal-fornituri laħquhom, għalkemm biss fil-forma ta' truf: FIN-ACK и RST - nieqes għal minus u kważi rriżulta li kien plus. Mill-mod, IPv6 ma kienx iffiltrat mill-hoster. Naturalment, dan affettwa l-kwalità tal-materjal miġbur, iżda xorta għamilha possibbli li tara l-frekwenza. Irriżulta li dan huwa punt importanti meta tagħżel sit għat-tqegħid tar-riżorsi; tinsiex tieħu interess fil-kwistjoni tal-organizzazzjoni tax-xogħol bil-lista ta 'siti pprojbiti u talbiet mill-RKN.
Fil-bidu, qabbilt l-AS "Ispettur" ma ' . Dan il-paragun huwa pjuttost ġustifikat u netwerk kbir ta 'Aġenti jista' jkun ta 'benefiċċju. Pereżempju, id-determinazzjoni tal-kwalità tad-disponibbiltà tar-riżorsi minn fornituri differenti f'partijiet differenti tal-pajjiż. Tista 'tikkalkula d-dewmien, tista' tibni graffs, tista 'tanalizza dan kollu u tara l-bidliet li jseħħu kemm lokalment kif ukoll globalment. Dan mhuwiex l-aktar mod dirett, iżda l-astronomi jużaw "xemgħat standard", għaliex ma jużawx Aġenti? Billi tkun taf (wara li sabet) l-imġieba standard tagħhom, tista 'tiddetermina l-bidliet li jseħħu madwarhom u kif dan jaffettwa l-kwalità tas-servizzi pprovduti. U fl-istess ħin, m'għandekx bżonn tpoġġi sondi fuq in-netwerk b'mod indipendenti; Roskomnadzor diġà stallahom.
Punt ieħor li rrid inmiss huwa li kull għodda tista’ tkun arma. KIF "Ispettur" huwa netwerk magħluq, iżda l-Aġenti jgħaddu lil kulħadd billi jibagħtu talbiet għar-riżorsi kollha mil-lista pprojbita. Li jkollok tali riżorsa ma tippreżenta l-ebda problema. B'kollox, il-fornituri permezz tal-Aġenti, bla ma jridu, jgħidu ħafna aktar dwar in-netwerk tagħhom milli probabbilment huwa worth it: tipi DPI u DNS, post tal-Aġent (nodu ċentrali u netwerk tas-servizz?), markaturi tan-netwerk ta 'dewmien u telf - u dan huwa biss l-aktar ovvju. Hekk kif xi ħadd jista 'jissorvelja l-azzjonijiet tal-Aġenti biex itejjeb id-disponibbiltà tar-riżorsi tagħhom, xi ħadd jista' jagħmel dan għal skopijiet oħra u m'hemm l-ebda ostaklu għal dan. Ir-riżultat huwa strument doppju u multidimensjonali, kulħadd jista 'jara dan.
Sors: www.habr.com