د تبصرې تفصيلي ځواب، او همدارنګه د روسیې په فدراسیون کې د چمتو کوونکو د ژوند په اړه لږ څه

ما دې پوسټ ته هڅول دا تبصره ده.

زه یې دلته نقل کوم:

کلیمن نن په 18:53 بجو

زه نن د چمتو کونکي څخه خوښ وم. د سایټ د بلاک کولو سیسټم تازه کولو سره، د هغه میلر mail.ru منع شوی و، ما له سهار راهیسې تخنیکي ملاتړ ته زنګ وهلی، مګر دوی هیڅ نشي کولی. وړاندې کوونکی کوچنی دی، او په ښکاره ډول د لوړ رتبه برابرونکي دا بندوي. ما د ټولو سایټونو په پرانستلو کې سست هم ولید ، شاید دوی یو ډول کرغیړن DLP نصب کړي؟ پخوا د لاسرسي په برخه کې کومه ستونزه نه وه. د RuNet ویجاړول زما د سترګو په وړاندې پیښیږي ...

حقیقت دا دی چې داسې ښکاري چې موږ ورته برابرونکي یو :)

او په حقیقت کې، کلیمن ما تقریبا د mail.ru سره د ستونزو لامل اټکل کړی (که څه هم موږ د اوږدې مودې لپاره په داسې شی باور کولو څخه انکار وکړ).

هغه څه چې لاندې به په دوه برخو ویشل شي:

1. د mail.ru سره زموږ د اوسني ستونزو لاملونه او د دوی موندلو په زړه پورې لټون
2. د نن ورځې واقعیتونو کې د ISP شتون، د حاکمیت RuNet ثبات.

د mail.ru سره د لاسرسي ستونزې

او دا ډیره اوږده کیسه ده.

حقیقت دا دی چې د دولت اړتیاو پلي کولو لپاره (نور جزیات په دویمه برخه کې) ، موږ ځینې تجهیزات پیرودل ، تنظیم او نصب کړل - دواړه د منع شوي سرچینو فلټر کولو او پلي کولو لپاره. د NAT ژباړې ګډون کوونکي

یو څه وخت دمخه ، موږ په پای کې د شبکې کور په داسې ډول بیا جوړ کړ چې ټول پیرودونکي ترافیک د دې تجهیزاتو له لارې په سم لوري کې په کلکه تیریږي.

څو ورځې دمخه موږ په دې باندې منع شوي فلټر کول (پداسې حال کې چې زاړه سیسټم کار کول پریږدو) بدل کړل - داسې بریښي چې هرڅه سم روان دي.

بیا، دوی په تدریجي ډول د پیرودونکو مختلفو برخو لپاره پدې تجهیزاتو کې NAT فعالول پیل کړل. د هغې له نظره، هر څه هم ښه ښکاري.

مګر نن ورځ ، د پیرودونکو راتلونکي برخې لپاره تجهیزاتو کې NAT فعالولو سره ، له سهار راهیسې موږ د نه شتون یا جزوي شتون په اړه د یو ښه شمیر شکایتونو سره مخ شو. mail.ru او د میل Ru ګروپ نورې سرچینې.

دوی په چک کولو پیل وکړ: یو څه ورپسې, کله ناکله لیږي TCP RST د غوښتنو په ځواب کې په ځانګړې توګه د mail.ru شبکو ته. سربیره پردې ، دا په غلط ډول رامینځته شوی (د ACK پرته) ، په څرګنده توګه مصنوعي TCP RST لیږي. دا هغه څه دي چې داسې ښکاري:

په طبیعي ډول، لومړي فکرونه د نوي تجهیزاتو په اړه وو: ډارونکی DPI، پدې کې هیڅ باور نشته، تاسو هیڅکله نه پوهیږئ چې دا څه کولی شي - په هرصورت، د TCP RST د بلاک کولو وسیلو په مینځ کې خورا عام شی دی.

انګیرنه کلیمن موږ دا نظر هم وړاندې کړ چې یو څوک "غوره" فلټر کوي، مګر سمدلاسه یې رد کړه.

لومړی، موږ په کافي اندازه هوښیار اپ لینکونه لرو ترڅو موږ د دې په څیر رنځ ونه کړو :)

دوهم، موږ له څو سره تړلي یو IX په مسکو کې، او mail.ru ته ترافیک د دوی له لارې تیریږي - او دوی نه مسؤلیت لري او نه هم د ترافیک فلټر کولو لپاره کوم بل انګیزه لري.

د ورځې بله نیمه په هغه څه تیره شوه چې معمولا د شمنیزم په نوم یادیږي - د تجهیزاتو پلورونکي سره یوځای ، د کوم لپاره چې موږ له دوی څخه مننه کوو ، دوی تسلیم نه کړل :)

• فلټر کول په بشپړ ډول غیر فعال شوي
• NAT د نوي سکیم په کارولو سره غیر فعال شو
• د ازموینې کمپیوټر په جلا جلا حوض کې ځای په ځای شوی و
• د IP پته بدله شوه

په ماسپښین کې ، یو مجازی ماشین تخصیص شوی و چې د منظم کارونکي سکیم سره سم له شبکې سره وصل شوی و ، او د پلورونکو استازو ته یې او تجهیزاتو ته لاسرسی ورکړل شو. د شمنیزم دوام :)

په پای کې، د پلورونکي استازي په ډاډ سره وویل چې هارډویر په بشپړ ډول د دې سره هیڅ تړاو نلري: rsts له کوم ځای څخه راځي.

تبصرهپدې مرحله کې ، یو څوک ممکن ووایی: مګر دا خورا اسانه و چې ډمپ واخلئ د ټیسټ کمپیوټر څخه نه ، مګر د DPI پورته لویې لارې څخه؟

نه، له بده مرغه، د ډمپ اخیستل (او حتی یوازې منعکس کول) 40+gbps په هیڅ ډول کوچني ندي.

له دې وروسته، ماښام، هیڅ شی پاتې نه و، مګر د پورته ځای څخه د عجیب فلټریشن انګیرنې ته بیرته راستانه شو.

ما ولیدل چې د کوم IX له لارې د MRG شبکو ته ترافیک اوس تیریږي او په ساده ډول یې د bgp ناستې لغوه کړې. او - ګوره او وګوره! - هرڅه سمدلاسه عادي حالت ته راستانه شول 🙁

له یوې خوا، دا د شرم ځای دی چې ټوله ورځ د ستونزې په لټون کې تیره شوې، که څه هم دا په پنځو دقیقو کې حل شوې.

له بلې خوا:

- زما په یاد کې دا یو بې ساری شی دی. لکه څنګه چې ما پورته لیکلي - IX رښتیا د ټرانزیټ ټرافیک فلټر کولو کې هیڅ معنی نشته. دوی معمولا په هره ثانیه کې په سلګونو ګیګابایټ/ترابیت لري. زه تر دې وروستیو پورې د دې په څیر یو څه په جدي ډول تصور نشم کولی.

- د شرایطو یو په زړه پوری خوشبخته تصادف: یو نوی پیچلی هارډویر چې په ځانګړي ډول باور نلري او له هغه څخه دا روښانه نده چې څه تمه کیدی شي - په ځانګړي ډول د TCP RSTs په شمول د سرچینو بلاک کولو لپاره چمتو شوی

د دې انټرنیټ تبادلې NOC اوس مهال د ستونزې په لټه کې دی. د دوی په وینا (او زه باور لرم)، دوی د فلټر کولو کوم ځانګړی سیسټم نلري. مګر، د آسمان څخه مننه، نور لټون نور زموږ ستونزه نه ده :)

دا د ځان د توجیه کولو یوه کوچنۍ هڅه وه، مهرباني وکړئ پوه شئ او بښنه وکړئ :)

PS: زه په قصدي ډول د DPI/NAT یا IX جوړونکي نوم نه اخلم (په حقیقت کې ، زه حتی د دوی په اړه کوم ځانګړي شکایت نلرم ، اصلي شی دا دی چې پوه شي چې دا څه وو)

د نن ورځې (همدارنګه پرون او د پرون ورځې) حقیقت د انټرنیټ چمتو کونکي له نظره

ما په تیرو اونیو کې د پام وړ د شبکې اصلي بیا رغونه تیره کړې، د "ګټې لپاره" د لاسوهنې یوه ډله ترسره کول، د ژوندي کاروونکو ټرافيکو د پام وړ اغیزه کولو خطر سره. د دې ټولو اهدافو، پایلو او پایلو په پام کې نیولو سره، په اخلاقي توګه دا ټول خورا ستونزمن دي. په ځانګړې توګه - یو ځل بیا د Runet د ثبات، حاکمیت، او نور د ساتنې په اړه ښکلې وینا واورئ. او همداسی پسی.

پدې برخه کې، زه به هڅه وکړم چې په تیرو لسو کلونو کې د یو عادي ISP د شبکې اصلي "تخیر" تشریح کړم.

لس کاله وړاندې.

په دې مبارکو وختونو کې، د چمتو کونکي شبکې اساس ممکن د ترافیک جام په څیر ساده او د باور وړ وي:

په دې خورا ساده انځور کې، هیڅ تنې، حلقې، ip/mpls روټینګ شتون نلري.

د دې جوهر دا دی چې د کارونکي ترافیک په نهایت کې د کرنل کچې سویچنګ ته راغی - له کوم ځای څخه چې لاړ بی این جی، له کوم ځای څخه ، د یوې قاعدې په توګه ، بیرته اصلي سویچنګ ته ، او بیا "بیرته" - انټرنیټ ته د یو یا ډیرو سرحدي دروازو له لارې.

دا ډول سکیم په L3 (متحرک روټینګ) او L2 (MPLS) دواړو کې ذخیره کول خورا خورا اسانه دي.

تاسو کولی شئ د هر څه N + 1 نصب کړئ: سرورونو ته لاسرسی ، سویچونه ، سرحدونه - او یوه یا بله لاره یې د اتوماتیک ناکامۍ لپاره خوندي کړئ.

څو کاله وروسته دا په روسیه کې هرچا ته څرګنده شوه چې نور د دې په څیر ژوند کول ناممکن دي: دا د انټرنیټ له ناوړه اغیزو څخه د ماشومانو د ساتنې لپاره بیړنۍ اړتیا وه.

د کاروونکي ترافیک فلټر کولو لپاره د لارو موندلو لپاره بیړنۍ اړتیا وه.

دلته مختلف طریقې شتون لري.

په خورا ښه قضیه کې، یو څه "په تشه" کې اچول کیږي: د کاروونکي ټرافيک او انټرنیټ ترمنځ. ټرافیک چې د دې "یو څه" څخه تیریږي تحلیل کیږي او د بیلګې په توګه، د لارښوونې سره یو جعلي پاکټ پیرودونکي ته لیږل کیږي.

په یو څه ښه حالت کې - که د ترافیک حجم اجازه درکړي - تاسو کولی شئ د خپلو غوږونو سره یو کوچنی چال ترسره کړئ: یوازې د کاروونکو لخوا رامینځته شوي ترافیک یوازې هغه پتې ته د فلټر کولو لپاره واستوئ چې فلټر کولو ته اړتیا لري (د دې کولو لپاره ، تاسو کولی شئ یا هم IP پتې واخلئ. د راجسټری څخه هلته مشخص شوی، یا سربیره پردې په راجستر کې موجوده ډومینونه حل کړئ).

یو وخت، د دې موخو لپاره، ما یو ساده لیکلی mini dpi - که څه هم زه حتی د هغه د ویلو جرئت نه لرم. دا خورا ساده دی او ډیر ګټور نه دی - په هرصورت، دا موږ او په لسګونو (که سلګونه نه وي) نورو چمتو کونکو ته اجازه راکړه چې سمدلاسه د صنعتي DPI سیسټمونو ملیونونه مصرف نکړو، مګر څو اضافي کلونه وخت ورکړ.

په هرصورت، د هغه وخت او اوسني DPI په اړهپه هرصورت، ډیری چا چې په هغه وخت کې په بازار کې د DPI سیسټمونه پیرودلي لا دمخه یې غورځولي وو. ښه، دوی د دې لپاره ډیزاین شوي ندي: په سلګونو زره پتې، په لسګونو زره URLs.

او په ورته وخت کې، کورني تولیدونکي دې بازار ته خورا پیاوړي شوي دي. زه د هارډویر برخې په اړه خبرې نه کوم - دلته هرچا ته هرڅه روښانه دي ، مګر سافټویر - اصلي شی چې DPI لري - شاید نن ورځ وي ، که چیرې په نړۍ کې خورا پرمختللی نه وي ، نو یقینا a) د کود او حدودو لخوا وده کول ، او ب) د بکس شوي محصول په نرخ کې - په ساده ډول د بهرنیو سیالانو سره د پرتله کولو وړ.

زه غواړم ویاړم، مګر لږ غمجن =)

اوس هر څه داسې ښکارېدل:

په یو څو نورو کلونو کې هرڅوک دمخه پلټونکي درلودل؛ په راجستر کې ډیرې سرچینې وې. د ځینو پخوانیو تجهیزاتو لپاره (د مثال په توګه، سیسکو 7600)، د "سایډ فلټر کولو" سکیم په ساده ډول د تطبیق وړ نه دی: په 76 پلیټ فارمونو کې د لارو شمیر د نهه سوه زرو په څیر محدود دی، پداسې حال کې چې نن ورځ یوازې د IPv4 لارو شمیر 800 ته نږدې دی. زره او که دا ipv6 هم وي... او هم... څومره شته؟ د RKN بندیز کې 900000 انفرادي پتې؟ =)

یو چا د فلټر کولو سرور ته د ټول بیکون ترافیک عکس العمل سره سکیم ته اړولی ، کوم چې باید ټول جریان تحلیل کړي او که چیرې یو څه خراب وموندل شي ، RST په دواړو لارښوونو (لیږونکی او ترلاسه کونکی) واستوي.

په هرصورت، څومره ټرافیک ډیر دی، دا سکیم لږ پلي کیږي. که چیرې په پروسس کې لږ څه ځنډ شتون ولري، عکس العمل ټرافیک به په ساده ډول د پام وړ نه تیریږي، او چمتو کوونکی به ښه راپور ترلاسه کړي.

ډیر او ډیر چمتو کونکي مجبور دي چې د لویو لارو په اوږدو کې د اعتبار مختلف درجې DPI سیسټمونه نصب کړي.

یو یا دوه کاله دمخه د اوازو له مخې، نږدې ټول FSB د تجهیزاتو د اصلي نصبولو غوښتنه پیل کړه SORM (پخوا، ډیری چمتو کونکي د چارواکو په تصویب سره اداره کیدل د SORM پلان - د عملیاتي اقداماتو پلان د اړتیا په صورت کې چې چیرې یو څه ومومئ)

د پیسو سربیره (په حقیقت کې خورا ډیر نه دی، مګر بیا هم میلیونونه)، SORM د شبکې سره ډیری نورو لاسوهنو ته اړتیا درلوده.

• SORM اړتیا لري د نیټ ژباړې دمخه د "خړ" کارونکي پتې وګوري
• SORM د شبکې محدود شمیر انٹرفیسونه لري

له همدې امله، په ځانګړې توګه، موږ باید د کرنل یوه برخه په پراخه کچه بیا جوړه کړو - په ساده ډول د دې لپاره چې د کاروونکي ټرافيک د لاسرسي سرورونو ته په یو ځای کې راټول کړو. د څو لینکونو سره په SORM کې د عکس کولو لپاره.

دا، خورا ساده دی، دا (کیڼ) او (ښي) شو:

اوس ډیری چمتو کونکي د SORM-3 پلي کولو ته هم اړتیا لري - کوم چې د نورو شیانو په مینځ کې د نیټ نشراتو ننوتل شامل دي.

د دې موخو لپاره، موږ باید د NAT لپاره جلا تجهیزات په پورتنۍ ډیاګرام کې اضافه کړو (په حقیقت کې هغه څه چې په لومړۍ برخه کې بحث شوي). برسېره پردې، په یو ځانګړي ترتیب کې اضافه کړئ: ځکه چې SORM باید د پتې ژباړلو دمخه ټرافیک "وګوري"، ټرافیک باید په لاندې ډول تعقیب شي: کاروونکي -> سویچ کول، کرنل -> سرور ته لاسرسی -> SORM -> NAT -> سویچ کول، کرنل - > انټرنیټ. د دې کولو لپاره، موږ باید په لفظي توګه د ګټې لپاره بل لوري ته د ټرافیک جریان "بدل" کړو، کوم چې خورا ستونزمن و.

په لنډیز کې: په تیرو لسو کلونو کې، د اوسط چمتو کونکي اصلي ډیزاین څو ځله ډیر پیچلی شوی، او د ناکامۍ اضافي ټکي (دواړه د تجهیزاتو په بڼه او د واحد بدلولو لینونو په بڼه) د پام وړ زیاتوالی موندلی. په حقیقت کې، د "هرڅه لیدلو" اړتیا د دې "هرڅه" یو ټکي ته کمولو معنی لري.

زه فکر کوم چې دا د رونټ حاکمیت لپاره اوسني نوښتونو ته په شفاف ډول اضافه کیدی شي، ساتنه یې وکړي، ثبات یې کړي او ښه کړي :)

او یاروایا لا تر اوسه مخکې دی.

سرچینه: www.habr.com