دا پټه نه ده چې په روسیه کې د منع شوي معلوماتو په لیست کې د بندولو کنټرول د اتوماتیک سیسټم "انسپکټر" لخوا څارل کیږي. دا څنګه کار کوي دلته پدې کې ښه لیکل شوي د همدې ځای څخه انځور:
په مستقیم ډول په چمتو کونکي کې نصب شوی :
د "اجنټ انسپکټر" ماډل د اتوماتیک سیسټم "انسپکټر" (AS "انسپکټر") جوړښتي عنصر دی. دا سیسټم د دې لپاره ډیزاین شوی چې د مخابراتو آپریټرانو لخوا د معلوماتو، معلوماتي ټکنالوجۍ او معلوماتو محافظت په اړه د جولای د 15.1، 15.4 د فدرالي قانون 27-2006 مادې 149-XNUMX لخوا رامینځته شوي مقرراتو چوکاټ کې د مخابراتو آپریټرانو لخوا اطاعت وڅاري. »
د AS "Revizor" د جوړولو اصلي موخه د 15.1-15.4 د فدرالي قانون 27، 2006 نمبر 149-FZ "معلومات، معلوماتي ټکنالوجۍ او د معلوماتو محافظت په اړه د XNUMX-XNUMX مادو لخوا رامینځته شوي اړتیاو سره د مخابراتي آپریټرانو اطاعت څارنه یقیني کول دي. منع شوي معلوماتو ته د لاسرسي حقایقو پیژندلو او منع شوي معلوماتو ته د لاسرسي محدودولو لپاره د سرغړونو په اړه د ملاتړ توکو (ډیټا) ترلاسه کولو په برخه کې.
د دې حقیقت په پام کې نیولو سره چې که ټول نه وي، نو ډیری چمتو کونکو دا وسیله نصب کړې، باید د بیکن تحقیقاتو لوی شبکه شتون ولري لکه او حتی نور، مګر د تړل شوي لاسرسي سره. په هرصورت، بیکن یو بیکن دی چې په ټولو لارښوونو کې سیګنالونه لیږل کیږي، مګر که چیرې موږ یې ونیسو او وګورو چې موږ څه نیولي او څومره؟
مخکې لدې چې موږ حساب وکړو ، راځئ وګورو چې ولې دا ممکن حتی ممکن وي.
یو څه تیوری
اجنټان د سرچینې شتون ګوري، په شمول د HTTP(S) غوښتنو له لارې، لکه دا:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
HTTP, "GET /somepage HTTP/1.1"
TCP, 80 > 14678, "[ACK] Seq=1 Ack=71"
HTTP, "HTTP/1.1 302 Found"
TCP, 14678 > 80, "[FIN, ACK] Seq=71 Ack=479"
TCP, 80 > 14678, "[FIN, ACK] Seq=479 Ack=72"
TCP, 14678 > 80, "[ACK] Seq=72 Ack=480"
د تادیاتو سربیره، غوښتنه د اتصال تاسیس مرحله هم لري: تبادله SYN и SYN-ACK، او د پیوستون بشپړولو مرحلې: FIN-ACK.
د منع شوي معلوماتو راجستر د بلاک کولو ډیری ډولونه لري. په ښکاره ډول، که یوه سرچینه د IP پتې یا ډومین نوم لخوا بنده شوې وي، نو موږ به هیڅ غوښتنې ونه ګورو. دا د بلاک کولو خورا ویجاړونکي ډولونه دي، کوم چې په یوه IP پته یا په ډومین کې ټول معلومات د ټولو سرچینو د لاسرسي لامل کیږي. د بلاک کولو ډول د "URL لخوا" هم شتون لري. په دې حالت کې، د فلټر کولو سیسټم باید د HTTP غوښتنې سرلیک تجزیه کړي ترڅو معلومه کړي چې څه شی بلاک کړي. او مخکې له دې، لکه څنګه چې پورته لیدل کیدی شي، باید د ارتباط تاسیس مرحله وي چې تاسو یې د تعقیب هڅه کولی شئ، ځکه چې ډیری احتمال به فلټر له لاسه ورکړي.
د دې کولو لپاره ، تاسو اړتیا لرئ د "URL" او HTTP بلاک کولو ډول سره یو مناسب وړیا ډومین غوره کړئ ترڅو د فلټر کولو سیسټم کار اسانه کړي ، په غوره توګه اوږده پریښودل شوی ، ترڅو د اجنټانو پرته د بهرني ترافیک ننوتل کم کړي. دا دنده په بشپړ ډول ستونزمنه نه وه؛ د منع شوي معلوماتو په راجستر کې او د هر خوند لپاره ډیری وړیا ډومینونه شتون لري. له همدې امله، ډومین اخیستل شوی او د VPS چلولو کې د IP پتې سره تړل شوی tcpdump او شمیرنه پیل شوه.
د "پلټونکو" پلټنه
ما تمه درلوده چې د وخت په تیریدو سره د غوښتنو دوره وګورم، کوم چې زما په نظر به کنټرول شوي عمل په ګوته کړي. دا ناشونې ده چې ووایم چې ما دا په بشپړ ډول نه دی لیدلی، مګر یقینا هیڅ روښانه انځور نه و:
کوم چې د حیرانتیا خبره نده، حتی په هغه ډومین کې چې هیڅوک ورته اړتیا نلري او هیڅکله نه کارول شوي IP کې، په ساده ډول یو ټن ناغوښتل شوي معلومات شتون لري، لکه عصري انټرنیټ. مګر خوشبختانه، ما یوازې د یو ځانګړي URL لپاره غوښتنو ته اړتیا درلوده، نو ټول سکینرونه او پټنوم کریکر په چټکۍ سره وموندل شول. همچنان ، دا خورا اسانه و چې پوه شو چې سیلاب چیرې د ورته غوښتنو د ډله ایزې پراساس و. بیا ، ما د IP پتې د پیښې فریکوینسي تالیف کړه او په لاسي ډول د ټول پورتنۍ برخې څخه تیر شو ، هغه کسان جلا کول چې په تیرو مرحلو کې یې له لاسه ورکړي. برسیره پردې، ما ټولې سرچینې پرې کړې چې په یوه کڅوړه کې لیږل شوي، ډیری یې شتون نلري. او دا هغه څه دي چې پیښ شوي:
یو کوچنی شعري تحلیل. له یوې ورځې لږ وروسته، زما د کوربه توب چمتو کونکي یو لیک واستاوه چې د ساده محتوياتو سره یې وویل چې ستاسو تاسیسات د RKN منع شوي لیست څخه سرچینه لري، نو دا بند شوی. په لومړي سر کې ما فکر کاوه چې زما اکاونټ بلاک شوی و، دا قضیه نه وه. بیا ما فکر وکړ چې دوی په ساده ډول ما ته د هغه څه په اړه خبرداری ورکوي چې زه یې دمخه پوهیږم. مګر دا معلومه شوه چې کوربه زما د ډومین په مخ کې خپل فلټر بدل کړ او په پایله کې زه د دوه ګوني فلټر کولو لاندې راغلم: د چمتو کونکو او کوربه څخه. فلټر یوازې د غوښتنو پای ته رسیدلی: FIN-ACK и RST په منع شوي URL کې ټول HTTP پرې کول. لکه څنګه چې تاسو د پورته ګراف څخه لیدلی شئ، د لومړۍ ورځې وروسته ما لږ معلومات ترلاسه کول پیل کړل، مګر ما بیا هم ترلاسه کړل، کوم چې د غوښتنې سرچینو شمیرلو لپاره کافي و.
نقطې ته ورسیږئ. زما په اند، هره ورځ دوه درزونه په ښکاره ډول لیدل کیږي، لومړی کوچنی، د مسکو وخت له نیمې شپې وروسته، دویم د ماسپښین تر 6 بجو پورې د ماسپښین سره نږدې. لوړوالی په عین وخت کې نه واقع کیږي. په لومړي سر کې، ما غوښتل IP پتې وټاکم چې یوازې په دې دورو کې راوتلي او هر یو په ټولو دورو کې، د دې انګیرنې پر بنسټ چې د اجنټانو لخوا چکونه په دوره توګه ترسره کیږي. مګر په دقیقه بیاکتنه کې، ما ژر تر ژره وموندله چې دوره په نورو وقفو کې راځي، د نورو تعدداتو سره، په هر ساعت کې تر یوې غوښتنې پورې. بیا ما د وخت زونونو په اړه فکر وکړ او دا ممکن د دوی سره یو څه ولري ، بیا ما فکر وکړ چې په عمومي ډول سیسټم ممکن په نړیواله کچه همغږي نشي. سربیره پردې، NAT به شاید یو رول ولوبوي او ورته اجنټ کولی شي د مختلف عامه IPs څخه غوښتنې وکړي.
څرنګه چې زما لومړنی هدف دقیق نه و، ما ټول هغه ادرسونه شمیرل چې ما په یوه اونۍ کې ولیدل او ترلاسه یې کړل - 2791. د یوې پتې څخه رامینځته شوي د TCP غونډو شمیر په اوسط ډول 4 دی ، د اوسط 2 سره. په هر پته کې غوره ناستې: 464, 231, 149, 83, 77. د نمونې له 95٪ څخه اعظمي په هر پته کې 8 ناستې دي. منځنۍ کچه ډیره لوړه نه ده، اجازه راکړئ تاسو ته یادونه وکړم چې ګراف روښانه ورځنۍ دوره ښیي، نو یو څوک کولی شي په 4 ورځو کې له 8 څخه تر 7 پورې څه تمه وکړي. که موږ ټول هغه سیشنونه وغورځوو چې یو ځل واقع کیږي، موږ به د 5 سره مساوي منځنی ترلاسه کړو. مګر زه نشم کولی د واضح معیارونو پراساس خارج کړم. برعکس، یو تصادفي چک وښودله چې دوی د منع شوي سرچینې غوښتنې سره تړاو لري.
پتې پتې دي، مګر په انټرنیټ کې، خودمختاره سیسټمونه - AS، کوم چې ډیر مهم وګرځید 1510, په اوسط ډول په هر AS کې 2 پتې د منځني 1 سره. په هر AS کې غوره پتې: 288, 77, 66, 39, 27. د نمونې اعظمي حد 95٪ په هر AS کې 4 پتې دي. دلته منځنۍ تمه کیږي - په هر برابرونکي کې یو استازی. موږ هم د سر تمه لرو - په دې کې لوی لوبغاړي شتون لري. په یوه لویه شبکه کې، اجنټان باید د آپریټر د شتون په هره سیمه کې موقعیت ولري، او د NAT په اړه مه هېروئ. که موږ دا د هیواد له مخې واخلو، اعظمي به وي: 1409 - RU، 42 - UA، 23 - CZ، 36 د نورو سیمو څخه، نه د RIPE NCC. له بهر څخه د روسیې غوښتنې د پام وړ. دا ممکن د جیولیکیشن غلطیو یا راجستر غلطیانو لخوا توضیح شي کله چې د معلوماتو ډکولو په وخت کې. یا دا حقیقت چې یو روسی شرکت ممکن روسی ریښې ونه لري، یا د بهرنیو نماینده ګانو دفتر ولري ځکه چې دا اسانه ده، کوم چې طبیعي ده کله چې د بهرنیو سازمان RIPE NCC سره معامله وشي. ځینې برخه بې له شکه فاضله ده، مګر دا د اعتبار وړ ستونزمن کار دی چې دا جلا کړي، ځکه چې سرچینه د بلاک کولو لاندې ده، او د دویمې ورځې څخه د دوه ګونی بلاک کولو لاندې، او ډیری ناستې یوازې د څو خدماتو پاکټونو تبادله ده. راځئ چې موافقه وکړو چې دا یوه کوچنۍ برخه ده.
دا شمیرې دمخه په روسیه کې د چمتو کونکو شمیر سره پرتله کیدی شي. د "د معلوماتو لیږد لپاره د مخابراتو خدماتو لپاره جوازونه، پرته له غږ" - 6387، مګر دا له پورته څخه خورا لوړ اټکل دی، دا ټول جوازونه په ځانګړې توګه د انټرنیټ چمتو کونکو لپاره نه پلي کیږي چې د اجنټ نصبولو ته اړتیا لري. په RIPE NCC زون کې په روسیه کې د ASes ورته شمیر راجستر شوی - 6230، چې ټول یې چمتو کونکي ندي. او په 3940 کې 2017 شرکتونه ترلاسه کړي، او دا د پورته څخه یو اټکل دی. په هر حالت کې، موږ د روښانه شوي ASs دوه نیم چنده کم شمیر لرو. مګر دلته دا د پوهیدو وړ ده چې AS په کلکه د چمتو کونکي سره مساوي ندي. ځینې چمتو کونکي خپل AS نلري، ځینې یې له یو څخه ډیر لري. که فرض کړو چې هرڅوک اوس هم اجنټان لري، نو یو څوک د نورو په پرتله خورا قوي فلټر کوي، ترڅو د دوی غوښتنې د کثافاتو څخه توپیر ونه لري، که دوی ورته ورسیږي. مګر د یوې دقیقې ارزونې لپاره دا خورا د زغم وړ دی ، حتی که زما د نظارت له امله یو څه ورک شوی وي.
د DPI په اړه
د دې حقیقت سره سره چې زما د کوربه توب چمتو کونکي خپل فلټر له دوهمې ورځې څخه پیل کړی ، د لومړۍ ورځې معلوماتو پراساس موږ کولی شو دې پایلې ته ورسیږو چې بلاک کول په بریالیتوب سره کار کوي. یوازې 4 سرچینې د دې توان درلود چې له لارې ترلاسه شي او په بشپړ ډول د HTTP او TCP ناستې بشپړې کړي (لکه څنګه چې پورته مثال کې). نور 460 لیږل کیدی شي GET، مګر غونډه په سمدستي توګه پای ته رسیږي RST. پاملرنه وکړه TTL:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TTL 50, TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
HTTP, "GET /filteredpage HTTP/1.1"
TTL 64, TCP, 80 > 14678, "[ACK] Seq=1 Ack=294"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST] Seq=3458729893"
TTL 53, TCP, 14678 > 80, "[RST] Seq=3458729893"
HTTP, "HTTP/1.1 302 Found"
#А это попытка исходного узла получить потерю
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[ACK] Seq=294 Ack=145"
TTL 50, TCP, 14678 > 80, "[FIN, ACK] Seq=294 Ack=145"
TTL 64, TCP, 80 > 14678, "[FIN, ACK] Seq=171 Ack=295"
TTL 50, TCP Dup ACK 14678 > 80 "[ACK] Seq=295 Ack=145"
#Исходный узел понимает что сессия разрушена
TTL 50, TCP, 14678 > 80, "[RST] Seq=294"
TTL 50, TCP, 14678 > 80, "[RST] Seq=295"
د دې توپیرونه توپیر کیدی شي: لږ RST یا ډیر بیرته لیږدونه - په هغه څه پورې اړه لري چې فلټر سرچینې نوډ ته لیږي. په هر حالت کې، دا خورا معتبر ټیمپلیټ دی، له کوم څخه دا روښانه ده چې دا یوه ممنوع سرچینه وه چې غوښتنه شوې وه. برسیره پردې، تل یو ځواب شتون لري چې په ناسته کې ښکاري TTL د تیرو او راتلونکو کڅوړو څخه ډیر.
تاسو حتی نشئ کولی دا له پاتې څخه وګورئ GET:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST] Seq=1"
یا داسې:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TTL 50, TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST, PSH] Seq=1"
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[FIN, ACK] Seq=89 Ack=172"
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[FIN, ACK] Seq=89 Ack=172"
#Опять фильтр, много раз
TTL 53, TCP, 14678 > 80, "[RST, PSH] Seq=1"
...
توپیر ضرور لیدل کیږي TTL که یو څه د فلټر څخه راځي. مګر ډیری وختونه هیڅ شی نشي رسیدلی:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP Retransmission, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
...
یا داسې:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
#Прошло несколько секунд без трафика
TCP, 80 > 14678, "[FIN, ACK] Seq=1 Ack=1"
TCP Retransmission, 80 > 14678, "[FIN, ACK] Seq=1 Ack=1"
...
او دا ټول تکرار شوي او تکرار شوي او تکرار شوي، لکه څنګه چې په ګراف کې لیدل کیدی شي، له یو ځل څخه زیات، هره ورځ.
د IPv6 په اړه
ښه خبر دا دی چې دا شتون لري. زه کولی شم په ډاډ سره ووایم چې منع شوي سرچینې ته دوره غوښتنې د 5 مختلف IPv6 ادرسونو څخه پیښیږي ، کوم چې واقعیا د اجنټانو چلند دی چې ما تمه درلوده. سربیره پردې ، د IPv6 پتې څخه یو د فلټر کولو لاندې نه راځي او زه بشپړ ناسته ګورم. له دوو نورو څخه ما یوازې یوه نیمګړې ناسته ولیدله، چې یوه یې مداخله وه RST له فلټر څخه، په دوهم ځل. جمله پیسی 7.
ځکه چې دلته لږ پته شتون لري، ما ټول په تفصیل سره مطالعه کړل او دا معلومه شوه چې دلته یوازې 3 وړاندیز کونکي شتون لري، دوی کولی شي ولاړ وي! بل ادرس په روسیه کې د بادل کوربه توب دی (فلټر نه کوي)، بل په آلمان کې د څیړنې مرکز دی (هلته یو فلټر شتون لري، چیرته؟). مګر ولې دوی په مهالویش کې د ممنوع سرچینو شتون چیک کوي یوه ښه پوښتنه ده. پاتې دوه یې یوه غوښتنه کړې او د روسیې څخه بهر موقعیت لري، او یو یې فلټر شوی (په لیږد کې، وروسته له دې؟).
بلاک کول او اجنټان د IPv6 لپاره لوی خنډ دی، چې پلي کول یې په چټکۍ سره حرکت نه کوي. دا غمجن دی. هغه څوک چې دا ستونزه حل کړي په خپل ځان ویاړي.
په پای کې
ما د 100٪ دقت لپاره هڅه نه ده کړې، مهرباني وکړئ ما د دې لپاره بخښنه وکړه، زه هیله لرم چې څوک غواړي دا کار په ډیر دقت سره تکرار کړي. دا زما لپاره مهمه وه چې پوه شم چې ایا دا طریقه به په اصولو کې کار وکړي. ځواب هو دی. ترلاسه شوي ارقام، د لومړي اټکل په توګه، زما په اند، خورا باوري دي.
نور څه کیدی شي او هغه څه چې زه یې په کولو کې ډیر سست وم د DNS غوښتنې شمیرل. دوی فلټر شوي ندي، مګر دوی ډیر درستیت هم نه ورکوي ځکه چې دوی یوازې د ډومین لپاره کار کوي، او نه د ټول URL لپاره. تعدد باید څرګند وي. که تاسو دا د هغه څه سره یوځای کړئ چې په مستقیم ډول په پوښتنو کې لیدل کیږي، دا به تاسو ته اجازه درکړي چې غیر ضروري جلا کړئ او نور معلومات ترلاسه کړئ. دا حتی ممکنه ده چې د DNS پراختیا کونکي وټاکئ چې د چمتو کونکو لخوا کارول کیږي او نور ډیر څه.
ما په بشپړه توګه تمه نه درلوده چې کوربه به زما د VPS لپاره خپل فلټر هم شامل کړي. شاید دا یو عام عمل دی. په پای کې، RKN کوربه ته د سرچینې حذف کولو غوښتنه لیږي. مګر دا ما حیران نه کړ او په ځینو لارو کې حتی زما په ګټه کار وکړ. فلټر په خورا مؤثره توګه کار وکړ، د منع شوي URL لپاره ټولې سمې HTTP غوښتنې پرې کړې، مګر سمې نه وې چې مخکې یې د چمتو کونکي فلټر له لارې تیرې کړې وې، که څه هم یوازې د پای په بڼه: FIN-ACK и RST - منفي لپاره منفي او دا تقریبا یو پلس وګرځید. د لارې په توګه، IPv6 د کوربه لخوا فلټر شوی نه و. البته، دا د راټول شوي موادو کیفیت اغیزه کړې، مګر بیا هم دا امکان لري چې د فریکونسۍ لیدلو لپاره. دا معلومه شوه چې دا یو مهم ټکی دی کله چې د سرچینو ځای پرځای کولو لپاره سایټ غوره کړئ؛ مه هیروئ چې د منع شوي سایټونو لیست او د RKN غوښتنو سره د کار تنظیم کولو مسله کې دلچسپي واخلئ.
په پیل کې، ما د AS "انسپکټر" سره پرتله کړه . دا پرتله خورا توجیه ده او د اجنټانو لویه شبکه ګټور کیدی شي. د بیلګې په توګه، د هیواد په بیلابیلو برخو کې د بیلابیلو چمتو کونکو څخه د سرچینو شتون کیفیت ټاکل. تاسو کولی شئ ځنډونه محاسبه کړئ ، تاسو ګرافونه رامینځته کولی شئ ، تاسو کولی شئ دا ټول تحلیل کړئ او بدلونونه وګورئ چې په سیمه ایز او نړیواله کچه پیښیږي. دا ترټولو مستقیمه لاره نه ده، مګر ستورپوهان "معیاري شمعې" کاروي، ولې اجنټان نه کاروي؟ د دوی د معیاري چلند په پوهیدو (د موندلو)، تاسو کولی شئ هغه بدلونونه وټاکئ چې د دوی په شاوخوا کې واقع کیږي او دا څنګه د چمتو شوي خدماتو کیفیت اغیزه کوي. او په ورته وخت کې ، تاسو اړتیا نلرئ په خپلواکه توګه په شبکه کې تحقیقات ځای په ځای کړئ؛ Roskomnadzor لا دمخه دوی نصب کړي.
یو بل ټکی چې زه یې غواړم هغه دا دی چې هره وسیله کیدای شي وسله وي. AS "انسپکټر" یوه تړل شوې شبکه ده، مګر اجنټان د منع شوي لیست څخه د ټولو سرچینو لپاره د غوښتنې په لیږلو سره هرڅوک لاس ته راوړي. د داسې یوې سرچینې درلودل په هیڅ ډول ستونزې نه وړاندې کوي. په مجموع کې، د اجنټانو له لارې چمتو کونکي، په ناپوهۍ سره، د دوی د شبکې په اړه ډیر څه ووایی چې شاید د ارزښت وړ وي: د DPI او DNS ډولونه، د اجنټ موقعیت (مرکزي نوډ او د خدماتو شبکه؟)، د ځنډ او زیانونو شبکې نښه کونکي - او دا دی. یوازې خورا څرګند. لکه څنګه چې یو څوک کولی شي د خپلو سرچینو د شتون د ښه کولو لپاره د اجنټانو کړنې وڅاري، یو څوک کولی شي دا د نورو موخو لپاره ترسره کړي او پدې کې هیڅ خنډ نشته. پایله یو دوه اړخیزه او خورا څو اړخیزه وسیله ده، هرڅوک کولی شي دا وګوري.
سرچینه: www.habr.com