ProHoster > Π‘Π»ΠΎΠ³ > Maamulka > Jawaab faahfaahsan oo ku saabsan faallooyinka, iyo sidoo kale wax yar oo ku saabsan nolosha bixiyeyaasha ee Federaalka Ruushka

Jawaab faahfaahsan oo ku saabsan faallooyinka, iyo sidoo kale wax yar oo ku saabsan nolosha bixiyeyaasha ee Federaalka Ruushka

Igu booriyay qoraalkan tani waa faallada.

Waxaan halkan ka soo xigtay:

kaleman maanta 18:53

Waan ku faraxsanahay bixiyaha maanta. Iyada oo ay la socoto cusboonaysiinta nidaamka xannibaadda goobta, boostahiisa mail.ru waa la mamnuucay. Waxaan wacayay taageero farsamo tan iyo subaxdii, laakiin waxba ma samayn karaan. Bixiyuhu wuu yar yahay, oo sida muuqata bixiyeyaasha darajo sare ayaa xannibaya. Waxaan sidoo kale ogaaday hoos u dhac ku yimid furitaanka dhammaan goobaha, laga yaabee inay rakibeen nooc ka mid ah DLP qalloocan? Markii hore ma jirin wax dhibaato ah oo ku saabsan helitaanka. Burburinta RuNet waxay ka dhacaysaa isla indhahayga hortooda...

Xaqiiqdu waxay tahay inay u muuqato inaan nahay bixiye isku mid ah :)

Oo runtii, kaleman Waxaan ku dhawaaday inaan qiyaaso sababta dhibaatooyinka mail.ru (inkasta oo aan diidnay inaan rumeyno wax sidan oo kale ah muddo dheer).

Waxa soo socda ayaa loo qaybin doonaa laba qaybood:

  1. sababaha dhibaatooyinkeena hadda ee mail.ru iyo raadinta xiisaha leh ee lagu raadinayo
  2. Jiritaanka ISP ee xaqiiqooyinka maanta jira, xasiloonida RuNet ee madaxbanaanida.

Dhibaatooyinka gelitaanka ee mail.ru

Oh, waa sheeko dheer.

Xaqiiqdu waxay tahay in si loo fuliyo shuruudaha gobolka (tafaasiisha dheeraadka ah ee qaybta labaad), waxaan soo iibsanay, habeynay, oo rakibnay qalabyada qaarkood - labadaba si loo shaandheeyo kheyraadka la mamnuucay iyo hirgelinta. Turjumaada NAT macaamiisha.

Waqti ka hor, waxaan ugu dambeyntii dib u dhisnay xudunta shabakadda si ay dhammaan taraafikada macaamiisha u soo mareen qalabkan si adag jihada saxda ah.

Dhowr maalmood ka hor waxaan shidnay shaandhaynta mamnuuca ah (marka laga tago nidaamkii hore ee shaqeynaya) - wax walba waxay u muuqdeen inay si fiican u socdaan.

Marka xigta, waxay si tartiib tartiib ah u bilaabeen inay awood u yeeshaan NAT qalabkan qaybaha kala duwan ee macaamiisha. Marka laga eego muuqaalkiisa, wax waliba waxay sidoo kale u muuqdeen inay si fiican u socdaan.

Laakiin maanta, annagoo awoodnay NAT qalabka qaybta xigta ee macaamiisha, laga bilaabo subaxnimadii waxaa na soo food saartay cabasho tiro badan oo ku saabsan helitaan la'aanta ama qayb ahaan. mail.ru iyo agabka kale ee kooxda Mail Ru.

Waxay bilaabeen inay hubiyaan: wax meel ΠΈΠ½ΠΎΠ³Π΄Π°, mar mar diraa TCP RST iyadoo laga jawaabayo codsiyada gaarka ah ee shabakadaha mail.ru. Waxaa intaa dheer, waxay soo dirtaa si khaldan loo soo saaray (la'aanteed ACK), oo iska cad TCP RST macmal ah. Tani waa sida ay u egtahay:

Jawaab faahfaahsan oo ku saabsan faallooyinka, iyo sidoo kale wax yar oo ku saabsan nolosha bixiyeyaasha ee Federaalka Ruushka

Jawaab faahfaahsan oo ku saabsan faallooyinka, iyo sidoo kale wax yar oo ku saabsan nolosha bixiyeyaasha ee Federaalka Ruushka

Jawaab faahfaahsan oo ku saabsan faallooyinka, iyo sidoo kale wax yar oo ku saabsan nolosha bixiyeyaasha ee Federaalka Ruushka

Dabcan, fikradaha ugu horreeya waxay ku saabsan yihiin qalabka cusub: DPI cabsi leh, kalsooni kuma jirto, marnaba ma ogaan kartid waxa ay samayn karto - ka dib, TCP RST waa wax caadi ah oo ka mid ah qalabka xannibaya.

Qiyaas kaleman Waxaan sidoo kale soo bandhignay fikradda ah in qof "ka sarreeya" uu shaandheynayo, laakiin isla markiiba waa tuurnay.

Marka hore, waxaan haysanaa xiriiryo maskaxeed oo ku filan si aynaan sidan oo kale ugu silcin :)

Marka labaad, waxaan ku xiran nahay dhowr IX Magaalada Moscow, taraafikada mail.ru-na iyagaa dhex mara - mana laha mas'uuliyad ama ujeeddo kale oo lagu shaandheeyo taraafikada.

Qaybta soo socota ee maalinta ayaa lagu kharash gareeyay waxa sida caadiga ah loo yaqaan shamanism - oo ay la socdaan iibiyeyaasha qalabka, taas oo aan uga mahadcelineyno, ma aysan quusan :)

  • shaandhaynta gabi ahaanba waa naafo
  • NAT waa la naafo iyadoo la isticmaalayo nidaamka cusub
  • PC-ga tijaabada waxaa la geliyay barkad gooni ah oo gooni ah
  • Ciwaanka IP-ga ayaa isbedelay

Galabtii, mashiinka farsamada gacanta ayaa loo qoondeeyay kaas oo ku xiran shabakada si waafaqsan nidaamka isticmaalaha caadiga ah, wakiilada iibiyaha ayaa la siiyay fursad ay ku helaan iyo qalabka. Shaamaysigu wuu sii socday :)

Dhammaadkii, wakiilka iibiyuhu wuxuu si kalsooni leh u sheegay in qalabku aanu gabi ahaanba waxba ku lahayn: horudhacyadu waxay ka yimaadaan meel sare.

tacliiqHalkaa marka ay marayso, qof ayaa odhan kara: laakiin aad bay u fududayd in laga qaado qashin-qubka PC-ga tijaabada ah, laakiin laga soo qaado jidka weyn ee ka sarreeya DPI?

Maya, nasiib darro, qaadashada qashin-qubka (iyo xitaa milicsiga) 40+gbps gabi ahaanba wax fudud maaha.

Taas ka dib, fiidkii, ma jirin wax ka haray oo aan ahayn ku noqoshada mala-awaalka shaandhaynta qariibka ah ee meel sare.

Waxaan eegay midka IX taraafikada shabakadaha MRG uu hadda marayo oo si fudud u baajiyay kulamadii bgp. Oo bal eeg! - wax walba isla markiiba caadi ayay ku soo noqdeen πŸ™

Dhinaca kale, waa wax laga xishoodo in maalinta oo dhan ay ku qaadatay raadinta dhibaatada, inkastoo lagu xaliyay shan daqiiqo.

Dhinaca kale:

- Xusuustayda tani waa wax aan horay loo arag. Sida aan horeba kor ugu qoray - IX runtii Ma jirto wax faa'iido ah oo lagu sifeynayo taraafikada gaadiidka. Inta badan waxay haystaan ​​boqollaal gigabits/terabits ilbiriqsikii. Kaliya si dhab ah uma malayn karin wax sidan oo kale ah ilaa dhowaan.

- waa nasiib wacan oo isku beeg ah duruufo: qalab cusub oo adag oo aan si gaar ah loo aamini karin oo aan laga garanayn waxa laga filan karo - si gaar ah loogu talagalay xannibaadda ilaha, oo ay ku jiraan TCP RSTs

NOC ee isweydaarsiga internetka ayaa hadda raadinaya dhibaato. Marka loo eego iyaga (oo aan aaminsanahay), ma haystaan ​​nidaam sifeyn gaar ah oo la geeyay. Laakiin, mahadsanid jannada, raadinta dheeraadka ah hadda maaha dhibkayaga :)

Tani waxay ahayd isku day yar oo aan ku doonayay in aan nafteyda qiil ku sameeyo, fadlan fahan oo cafi :)

PS: Si ula kac ah uma magacaabin soo saaraha DPI/NAT ama IX (xataa xitaa wax cabasho ah kama qabo iyaga, waxa ugu weyn waa in la fahmo waxa ay ahayd)

Xaqiiqda maanta (iyo sidoo kale shalay iyo shalay) Xaqiiqda marka laga eego aragtida bixiyaha internetka

Waxaan ku qaatay usbuucyadii la soo dhaafay si weyn dib u dhiska xudunta u ah shabakadda, anigoo fulinaya fara badan oo wax is-daba-marin ah "si faa'iido u leh", khatarta ah inay saameyn weyn ku yeelato taraafikada isticmaalaha tooska ah. Iyadoo la tixgelinayo yoolalka, natiijooyinka iyo cawaaqibka waxaas oo dhan, akhlaaq ahaan waa wax aad u adag. Gaar ahaan - mar kale dhageysiga khudbadaha quruxda badan ee ku saabsan ilaalinta xasilloonida Runet, madax-bannaanida, iwm. iyo wixi la mida.

Qaybtan, waxaan isku dayi doonaa inaan sharaxo "horumarka" xudunta shabakada ISP-ga caadiga ah tobankii sano ee la soo dhaafay.

Toban sano ka hor.

Waqtiyadaas barakeysan, xudunta shabakada bixiyaha waxay noqon kartaa mid fudud oo la isku halayn karo sida saxmadda taraafikada:

Jawaab faahfaahsan oo ku saabsan faallooyinka, iyo sidoo kale wax yar oo ku saabsan nolosha bixiyeyaasha ee Federaalka Ruushka

Sawirkan aadka loo fududeeyay, ma jiraan jirro, faraanti, ip/mpls routing.

Nuxurkeedu waa in taraafikada isticmaaleyaashu ay ugu dambeyntii yimaadeen heerka kernel-ka beddelashada - halkii ay u aaday BNG, laga bilaabo, sida caadiga ah, dib loogu noqdo beddelka xudunta u ah, ka dibna "baxsan" - iyada oo loo marayo hal ama ka badan albaabbada xuduudaha ee internetka.

Nidaamka noocan oo kale ah aad iyo aad buu u fudud yahay in lagu kaydiyo labadaba L3 (dad firfircoon) iyo L2 (MPLS).

Waxaad ku rakibi kartaa N+1 wax kasta: gelitaanka server-yada, furayaasha, xuduudaha - iyo hal dariiq ama mid kale u dhig iyaga si otomaatig ah u fashilmaan.

Dhowr sano ka dib Waxay u caddaatay qof kasta oo ku nool Ruushka in aysan suurtagal ahayn in sidan oo kale lagu noolaado: waxay ahayd mid degdeg ah in carruurta laga ilaaliyo saameynta xun ee internetka.

Waxaa jirtay baahi degdeg ah in la helo habab lagu shaandheeyo taraafikada isticmaalaha.

Waxaa jira habab kala duwan halkan.

Xaalad aan aad u fiicneyn, wax ayaa la geliyaa "farqiga": inta u dhaxaysa taraafikada isticmaalaha iyo internetka. Gaadiidka dhex mara "wax"kan waa la falanqeeyay oo, tusaale ahaan, baakidh been abuur ah oo dib u hagis wata ayaa loo diraa macaamiisha.

Xaalad yar oo ka sii wanaagsan - haddii tirada taraafikada ay oggolaato - waxaad ku samayn kartaa khiyaamo yar oo dhegahaaga ah: u dir shaandhaynta taraafikada kaliya ee ka imanaya isticmaalayaasha oo keliya ciwaannada u baahan in la sifeeyo (si tan loo sameeyo, waxaad qaadan kartaa ciwaannada IP-yada). halkaas oo lagu qeexay diiwaanka, ama lagu xalliyo kuwa hadda jira ee ku jira diiwaanka).

Hal mar, ujeeddooyinkan, waxaan qoray mid fudud mini dpi - inkasta oo aanan xitaa ku dhicin in aan isaga ugu yeedho. Waa mid aad u fudud oo aan wax soo saar lahayn - si kastaba ha ahaatee, waxay noo ogolaatay annaga iyo daraasiin (haddii aysan ahayn boqollaal) bixiyeyaasha kale inaan isla markiiba malaayiin ku dhicin nidaamyada DPI ee warshadaha, laakiin waxay siisay dhowr sano oo dheeraad ah oo waqti ah.

Jid ahaan, ku saabsan markaa iyo hadda DPIJid ahaan, qaar badan oo iibsaday nidaamyada DPI ee laga heli karo suuqa wakhtigaas ayaa horay u tuuray. Hagaag, looguma talagelin tan: boqolaal kun oo cinwaan, tobanaan kun oo URLs.

Isla mar ahaantaana, wax-soo-saarka gudaha ayaa aad ugu kacay suuqan. Anigu kama hadlayo qaybta qalabka - wax walba waa u caddahay qof walba halkan, laakiin software - waxa ugu muhiimsan ee DPI leeyahay - laga yaabee maanta, haddii aan ahayn kan ugu horumarsan adduunka, ka dibna hubaal a) horumarinta boodboodka iyo xuduudaha, iyo b) qiimaha badeecada sanduuqa - si fudud aan la barbar dhigi karin tartamayaasha shisheeye.

Waxaan jeclaan lahaa inaan faano, laakiin xoogaa murugo leh =)

Hadda wax waliba sidan ayay u ekaayeen:

Jawaab faahfaahsan oo ku saabsan faallooyinka, iyo sidoo kale wax yar oo ku saabsan nolosha bixiyeyaasha ee Federaalka Ruushka

Laba sano oo dheeraad ah qof kastaa wuxuu hore u lahaa hantidhawryo; Waxaa jiray agab aad iyo aad u badan oo ku jiray diiwaanka. Qaar ka mid ah qalabka duugga ah (tusaale ahaan, Cisco 7600), nidaamka "side-shaandhaynta" ayaa si fudud u noqday mid aan la dabaqi karin: tirada waddooyinka ee 76 dhufto ee waxay ku kooban tahay wax la mid ah sagaal boqol oo kun, halka tirada IPv4 kaliya ee maanta ay ku dhowdahay 800. kun. Iyo haddii ay sidoo kale ipv6 ... Iyo sidoo kale ... immisa ayaa jira? 900000 cinwaano gaar ah oo ku jira mamnuucida RKN? =)

Qof ayaa u wareegay qorshe leh muraayadda dhammaan taraafikada laf-dhabarta oo loo beddelo server-ka shaandhaynta, kaas oo ah inuu falanqeeyo qulqulka oo dhan iyo, haddii wax xun la helo, u soo dir RST labada jiho (diraha iyo qaataha).

Si kastaba ha ahaatee, mar kasta oo taraafiggu bato, waa inta aan la dabaqi karin nidaamkan. Haddii ay jirto dib u dhac yar oo ku saabsan habaynta, taraafikada muraayada ah ayaa si fudud u duuli doonta iyada oo aan la dareemin, bixiyahana wuxuu heli doonaa warbixin ganaax ah.

Bixiyeyaal badan oo badan ayaa lagu qasbay inay ku rakibaan nidaamyada DPI ee heerarka kala duwan ee isku halaynta ee guud ahaan waddooyinka waaweyn.

Sanad ama laba sano ka hor Sida xanta ah, ku dhawaad ​​dhammaan FSB waxay bilaabeen inay dalbadaan rakibaadda dhabta ah ee qalabka SORM (markii hore, bixiyeyaasha intooda badan waxaa lagu maamuli jiray ogolaanshaha maamulka Qorshaha SORM - qorshe hawl-qabad haddii loo baahdo in meel laga helo)

Lacagta ka sokow (ma ahan mid xad-dhaaf ah, laakiin weli malaayiin), SORM waxay u baahday wax-is-daba-marin badan oo shabakadda ah.

  • SORM waxay u baahan tahay inay aragto ciwaanada isticmaalaha "cawlan" ka hor inta aan la tarjumin
  • SORM waxay leedahay tiro xadidan oo isku xidhka shabakadeed

Sidaa darteed, gaar ahaan, waxay ahayd inaan si weyn u dhisno qayb ka mid ah kernel-ka - si fudud si aan u ururino taraafikada isticmaalaha server-yada meel keliya. Si aad ugu milicsato SORM oo leh dhowr xiriiriye.

Taasi waa, aad loo fududeeyay, waxay ahayd (bidix) vs waxay noqotay (midig):

Jawaab faahfaahsan oo ku saabsan faallooyinka, iyo sidoo kale wax yar oo ku saabsan nolosha bixiyeyaasha ee Federaalka Ruushka

Hadda Bixiyeyaasha intooda badani waxay sidoo kale u baahan yihiin hirgelinta SORM-3 - oo ay ku jiraan, waxyaabo kale, qorista baahinta nat.

Ujeeddooyinkan, waxaan sidoo kale ku qasbanahay inaan ku darno qalab gaar ah oo loogu talagalay NAT jaantuska kore (sida saxda ah waxa looga hadlay qaybta koowaad). Intaa waxaa dheer, ku dar nidaam gaar ah: maadaama SORM ay tahay inay "aragto" taraafikada ka hor intaanad tarjumin ciwaannada, taraafikada waa inay si adag u socotaa sida soo socota: isticmaalayaasha -> beddelashada, kernel -> adeegayaasha gelitaanka -> SORM -> NAT -> beddelashada, kernel -> > Internetka. Si tan loo sameeyo, waxay ahayd inaan macno ahaan "u leexin" socodka gaadiidka ee jihada kale ee faa'iidada, taas oo sidoo kale ahayd mid aad u adag.

Isku soo wada duuboo: Tobankii sano ee la soo dhaafay, naqshadaynta udub-dhexaadka ah ee bixiyaha celceliska ayaa noqday marar badan oo adag, iyo dhibcaha dheeraadka ah ee guuldarada (labadaba qaabka qalabka iyo qaabka khadadka beddelka hal) ayaa si aad ah u kordhay. Dhab ahaantii, shardiga ah in "wax walba la arko" waxay tusinaysaa in "wax walba" la dhimo hal dhibic.

Waxaan u maleynayaa in tan si hufan looga soo saari karo dadaallada hadda jira ee lagu doonayo in lagu maamulo Runet, lagu ilaaliyo, lagu xasiliyo laguna hagaajiyo :)

Oo Yarovaya ayaa weli ka horreeya.

Source: www.habr.com

Add a comment