Wax qarsoodi ah maaha in xakamaynta xannibaadda liiska macluumaadka mamnuuca ah ee Ruushka lagu kormeerayo nidaamka otomaatiga ah "Baaraha". Sida ay u shaqeyso si fiican ayaa halkan loogu qoray , sawir laga soo qaaday isla goobta:
Si toos ah loogu rakibay bixiyaha :
Moduleka "Agent Inspector" waa qayb dhismeed oo ka mid ah nidaamka otomaatiga ah "Baaraha" (AS" Kormeeraha"). Nidaamkan waxaa loogu talagalay in lagu kormeero u hoggaansanaanta hawlwadeennada isgaadhsiinta ee leh helitaanka shuruudaha xaddidaadda ee qaabka waafaqsan qodobbada 15.1-15.4 ee Sharciga Federaalka ee Luulyo 27, 2006 No. 149-FZ "On Information, Technology Information and Information Protection. ”
Ujeedada ugu weyn ee loo abuuray AS "Revizor" waa in la hubiyo la socodka u hoggaansanaanta hawlwadeennada isgaarsiinta ee shuruudaha lagu dejiyay Qodobbada 15.1-15.4 ee Sharciga Federaalka ee Luulyo 27, 2006 No. 149-FZ "On Information, Technology Information and Information" Ilaalinta” marka la eego aqoonsiga xaqiiqooyinka helitaanka macluumaadka la mamnuucay iyo helitaanka agabka taageeraya (xogta) ee ku saabsan xadgudubyada si loo xaddido helitaanka macluumaadka la mamnuucay.
Iyadoo la tixgelinayo xaqiiqda ah in, haddii aysan ahayn dhammaan, markaa bixiyeyaasha badan ayaa rakibay qalabkan, waa inay jiraan shabakad ballaaran oo baaritaanno iftiin ah sida iyo xitaa in ka badan, laakiin leh marin u xiran. Si kastoy ahaataba laambaddu waa laambad ay ishaarooyinka u soo diraan jiho kasta, laakiin ka waran haddii aynu qabanno oo aynu aragno waxa aynu qabanay iyo intee?
Kahor intaanan tirin, aan aragno sababta ay tani xitaa suurtogal u tahay.
Qeyb ka mid ah aragti
Wakiiladu waxay hubiyaan helitaanka kheyraadka, oo ay ku jiraan codsiyada HTTP(S), sida kan:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
HTTP, "GET /somepage HTTP/1.1"
TCP, 80 > 14678, "[ACK] Seq=1 Ack=71"
HTTP, "HTTP/1.1 302 Found"
TCP, 14678 > 80, "[FIN, ACK] Seq=71 Ack=479"
TCP, 80 > 14678, "[FIN, ACK] Seq=479 Ack=72"
TCP, 14678 > 80, "[ACK] Seq=72 Ack=480"
Marka lagu daro culeyska, codsigu wuxuu sidoo kale ka kooban yahay marxaladda aasaasida isku xirka: sarrifka SYN и SYN-ACK, iyo wejiyada dhamaystirka isku xidhka: FIN-ACK.
Diiwaanka macluumaadka mamnuuca ah wuxuu ka kooban yahay dhowr nooc oo xannibid ah. Sida iska cad, haddii kheyraadka lagu xannibo cinwaanka IP-ga ama magaca domain, markaa ma arki doono wax codsi ah. Kuwani waa noocyada ugu xun ee xannibaadda, taas oo horseedaysa la heli karo dhammaan ilaha hal ciwaanka IP ah ama dhammaan macluumaadka ku yaal domainka. Waxa kale oo jira nooc xannibid ah "by URL". Xaaladdan oo kale, nidaamka shaandhaynta waa in uu kala qaybiyaa madaxa codsiga HTTP si loo go'aamiyo sida saxda ah waxa la joojinayo. Oo ka hor, sida kor lagu arki karo, waa inuu jiraa marxalad aasaasi ah oo isku xidhka ah oo aad isku dayi karto inaad raadraacdo, maadaama ay u badan tahay in shaandhada ay seegto.
Si tan loo sameeyo, waxaad u baahan tahay inaad doorato goob ku habboon oo bilaash ah oo leh nooca xannibaadda "URL" iyo HTTP si loo fududeeyo shaqada nidaamka shaandhaynta, gaar ahaan muddada dheer ee la dayacay, si loo yareeyo gelitaanka taraafikada ka baxsan marka laga reebo Wakiilada. Hawshani waxa ay noqotay mid aan haba yaraatee adkayn;waxaa jira meelo badan oo bilaash ah oo ku jira diiwaanka macluumaadka la mamnuucay iyo dhadhan kasta. Sidaa darteed, domainka waa la iibsaday oo lagu xidhay ciwaannada IP-ga ee ku socda VPS tcpdump oo tirinta ayaa bilaabatay.
Hantidhawrka "Hantidhawrka"
Waxaan filayey inaan arko codsiyada dillaaca xilliyeedka, taas oo ra'yigeyga ay muujin doonto ficil la xakameeyey. Suurtagal maaha in la yidhaahdo gabi ahaanba maan arag, laakiin xaqiiqdii ma jirin sawir cad:
Taas oo aan la yaab lahayn, xitaa domain aan qofna u baahnayn iyo IP-ga aan waligiis la isticmaalin, waxaa si fudud u jiri doona tiro macluumaad ah oo aan la rabin, sida internetka casriga ah. Laakiin nasiib wanaag, kaliya waxaan u baahday codsiyo URL gaar ah, markaa dhammaan iskaannada iyo furayaasha sirta ah si dhakhso ah ayaa loo helay. Sidoo kale, aad bay u fududayd in la fahmo halka daadku ku salaysan yahay tirada codsiyada la midka ah. Marka xigta, waxaan soo ururiyay inta jeer ee dhacdooyinka ciwaanka IP-ga waxaanan ku dhex maray gacanta oo dhan, oo aan kala saarayo kuwa seegay marxaladihii hore. Intaa waxaa dheer, waxaan jaray dhammaan ilaha lagu soo diray hal xirmo, ma jiraan qaar badan oo iyaga ka mid ah. Waxaana dhacay sidan:
Digression yar oo heeseed. Wax yar ka badan maalin ka dib, bixiyahayga martigelinaya wuxuu soo diray warqad ay ku qoran tahay waxyaabo la hagaajiyay, isagoo leh in xarumahaagu ay ka kooban yihiin kheyraad liiska mamnuuca ah ee RKN, sidaas darteed waa la xannibay. Markii hore waxaan u maleeyay in akoonkayga la xiray, arrintu sidaas ma ahayn. Dabadeed waxaan mooday inay si fudud iiga digayaan wax aan horeba u aqaanay. Laakin waxa soo baxday in martigeliyaha uu shiday shaandhayntiisa horteeda domainkayga taasina waxay keentay in aan laba jibaaray shaandhayn: ka bixiyayaasha iyo hoster-ka. Shaandheeyaha kaliya waxa uu dhaafay dhamaadka codsiyada: FIN-ACK и RST ka jar dhammaan HTTP URL mamnuuc ah. Sida aad ka arki karto garaafka kore, ka dib maalintii ugu horeysay waxaan bilaabay inaan helo xog yar, laakiin weli waan helay, taas oo ku filan hawsha tirinta ilaha codsiga.
U dhaadhac qodobka. Fikradayda, laba dilaac ayaa si cad u muuqda maalin kasta, marka hore yar yar, ka dib saqda dhexe ee wakhtiga Moscow, kan labaadna wuxuu ku dhow yahay 6 subaxnimo oo leh dabo ilaa 12 duhurnimo. Meesha ugu sarreysa isku mar kuma dhacdo. Markii hore, waxaan rabay in aan doorto ciwaannada IP-yada ee dhacay kaliya xilliyadan iyo mid kasta oo xilliyada oo dhan ah, iyada oo ku saleysan male-awaal ah in hubinta Wakiilada ay sameeyaan xilliyo. Laakin markaan si taxadar leh u eego, waxaan si deg deg ah u ogaaday in muddooyinku ay ku dhacayaan waqtiyo kale, oo leh tirooyin kale, ilaa hal codsi saacad kasta. Ka dib waxaan ka fikiray aagagga wakhtiga iyo in laga yaabo inay wax ku leeyihiin iyaga, ka dib waxaan u maleeyay in guud ahaan nidaamka laga yaabo in aan la jaan qaadin caalamka. Intaa waxaa dheer, NAT waxay u badan tahay inay door ka ciyaari doonto oo isla Wakiilku wuxuu samayn karaa codsiyada IP-yada kala duwan ee dadweynaha.
Maadaama hadafkeygii hore uusan ahayn mid sax ah, waxaan tiriyay dhammaan cinwaanada aan la kulmay usbuuc gudihii oo aan helay - 2791. Tirada fadhiyada TCP ee laga sameeyay hal ciwaan waa celcelis ahaan 4, dhexda 2. Kulamada ugu sarreeya cinwaankii: 464, 231, 149, 83, 77. Ugu badnaan 95% muunada waa 8 fadhi ciwaankiiba. Dhexdhexaadku maaha mid aad u sarreeya, aan ku xasuusiyo in garaafku uu muujinayo wakhti cad oo maalinle ah, markaa qofku wuxuu filan karaa wax ku dhow 4 ilaa 8 7 maalmood gudahood. Haddii aan tuurno dhammaan fadhiyada dhacaya hal mar, waxaan heli doonaa dhexdhexaadiye la mid ah 5. Laakiin ma aan saari karin iyaga oo ku saleysan shuruudo cad. Taa beddelkeeda, hubin aan toos ahayn ayaa muujisay inay la xidhiidhaan codsiyada kheyraadka la mamnuucay.
Cinwaanadu waa cinwaano, laakiin internetka, nidaamyada is-maamulka - AS, oo noqday mid aad muhiim u ah 1510, celcelis ahaan 2 ciwaan AS oo leh dhexdhexaad 1. Ciwaanada ugu sarreeya AS: 288, 77, 66, 39, 27. Ugu badnaan 95% muunada waa 4 ciwaan AS. Halkan dhexdhexaadiyaha ayaa la filayaa - hal Wakiil bixiye kasta. Waxaan sidoo kale fileynaa kuwa ugu sarreeya - waxaa ku jira ciyaartoy waaweyn. Shabakad weyn, Wakiiladu waa inay ku yaalliin gobol kasta oo joogitaanka hawlwadeenka, hana iloobin NAT. Haddii aan u qaadano waddan ahaan, ugu badnaantu waxay noqon doontaa: 1409 - RU, 42 - UA, 23 - CZ, 36 gobollada kale, maaha NCC BILAAN. Codsiyada ka imanaya meel ka baxsan Ruushka ayaa soo jiitay dareenka. Tan waxaa laga yaabaa in lagu sharxi karo khaladaadka juqraafiga ama khaladaadka diiwaan-hayaha marka la buuxinayo xogta. Ama xaqiiqda ah in shirkad Ruush ah laga yaabo inaysan lahayn xididada Ruushka, ama waxay leeyihiin xafiis wakiil ajnabi ah sababtoo ah way fududahay, taas oo ah mid dabiici ah marka la macaamilayo urur shisheeye RIPE NCC. Qayb ka mid ah shaki la'aan waa xad dhaaf, laakiin aad bay u adagtahay in la kala saaro, maadaama kheyraadku uu xanniban yahay, iyo maalinta labaad ee xannibaadda labajibbaaran, iyo kalfadhiyada intooda badani waa uun beddelashada baakadaha adeegga. Aynu ku heshiino in tani ay tahay qayb yar.
Tirooyinkan ayaa mar hore la barbar dhigi kara tirada bixiyeyaasha ee Ruushka. shatiyada "Adeegyada Isgaadhsiinta ee gudbinta xogta, marka laga reebo codka" - 6387, laakiin tani waa qiyaas aad u sarreeya oo kor ku xusan, dhammaan shatiyadani maaha kuwo si gaar ah loogu talagalay bixiyeyaasha internetka ee u baahan inay rakibaan Wakiil. Aagga RIPE NCC waxaa jira tiro isku mid ah oo AS ah oo ka diiwaangashan Ruushka - 6230, kuwaas oo aan dhammaantood ahayn bixiyeyaasha. oo helay 3940 shirkadood 2017, tani waa halkii qiyaasta kor ku xusan. Si kastaba ha ahaatee, waxaanu haysanaa laba jeer iyo badh ka yar tirada AS-yada ifaysa. Laakiin halkan waxaa mudan in la fahmo in AS aysan si adag ula sinnayn bixiyaha. Bixiyeyaasha qaarkood ma haystaan AS, qaar waxay leeyihiin wax ka badan hal. Haddii aan u maleyno in qof kastaa uu weli leeyahay wakiilo, markaa qof ayaa si ka xoog badan kuwa kale u shaandheeya, si codsiyadoodu u noqdaan kuwo aan kala sooc lahayn qashinka, haddii ay gaaraan dhammaantood. Laakiin qiimayn qalafsan waa wax loo dulqaadan karo, xitaa haddii ay wax ku lumeen kormeerkayga.
Ku saabsan DPI
In kasta oo xaqiiqda ah in bixiyahayga martigelinaya uu daaray shaandhayntiisa laga bilaabo maalinta labaad, iyada oo ku saleysan macluumaadka laga bilaabo maalinta koowaad waxaan ku soo gabagabeyn karnaa in xannibaadda ay si guul leh u shaqeyneyso. Kaliya 4 ilo ayaa awooday inay soo maraan oo si buuxda u dhammaystireen fadhiyada HTTP iyo TCP (sida tusaalaha sare). 460 kale ayaa la diri karaa GET, laakiin fadhiga isla markiiba la joojiyo by RST. U fiirso TTL:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TTL 50, TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
HTTP, "GET /filteredpage HTTP/1.1"
TTL 64, TCP, 80 > 14678, "[ACK] Seq=1 Ack=294"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST] Seq=3458729893"
TTL 53, TCP, 14678 > 80, "[RST] Seq=3458729893"
HTTP, "HTTP/1.1 302 Found"
#А это попытка исходного узла получить потерю
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[ACK] Seq=294 Ack=145"
TTL 50, TCP, 14678 > 80, "[FIN, ACK] Seq=294 Ack=145"
TTL 64, TCP, 80 > 14678, "[FIN, ACK] Seq=171 Ack=295"
TTL 50, TCP Dup ACK 14678 > 80 "[ACK] Seq=295 Ack=145"
#Исходный узел понимает что сессия разрушена
TTL 50, TCP, 14678 > 80, "[RST] Seq=294"
TTL 50, TCP, 14678 > 80, "[RST] Seq=295"
Kala duwanaanshaha tani way ka duwanaan kartaa: ka yar RST ama in ka badan dib-u-gudbinta - sidoo kale waxay kuxirantahay waxa filtarku u diro marinka isha. Si kastaba ha ahaatee, kani waa qaabka ugu kalsoonida badan, kaas oo ay caddahay in ay ahayd kheyraad mamnuuc ah oo la codsaday. Intaa waxaa dheer in mar walba jawaabtu ay ka muuqato fadhiga TTL ka weyn xirmooyinka hore iyo kuwa xiga.
Xitaa kama arki kartid inta kale GET:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST] Seq=1"
Ama sidaas:
TTL 50, TCP, 14678 > 80, "[SYN] Seq=0"
TTL 64, TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TTL 50, TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
#Вот это прислал фильтр
TTL 53, TCP, 14678 > 80, "[RST, PSH] Seq=1"
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[FIN, ACK] Seq=89 Ack=172"
TTL 50, TCP ACKed unseen segment, 14678 > 80, "[FIN, ACK] Seq=89 Ack=172"
#Опять фильтр, много раз
TTL 53, TCP, 14678 > 80, "[RST, PSH] Seq=1"
...
Farqiga ayaa hubaal ah inuu muuqdo TTL haddii wax shaandhada ka yimaaddaan. Laakiin inta badan waxba ma iman karaan:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP Retransmission, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
...
Ama sidaas:
TCP, 14678 > 80, "[SYN] Seq=0"
TCP, 80 > 14678, "[SYN, ACK] Seq=0 Ack=1"
TCP, 14678 > 80, "[ACK] Seq=1 Ack=1"
#Прошло несколько секунд без трафика
TCP, 80 > 14678, "[FIN, ACK] Seq=1 Ack=1"
TCP Retransmission, 80 > 14678, "[FIN, ACK] Seq=1 Ack=1"
...
Oo waxaas oo dhan waa la soo noqnoqda oo soo noqnoqda oo soo noqnoqda, sida ka muuqata garaafka, wax ka badan hal mar, maalin kasta.
Ku saabsan IPV6
Warka wanaagsani waa inuu jiro. Waxaan si kalsooni leh u dhihi karaa codsiyada xilliyeed ee kheyraadka mamnuuca ah waxay ka yimaadaan 5 ciwaan oo kala duwan oo IPv6 ah, taas oo ah sida saxda ah habdhaqanka Wakiilada ee aan filayo. Waxaa intaa dheer, mid ka mid ah ciwaanada IPv6 kuma hoos dhaco shaandhaynta waxaanan arkaa kalfadhi buuxa. Laba kale oo kale waxaan arkay hal fadhi oo aan dhammaan, mid ka mid ah uu soo dhexgalay RST laga soo bilaabo shaandhada, labaad ee wakhtiga. Tirada guud 7.
Maadaama ay jiraan ciwaano yar, dhamaantood si faahfaahsan ayaan u darsay, waxaana ii soo baxday inay jiraan 3 bixiye oo kaliya, waxaa la siin karaa sacab taagan! Cinwaan kale waa martigelinta daruuraha ee Ruushka (ma shaandhayso), mid kale waa xarun cilmi baaris oo ku taal Jarmalka (waxaa jira shaandheyn, halkee?). Laakiin sababta ay u hubiyaan helitaanka kheyraadka mamnuuca ah ee jadwalka waa su'aal wanaagsan. Labada soo haray waxay sameeyeen hal codsi waxayna ku yaalliin meel ka baxsan Ruushka, mid ka mid ahna waa la sifeeyaa (transit, ka dib oo dhan?).
Xayiraadda iyo Wakiilada ayaa caqabad weyn ku ah IPV6, taas oo fulinteedu aan si dhakhso ah u socon. Waa murugo. Kuwa xalliya dhibaatadan waxay si buuxda ugu faani karaan naftooda.
Gabagabada
Uma dadaalin saxnaanta 100%, fadlan iga raali ahow tan, waxaan rajeynayaa in qof doonayo inuu ku celiyo shaqadan si sax ah. Waxaa muhiim ii ahayd inaan fahmo bal in habkani uu mabda' ahaan u shaqayn doono iyo in kale. Jawaabtu waa haa. Tirooyinka la helay, sida qiyaasta koowaad, waxaan qabaa, waa kuwo la isku halleyn karo.
Maxaa kale oo la samayn karay iyo waxa aan aad u caajisay inaan sameeyo waxay ahayd tirinta codsiyada DNS. Lama sifeeyo, laakiin sidoo kale ma bixiyaan saxsanaan badan maadaama ay kaliya u shaqeeyaan domainka, ee uma shaqeeyaan URL oo dhan. Inta jeer waa in ay ahaataa mid muuqata. Haddii aad ku darto waxa si toos ah uga muuqda su'aalaha, tani waxay kuu ogolaaneysaa inaad kala saarto waxyaabaha aan loo baahnayn oo aad hesho macluumaad dheeraad ah. Xitaa waa suurtagal in la go'aamiyo horumariyeyaasha DNS-ka ay isticmaalaan bixiyeyaasha iyo wax ka badan.
Runtii maan fileyn in martigeliyaha uu sidoo kale ku dari doono shaandheynteeda VPS. Waxaa laga yaabaa in tani ay tahay dhaqan caadi ah. Dhammaadka, RKN waxay soo dirtaa codsi lagu tirtirayo kheyraadka martigeliyaha. Laakin tani igama yaabin oo siyaabaha qaar xitaa way iga faa'iidaysteen. Shaandheeyaha ayaa u shaqeeyay si wax ku ool ah, isaga oo jaray dhammaan codsiyada HTTP ee saxda ah URL mamnuuc ah, laakiin ma ahayn kuwa saxda ah ee horay u soo maray shaandhada bixiyeyaasha oo gaadhay iyaga, in kasta oo kaliya qaab dhamaad ah: FIN-ACK и RST - laga jaray laga jaray waxayna ku dhowaatay inay noqoto wax lagu daray. Jid ahaan, IPv6 laguma shaandhayn martigeliyaha. Dabcan, tani waxay saamaysay tayada alaabta la soo ururiyey, laakiin waxay weli suurtogal ka dhigtay in la arko inta jeer. Waxaa soo baxday in tani ay tahay qodob muhiim ah marka aad dooranayso goobta kaydinta kheyraadka; ha iloobin inaad xiisaynayso arrinta abaabulka shaqada liiska goobaha la mamnuucay iyo codsiyada RKN.
Bilowgii, waxaan barbardhigay AS "Baaraha" iyo . Isbarbardhiggani waa mid sax ah oo shabakad ballaadhan oo wakiillo ah ayaa faa'iido yeelan karta. Tusaale ahaan, go'aaminta tayada helitaanka kheyraadka ee bixiyeyaasha kala duwan ee qaybaha kala duwan ee dalka. Waxaad xisaabin kartaa dib u dhac, waxaad dhisi kartaa garaafyo, waad falanqeyn kartaa dhammaan oo aad arki kartaa isbeddelada ka dhacaya gudaha iyo caalamkaba. Tani maaha habka ugu toosan, laakiin xiddigiyayaashu waxay isticmaalaan "shumacyada caadiga ah", maxaad u isticmaalin wakiilada? Ogaanshaha (marka la helo) hab-dhaqankooda caadiga ah, waxaad go'aamin kartaa isbeddelada ka dhacaya hareerahooda iyo sida tani u saamayso tayada adeegyada la bixiyo. Isla mar ahaantaana, uma baahnid inaad si madax-bannaan u dhejisid shabakadaha, Roskomnadzor ayaa horay u rakibay.
Qodob kale oo aan rabo inaan taabto ayaa ah in qalab kasta uu noqon karo hub. AS "Kormeeraha" waa shabakad xiran, laakiin Wakiiladu waxay gacanta ku hayaan qof walba iyagoo u soo diraya codsiyada dhammaan agabyada liiska la mamnuucay. Haysashada kheyraadkan oo kale ma soo bandhigayso wax dhibaato ah haba yaraatee. Wadar ahaan, bixiyeyaasha iyada oo loo marayo Wakiilada, iyagoon ogayn, waxay wax badan ka sheegaan shabakadooda marka loo eego sida laga yaabo inay u qalmaan: Noocyada DPI iyo DNS, goobta wakiilka (node dhexe iyo adeegga adeegga?), Calaamadaha shabakadaha dib u dhigista iyo khasaaraha - tani waa kaliya ugu cad. Sida qof u kormeeri karo ficilada Wakiilada si loo hagaajiyo helitaanka kheyraadkooda, qof ayaa tan u samayn kara ujeedooyin kale mana jiraan wax caqabado ah tan. Natiijadu waa qalab laba af leh oo aad u badan, qof kastaa wuu arki karaa tan.
Source: www.habr.com