Подстакнуо ме на овај пост .
цитирам овде:
данас у 18:53
Данас сам био задовољан провајдером. Упоредо са ажурирањем система за блокирање сајтова забрањен му је маилер маил.ру Зовем техничку подршку од јутра, али не могу ништа. Провајдер је мали, и очигледно га блокирају провајдери вишег ранга. Приметио сам и успоравање отварања свих сајтова, можда су инсталирали некакав криво ДЛП? Раније није било проблема са приступом. Уништење РуНета се дешава пред мојим очима...
Чињеница је да изгледа да смо ми исти провајдер :)
Заиста, Скоро сам погодио узрок проблема са маил.ру (иако смо дуго одбијали да верујемо у тако нешто).
Оно што следи биће подељено на два дела:
- разлоге за наше тренутне проблеме са маил.ру и узбудљиву потрагу да их пронађемо
- постојање ИСП-а у данашњим реалностима, стабилност сувереног РуНета.
Проблеми са приступачношћу са маил.ру
Ох, то је прилично дуга прича.
Чињеница је да смо у циљу имплементације захтева државе (детаљније у другом делу) набавили, конфигурисали и инсталирали неку опрему – како за филтрирање забрањених ресурса, тако и за имплементацију претплатника.
Пре неког времена смо коначно обновили језгро мреже на начин да је сав претплатнички саобраћај пролазио кроз ову опрему стриктно у правом смеру.
Пре неколико дана смо укључили забрањено филтрирање на њему (док стари систем не ради) - чинило се да је све добро прошло.
Затим су постепено почели да омогућавају НАТ на овој опреми за различите делове претплатника. Наизглед је такође изгледало да је све добро прошло.
Али данас, након што смо омогућили НАТ на опреми за следећи део претплатника, од самог јутра смо се суочили са пристојним бројем притужби на недоступност или делимичну доступност и други ресурси Маил Ру групе.
Почели су да проверавају: нешто негде Понекад, повремено шаље као одговор на захтеве искључиво мрежама маил.ру. Штавише, шаље погрешно генерисан (без АЦК), очигледно вештачки ТЦП РСТ. Овако је то изгледало:
Наравно, прве мисли су биле о новој опреми: ужасан ДПИ, нема поверења у њега, никад се не зна шта може - на крају крајева, ТЦП РСТ је прилично уобичајена ствар међу алатима за блокирање.
Претпоставка Такође смо изнели идеју да неко „супериорни“ филтрира, али смо је одмах одбацили.
Прво, имамо довољно разумне уплинкове да не морамо овако да патимо :)
Друго, повезани смо са неколико у Москви, а саобраћај ка маил.ру иде преко њих – а они немају ни обавезе ни било какав други мотив да филтрирају саобраћај.
Следећих пола дана провео је у ономе што се обично зове шаманизам - заједно са продавцем опреме, на чему им се захваљујемо, нису одустајали :)
- филтрирање је било потпуно онемогућено
- НАТ је онемогућен коришћењем нове шеме
- тест ПЦ је смештен у посебан изоловани базен
- ИП адреса је промењена
У поподневним часовима додељена је виртуелна машина која се повезивала на мрежу по шеми редовног корисника, а представницима продавца је омогућен приступ њој и опреми. Шаманизам се наставио :)
На крају, представник продавца је самоуверено изјавио да хардвер нема апсолутно никакве везе са тим: први долазе негде више.
ПриметитиУ овом тренутку неко може рећи: али било је много лакше узети депонију не са тестног рачунара, већ са аутопута изнад ДПИ?
Не, нажалост, узимање думп-а (па чак и само пресликавање) 40+гбпс није нимало тривијално.
После овога, увече, није преостало ништа друго него да се вратим на претпоставку о чудној филтрацији негде изнад.
Погледао сам кроз који ИКС саобраћај ка МРГ мрежама сада пролази и једноставно сам отказао бгп сесије за њега. И – ето! - све се одмах вратило у нормалу 🙁
С једне стране, штета је што је читав дан потрошен на тражење проблема, иако је он решен за пет минута.
Са друге стране:
— у мом сећању ово је ствар без преседана. Као што сам већ горе написао - ИКС стварно нема смисла филтрирати транзитни саобраћај. Обично имају стотине гигабита/терабита у секунди. Једноставно нисам могао озбиљно да замислим овако нешто до недавно.
— невероватно срећан стицај околности: нови сложен хардвер коме се не верује посебно и од кога није јасно шта се може очекивати — скројен посебно за блокирање ресурса, укључујући ТЦП РСТ
НОЦ ове интернет размене тренутно тражи проблем. По њима (а ја им верујем) немају никакав посебно распоређен систем филтрације. Али, хвала небесима, даља потрага више није наш проблем :)
Ово је био мали покушај да се оправдам, молим вас да разумете и опростите :)
ПС: Намерно не именујем произвођача ДПИ/НАТ или ИКС (у ствари, немам чак ни неких посебних притужби на њих, главно је да разумете шта је то било)
Данашња (као и јучерашња и прекјучерашња) стварност из угла интернет провајдера
Провео сам последње недеље значајно реконструишући језгро мреже, изводећи гомилу манипулација „за профит“, уз ризик да значајно утичем на промет корисника уживо. С обзиром на циљеве, резултате и последице свега овога, морално је све то прилично тешко. Посебно - још једном слушајући лепе говоре о заштити стабилности Рунета, суверенитета итд. и тако даље.
У овом одељку покушаћу да опишем „еволуцију“ мрежног језгра типичног ИСП-а у последњих десет година.
Пре десет година.
У тим благословеним временима, језгро мреже провајдера могло би бити једноставно и поуздано као саобраћајна гужва:
На овој веома, веома поједностављеној слици, нема транкова, прстенова, ип/мплс рутирања.
Његова суштина је да је кориснички саобраћај на крају дошао до пребацивања нивоа кернела - одакле је отишао , одакле, по правилу, назад до пребацивања језгра, а затим „напоље“ - преко једног или више граничних капија на Интернет.
Такву шему је веома, веома лако резервисати и на Л3 (динамичко рутирање) и на Л2 (МПЛС).
Можете инсталирати Н+1 било чега: приступне сервере, прекидаче, границе - и на овај или онај начин их резервисати за аутоматско пребацивање.
После неколико година Свима у Русији постало је јасно да је више немогуће живети овако: хитно је требало заштитити децу од погубног утицаја интернета.
Постојала је хитна потреба да се пронађу начини за филтрирање корисничког саобраћаја.
Овде постоје различити приступи.
У не баш добром случају, нешто се ставља „у јаз“: између корисничког саобраћаја и интернета. Анализира се саобраћај који пролази кроз ово „нешто“ и, на пример, лажни пакет са преусмеравањем се шаље ка претплатнику.
У мало бољем случају - ако обим саобраћаја дозвољава - можете направити мали трик са својим ушима: послати на филтрирање само саобраћај који потиче од корисника само на оне адресе које треба филтрирати (да бисте то урадили, можете или узети ИП адресе тамо наведене из регистра или додатно решавају постојеће домене у регистру).
Својевремено сам за ове сврхе написао једноставну - мада се ни не усуђујем да га тако назовем. Веома је једноставан и није баш продуктиван – међутим, омогућио је нама и десетинама (ако не и стотинама) других провајдера да не потрошимо одмах милионе на индустријске ДПИ системе, већ је дало неколико додатних година времена.
Иначе, о тадашњем и садашњем ДПИИначе, многи који су купили ДПИ системе доступне на тржишту у то време већ су их бацили. Па, нису дизајнирани за ово: стотине хиљада адреса, десетине хиљада УРЛ адреса.
А у исто време, домаћи произвођачи су се веома снажно попели на ово тржиште. Не говорим о хардверској компоненти – овде је све јасно, али софтвер – оно што је главна ствар коју ДПИ има – је можда данас, ако не најнапреднији на свету, онда свакако а) се развија великим корацима, и б) по цени производа у кутији – једноставно неупоредиву са страним конкурентима.
Волео бих да будем поносан, али мало тужан =)
Сада је све изгледало овако:
За још пар година сви су већ имали ревизоре; У регистру је било све више ресурса. За неку старију опрему (на пример, Цисцо 7600), шема „бочног филтрирања“ једноставно је постала неприменљива: број рута на 76 платформи је ограничен на отприлике девет стотина хиљада, док се број само ИПв4 рута данас приближава 800 хиљада. А ако је и ипв6... И такође... колико има? 900000 појединачних адреса у РКН забрани? =)
Неко је прешао на шему са пресликавањем целокупног окосног саобраћаја на сервер за филтрирање, који треба да анализира цео ток и, ако се нађе нешто лоше, пошаље РСТ у оба смера (пошиљалац и прималац).
Међутим, што је већи промет, то је ова шема мање применљива. Ако дође до најмањег кашњења у обради, пресликани саобраћај ће једноставно пролетети непримећено, а провајдер ће добити новчану пријаву.
Све више провајдера је принуђено да инсталира ДПИ системе различитог степена поузданости на аутопутевима.
Пре годину-две према гласинама, скоро цео ФСБ је почео да захтева стварну уградњу опреме (раније је већина провајдера управљала уз одобрење власти СОРМ план - план оперативних мера у случају потребе да се нешто нађе негде)
Поред новца (не баш превеликог, али ипак милионског), СОРМ је захтевао још много манипулација са мрежом.
- СОРМ треба да види „сиве“ корисничке адресе пре нат превода
- СОРМ има ограничен број мрежних интерфејса
Због тога смо, посебно, морали у великој мери да поново изградимо део кернела – једноставно да бисмо прикупили кориснички саобраћај ка приступним серверима негде на једном месту. Да би га пресликао у СОРМ са неколико линкова.
То јест, веома поједностављено, било је (лево) насупрот постало (десно):
Сада Већина провајдера такође захтева имплементацију СОРМ-3 - што укључује, између осталог, евидентирање нат емитовања.
У ове сврхе, такође смо морали да додамо посебну опрему за НАТ на дијаграм изнад (управо оно што је разматрано у првом делу). Штавише, додајте у одређеном редоследу: пошто СОРМ мора да „види” саобраћај пре превођења адреса, саобраћај мора да иде стриктно на следећи начин: корисници -> пребацивање, језгро -> приступни сервери -> СОРМ -> НАТ -> пребацивање, кернел - > Интернет. Да бисмо то урадили, морали смо буквално да „окренемо“ саобраћајне токове у другом правцу ради зараде, што је такође било прилично тешко.
Укратко: током протеклих десет година, дизајн језгра просечног провајдера постао је многоструко сложенији, а додатне тачке квара (како у облику опреме тако и у облику појединачних уклопних линија) су се значајно повећале. Заправо, сам захтев да се „види све“ подразумева свођење овог „свега“ на једну тачку.
Мислим да се ово може прилично транспарентно екстраполирати на тренутне иницијативе да се Рунет суверенизује, заштити, стабилизује и побољша :)
А Јароваја је и даље испред.
Извор: ввв.хабр.цом