Dipindahkeun kuring ka pos ieu .
Abdi bawa ka dieu:
dinten ieu di 18:53
Kuring éta gumbira jeung panyadia kiwari. Marengan update tina sistem blocking situs, anjeunna ngagaduhan mail.ru mailer handapeun larangan. Isuk-isuk kuring narik rojongan teknis, aranjeunna teu bisa ngalakukeun nanaon. Panyadiana leutik, sareng sigana panyadia anu langkung luhur ngahalangan. Kuring ogé noticed a slowdown dina bubuka sadaya situs, meureun sababaraha jenis DLP bengkung ieu ngagantung? Saméméhna, teu aya masalah sareng aksés. Karusakan Runet kajantenan sateuacan panon kuring…
Nyatana sigana mah urang sami-sami panyadia 🙁
Jeung memang, Kuring ampir ditebak anu ngabalukarkeun masalah sareng mail.ru (sanajan urang nolak percanten hal saperti keur lila).
Di handap ieu bakal dibagi jadi dua bagian:
- panyabab masalah urang ayeuna sareng mail.ru sareng usaha anu pikaresepeun pikeun mendakanana
- ayana ISP dina realities kiwari, stabilitas Runet daulat.
Masalah sareng kasadiaan mail.ru
Duh, caritana rada panjang.
Kanyataan yén pikeun ngalaksanakeun sarat nagara (detil langkung seueur dina bagian kadua), kami mésér, ngonpigurasi, dipasang sababaraha alat - boh pikeun nyaring sumber anu dilarang sareng pikeun ngalaksanakeun. palanggan.
Sababaraha waktu ka tukang, urang tungtungna ngawangun deui inti jaringan dina cara nu sagala lalulintas palanggan ngaliwatan parabot ieu dina arah katuhu.
Sababaraha dinten kapengker, aranjeunna dihurungkeun nyaring anu dilarang (dina waktos anu sami ngantunkeun sistem anu lami) - sadayana sigana lancar.
Salajengna, aranjeunna laun-laun mimiti ngaktifkeun NAT pikeun palanggan anu béda dina alat ieu. Dina nyanghareupan éta, sagalana sigana jalan ogé.
Tapi ayeuna, saatos ngaktifkeun NAT dina alat-alat pikeun bagian salajengna palanggan, énjing-énjing urang nyanghareupan sajumlah keluhan ngeunaan inaccessibility atanapi kasadiaan parsial. jeung sumber sejenna Mail Ru Grup.
Aranjeunna mimiti pariksa: hal wae sakapeung, sakapeung ngirim salaku respon kana requests éksklusif pikeun jaringan mail.ru. Leuwih ti éta, ngirimkeun hiji dihasilkeun leres (tanpa ACK), TCP RST écés jieunan. Sigana mah kieu:
Alami, pikiran munggaran ngeunaan parabot anyar: DPI dahsyat, teu percanten ka dinya, anjeun pernah nyaho naon bisa ngalakukeun - sanggeus kabeh, TCP RST mangrupakeun hal anu cukup umum diantara parabot blocking.
Anggapan ngeunaan kanyataan yén batur "unggulan" saringan, urang ogé nempatkeun ka hareup - tapi geuwat dipiceun.
Firstly, urang boga cukup uplinks waras teu sangsara kawas kieu 🙂
Bréh, urang disambungkeun ka sababaraha di Moskow, sareng lalu lintas ka mail.ru ngalangkungan aranjeunna - sareng aranjeunna henteu ngagaduhan tugas atanapi motif sanés pikeun nyaring lalu lintas.
Satengah dinten salajengna diséépkeun pikeun anu biasana disebut shamanisme - bareng sareng ngical paralatan, anu berkat aranjeunna, aranjeunna henteu lirén 🙂
- nyaring sagemblengna ditumpurkeun.
- ditumpurkeun NAT handapeun skéma anyar
- PC test ieu disimpen dina kolam renang terasing misah
- robah alamat IP
Soré, mesin virtual dialokasikeun anu online dumasar kana skéma pangguna biasa, sareng wawakil anu ngajual éta dibéré aksés kana éta sareng alat. Dukun terus 🙂
Tungtungna, wawakil anu ngajual sacara yakin nyatakeun yén potongan beusi teu aya hubunganana sareng éta: mimitina asalna ti tempat anu langkung luhur.
nyariosDina titik ieu, batur bisa ngomong: tapi éta loba gampang dump teu ti PC test, tapi ti jalan raya leuwih luhur ti DPI?
Henteu, hanjakalna, dumping (komo ngan ukur ngeunteung) 40+gbps henteu sepele.
Sanggeus éta, geus magrib, teu aya nanaon deui iwal mun balik deui ka anggapan hiji nyaring aneh tempat luhur.
Kuring ningali anu IX lalu lintas ayeuna nuju ka jaringan MWG sareng ngan saukur mareuman sesi bgp kana éta. Jeung - ngeunaan mujijat! Sadayana langsung normal deui
Di hiji sisi, éta téh karunya nu sapopoe ieu spent néangan masalah, sanajan ieu direngsekeun dina lima menit.
Di sisi séjén:
- Dina mémori kuring, ieu téh hiji hal unprecedented. Salaku I wrote luhur - IX'am bener euweuh titik dina nyaring lalulintas transit. Biasana gaduh ratusan gigabit / terabit per detik. Kuring ngan teu bisa serius ngabayangkeun hal saperti nepi ka ayeuna.
- kombinasi kaayaan anu luar biasa untung: hardware kompléks anyar anu henteu dipercaya pisan sareng anu teu jelas naon anu diarepkeun - diasah ngan pikeun ngahalangan sumber daya, kalebet TCP RSTs
NOC bursa internét ieu ayeuna milarian masalah. Numutkeun aranjeunna (sareng kuring percanten ka aranjeunna), aranjeunna henteu ngagaduhan sistem panyaring anu dipasang khusus. Tapi, hatur nuhun ka langit, quest salajengna geus euweuh masalah urang 🙂
Ieu usaha leutik menerkeun, punten ngartos tur ngahampura 🙂
PS: Kuring ngahaja henteu namina produsén DPI / NAT atanapi IX (saleresna kuring henteu ngagaduhan keluhan khusus ngeunaan aranjeunna, anu utama nyaéta ngartos naon éta)
Realitas dinten ayeuna (sareng dinten kamari sareng dinten kamari) tina sudut pandang panyadia Internét
Kuring parantos nyéépkeun sababaraha minggu kamari ngawangun deui inti jaringan, ngalakukeun sakumpulan manipulasi langsung, kalayan résiko mangaruhan sacara signifikan lalu lintas pangguna langsung. Mertimbangkeun tujuan, hasil jeung konsékuansi tina sagala ieu, morally, sadayana ieu rada hese. Utamana - sakali deui ngadangukeun pidato geulis-hearted ngeunaan ngajaga stabilitas Runet, kadaulatan, jsb. teras salajengna.
Dina bagian ieu, kuring bakal nyobian nyaritakeun "évolusi" inti jaringan tina ISP has dina sapuluh taun katukang.
Sapuluh taun katukang.
Dina waktos anu rahayu éta, inti jaringan panyadia tiasa saderhana sareng dipercaya sapertos macét:
Dina gambar anu saderhana pisan ieu, henteu aya batang, cincin, rute ip / mpls.
Intina nyaéta yén lalu lintas pangguna antukna dugi ka peralihan tingkat inti - ti mana éta angkat , ti mana, sakumaha aturan, balik ka switching inti, lajeng "ka kaluar" - ngaliwatan hiji atawa leuwih gateway wates urang ka Internet.
Skéma sapertos kitu pisan, gampang pisan pikeun nyadangkeun duanana dina L3 (routing dinamis) sareng L2 (MPLS).
Anjeun tiasa nempatkeun N + 1 nanaon: aksés server, saklar, wates - sarta salah sahiji atawa cara séjén cadangan aranjeunna pikeun failover otomatis.
Sanggeus sababaraha taun eta janten jelas ka dulur di Rusia nu teu mungkin hirup kawas kieu deui: éta urgent ngajaga barudak tina pangaruh pernicious jaringan.
Aya kabutuhan urgent pikeun manggihan cara pikeun nyaring lalulintas pamaké.
Aya pendekatan anu béda di dieu.
Dina kasus anu henteu saé, aya anu nempatkeun "dina kontéks": antara lalu lintas pangguna sareng Internét. Lalu lintas anu ngalangkungan "hal" ieu dianalisis sareng, contona, pakét palsu kalayan alihan dikirim ka palanggan.
Dina kasus anu rada hadé - upami volume lalu lintas ngamungkinkeun - anjeun tiasa ngadamel sakedik ku ceuli anjeun: kirimkeun pikeun nyaring ngan ukur lalu lintas anu kaluar ti pangguna ngan ka alamat anu kedah disaring (kanggo ieu, anjeun tiasa nyandak alamat IP anu ditangtukeun. aya ti pendaptaran, atawa tambahan ngabéréskeun nu aya dina pendaptaran domain).
Dina hiji waktu, pikeun tujuan ieu, kuring nulis basajan - sanajan basana teu wani nyebut kitu. Hal ieu kacida basajan tur teu pisan produktif - kumaha oge, eta diwenangkeun urang jeung puluhan (lamun teu ratusan) panyadia séjén teu geuwat iklas kaluar jutaan dina sistem DPI industri, tapi masihan sababaraha taun tambahan waktu.
Ku jalan kitu, ngeunaan DPI harita sareng ayeunaKu jalan kitu, seueur anu ngagaleuh sistem DPI anu sayogi dina waktos éta di pasar parantos ngalungkeunana. Nya, aranjeunna henteu diasah pikeun ieu: ratusan rébu alamat, puluhan rébu URL.
Sareng dina waktos anu sami, produsén domestik parantos naék pisan dina pasar ieu. Kuring teu ngawangkong ngeunaan komponén hardware - sagalana jelas ka dulur, tapi software - hal utama anu aya dina DPI - sugan kiwari, lamun teu paling canggih di dunya, lajeng pasti a) ngembang ku leaps na bounds, sarta b) dina harga kotak - ngan incomparable kalawan pesaing asing.
Abdi hoyong reueus, tapi rada sedih =)
Ayeuna sadayana katingali sapertos kieu:
Sababaraha taun deui ti harita dulur geus boga auditors; sumberdaya di pendaptaran janten beuki loba. Kanggo sababaraha alat lami (contona, cisco 7600), skéma "nyaring samping" ngan saukur teu tiasa dianggo: jumlah rute dina 76 platform dugi ka sakitar salapan ratus rébu, sedengkeun jumlah rute ngan ukur IPv4 ayeuna parantos ngadeukeutan. 800 rébu. Sareng upami ogé ipv6 ... Sareng ogé ... sabaraha aya? 900000 alamat misah di rkn mandi? =)
Batur switched ka skéma kalawan mirroring sadaya lalulintas tulang tonggong ka server nyaring, nu kedah nganalisis sakabéh stream na, upami hal goréng kapanggih, ngirim RST dina duanana arah (pangirim jeung panarima).
Sanajan kitu, beuki lalulintas, nu kirang lumaku skéma misalna hiji. Dina reureuh slightest dina ngolah, lalulintas mirrored saukur bakal ngapung ku unnoticed, sarta panyadia bakal nampa hiji protokol pinalti.
Beuki seueur panyadia kapaksa nempatkeun sistem DPI anu béda-béda tingkat reliabilitas dina konteks jalan raya.
Sataun atawa dua taun katukang Numutkeun rumor, ampir kabéh FSB mimiti merlukeun instalasi nyata pakakas (saméméhna, lolobana panyadia junun kalawan koordinasi jeung otoritas rencana SORM - rencana ukuran operasional upami anjeun kedah mendakan hiji tempat)
Salian duit (teu jadi langsung pancen transcendental, tapi masih jutaan), SORM nungtut ti loba manipulasi hareup jeung jaringan.
- SORM kedah ningali alamat "abu" pangguna, sateuacan nat-translation
- SORM ngabogaan sajumlah kawates interfaces jaringan
Ku alatan éta, urang, hususna, kapaksa ngawangun deui sapotong badag tina kernel - ngan pikeun ngumpulkeun lalulintas pamaké pikeun ngakses server wae di hiji tempat. Dina raraga eunteung dina SORM kalawan sababaraha tumbu.
Nyaéta, saderhana pisan, éta (di kénca) vs janten (di katuhu):
ayeuna paling panyadia ogé diperlukeun pikeun nerapkeun SORM-3 - nu ngawengku, diantara hal séjén, logging tina siaran nat.
Pikeun tujuan ieu, urang kedah nambihan alat anu misah pikeun NAT kana diagram di luhur (ngan hiji anu dibahas dina bagian kahiji). Sareng tambihan dina urutan anu tangtu: saprak SORM kedah "tingali" lalu lintas sateuacan tarjamahan alamat, lalu lintas kedah leres-leres sapertos kieu: pangguna -> switching, inti -> aksés server -> SORM -> NAT -> switching, inti -> Internét. Jang ngalampahkeun ieu, urang kedah sacara harfiah "ngahurungkeun" lalu lintas ngalir ka arah anu sanés pikeun kauntungan, anu ogé sesah.
Kasimpulanna: langkung ti dasawarsa, skéma inti panyadia rata-rata janten langkung pajeulit, sareng titik gagal tambahan (duanana dina bentuk alat sareng dina bentuk jalur saklar tunggal) parantos ningkat sacara signifikan. Sabenerna, dina diri sarat pikeun "ningali sagalana" ngakibatkeun ngurangan ieu "sagalana" ka hiji titik.
Sigana mah ieu bisa rada transparan extrapolated kana inisiatif ayeuna keur sovereignization tina Runet, panyalindungan na, stabilisasi jeung perbaikan 🙂
Sareng payuneun Yarovaya.
sumber: www.habr.com