నేను ఈ రోజు ప్రొవైడర్తో సంతోషించాను. సైట్ బ్లాకింగ్ సిస్టమ్ యొక్క నవీకరణతో పాటు, అతని mailer mail.ru నిషేధించబడింది, నేను ఉదయం నుండి సాంకేతిక మద్దతుకు కాల్ చేస్తున్నాను, కానీ వారు ఏమీ చేయలేరు. ప్రొవైడర్ చిన్నది మరియు స్పష్టంగా ఉన్నత స్థాయి ప్రొవైడర్లు దానిని బ్లాక్ చేస్తారు. అన్ని సైట్ల ఓపెనింగ్లో మందగమనాన్ని కూడా నేను గమనించాను, బహుశా వారు ఒకరకమైన వంకర DLPని ఇన్స్టాల్ చేసి ఉండవచ్చు? ఇంతకు ముందు యాక్సెస్లో ఎలాంటి సమస్యలు లేవు. RuNet విధ్వంసం నా కళ్ల ముందే జరుగుతోంది...
వాస్తవం ఏమిటంటే మేము అదే ప్రొవైడర్ అని అనిపిస్తుంది :)
మరియు నిజానికి, కాలేమాన్ mail.ru తో సమస్యల కారణాన్ని నేను దాదాపుగా ఊహించాను (మేము చాలా కాలం పాటు అలాంటి విషయాన్ని విశ్వసించడానికి నిరాకరించినప్పటికీ).
కిందివి రెండు భాగాలుగా విభజించబడతాయి:
mail.ruతో మా ప్రస్తుత సమస్యలకు కారణాలు మరియు వాటిని కనుగొనడానికి ఉత్తేజకరమైన అన్వేషణ
నేటి వాస్తవాలలో ISP ఉనికి, సార్వభౌమ RuNet యొక్క స్థిరత్వం.
mail.ruతో ప్రాప్యత సమస్యలు
ఓహ్, ఇది చాలా పెద్ద కథ.
వాస్తవం ఏమిటంటే, రాష్ట్ర అవసరాలను అమలు చేయడానికి (రెండవ భాగంలో మరిన్ని వివరాలు), మేము కొన్ని పరికరాలను కొనుగోలు చేసాము, కాన్ఫిగర్ చేసాము మరియు వ్యవస్థాపించాము - నిషేధించబడిన వనరులను ఫిల్టర్ చేయడానికి మరియు అమలు చేయడానికి. NAT అనువాదాలు చందాదారులు.
కొంత సమయం క్రితం, మేము చివరకు నెట్వర్క్ కోర్ను పునర్నిర్మించాము, అందరు సబ్స్క్రైబర్ ట్రాఫిక్ ఈ పరికరాన్ని సరైన దిశలో ఖచ్చితంగా పాస్ చేసే విధంగా.
కొన్ని రోజుల క్రితం మేము దానిపై నిషేధించబడిన ఫిల్టరింగ్ని ఆన్ చేసాము (పాత సిస్టమ్ పని చేస్తున్నప్పుడు) - ప్రతిదీ సరిగ్గా జరిగినట్లు అనిపించింది.
తరువాత, వారు క్రమంగా చందాదారుల యొక్క వివిధ భాగాల కోసం ఈ పరికరాలపై NATని ప్రారంభించడం ప్రారంభించారు. చూస్తుంటే అంతా బాగానే అనిపించింది.
కానీ ఈ రోజు, చందాదారుల తదుపరి భాగం కోసం పరికరాలపై NATని ప్రారంభించినందున, ఉదయం నుండి మేము లభ్యత లేదా పాక్షిక లభ్యత గురించి తగిన సంఖ్యలో ఫిర్యాదులను ఎదుర్కొన్నాము. mail.ru మరియు ఇతర Mail Ru గ్రూప్ వనరులు.
వారు తనిఖీ చేయడం ప్రారంభించారు: ఎక్కడో ఏదో కొన్నిసార్లు, అప్పుడప్పుడు పంపుతుంది TCP RST mail.ru నెట్వర్క్లకు ప్రత్యేకంగా అభ్యర్థనలకు ప్రతిస్పందనగా. అంతేకాకుండా, ఇది తప్పుగా రూపొందించబడిన (ACK లేకుండా), స్పష్టంగా కృత్రిమ TCP RSTని పంపుతుంది. ఇది ఇలా కనిపించింది:
సహజంగానే, మొదటి ఆలోచనలు కొత్త పరికరాల గురించి ఉన్నాయి: భయంకరమైన DPI, దానిపై నమ్మకం లేదు, అది ఏమి చేయగలదో మీకు ఎప్పటికీ తెలియదు - అన్నింటికంటే, నిరోధించే సాధనాలలో TCP RST అనేది చాలా సాధారణ విషయం.
అజంప్షన్ కాలేమాన్ ఎవరైనా "ఉన్నతమైనది" ఫిల్టర్ చేస్తున్నారనే ఆలోచనను కూడా మేము ముందుకు తెచ్చాము, కానీ వెంటనే దాన్ని విస్మరించాము.
ముందుగా, మనకు తగినంత సేన్ అప్లింక్లు ఉన్నాయి కాబట్టి మనం ఇలా బాధపడాల్సిన అవసరం లేదు :)
రెండవది, మేము అనేక వాటికి కనెక్ట్ అయ్యాము IX మాస్కోలో, మరియు mail.ruకి ట్రాఫిక్ వాటి గుండా వెళుతుంది - మరియు ట్రాఫిక్ను ఫిల్టర్ చేయడానికి వారికి బాధ్యతలు లేదా ఇతర ఉద్దేశాలు లేవు.
రోజులోని తరువాతి సగం సాధారణంగా షమానిజం అని పిలవబడే వాటిపై గడిపారు - పరికరాల విక్రేతతో కలిసి, మేము వారికి ధన్యవాదాలు తెలియజేస్తున్నాము, వారు వదులుకోలేదు :)
వడపోత పూర్తిగా నిలిపివేయబడింది
కొత్త పథకాన్ని ఉపయోగించి NAT నిలిపివేయబడింది
పరీక్ష PC ప్రత్యేక వివిక్త పూల్లో ఉంచబడింది
IP చిరునామా మార్చబడింది
మధ్యాహ్నం, సాధారణ వినియోగదారు పథకం ప్రకారం నెట్వర్క్కు కనెక్ట్ చేయబడిన వర్చువల్ మెషీన్ కేటాయించబడింది మరియు విక్రేత యొక్క ప్రతినిధులకు దానికి మరియు పరికరాలకు ప్రాప్యత ఇవ్వబడింది. షమానిజం కొనసాగింది :)
చివరికి, విక్రేత యొక్క ప్రతినిధి నమ్మకంగా హార్డ్వేర్కు దానితో ఎటువంటి సంబంధం లేదని పేర్కొన్నాడు: RSTలు ఎక్కడో ఉన్నత స్థాయి నుండి వచ్చాయి.
వ్యాఖ్యఈ సమయంలో, ఎవరైనా ఇలా చెప్పవచ్చు: కానీ పరీక్ష PC నుండి కాకుండా DPI పైన ఉన్న హైవే నుండి డంప్ తీసుకోవడం చాలా సులభం?
లేదు, దురదృష్టవశాత్తూ, 40+gbps డంప్ తీసుకోవడం (మరియు కేవలం మిర్రరింగ్ కూడా) ఏమాత్రం సామాన్యమైనది కాదు.
దీని తరువాత, సాయంత్రం, పైన ఎక్కడో విచిత్రమైన వడపోత ఊహకు తిరిగి రావడం తప్ప ఏమీ లేదు.
MRG నెట్వర్క్లకు ట్రాఫిక్ ఇప్పుడు ఏ IX గుండా వెళుతుందో నేను చూసాను మరియు దానికి bgp సెషన్లను రద్దు చేసాను. మరియు - ఇదిగో! - ప్రతిదీ వెంటనే సాధారణ స్థితికి వచ్చింది 🙁
ఒకవైపు, ఐదు నిమిషాల్లో సమస్యను పరిష్కరించినప్పటికీ, రోజంతా వెతకడం సిగ్గుచేటు.
మరోవైపు:
- నా జ్ఞాపకార్థం ఇది అపూర్వమైన విషయం. నేను ఇప్పటికే పైన వ్రాసినట్లు - IX నిజంగా రవాణా ట్రాఫిక్ను ఫిల్టర్ చేయడంలో అర్థం లేదు. అవి సాధారణంగా సెకనుకు వందల గిగాబిట్లు/టెరాబిట్లను కలిగి ఉంటాయి. నేను ఇటీవల వరకు ఇలాంటిది తీవ్రంగా ఊహించలేకపోయాను.
- పరిస్థితుల యొక్క నమ్మశక్యం కాని అదృష్ట యాదృచ్చికం: ప్రత్యేకంగా విశ్వసించని కొత్త సంక్లిష్ట హార్డ్వేర్ మరియు దీని నుండి ఏమి ఆశించవచ్చో స్పష్టంగా తెలియదు - TCP RSTలతో సహా వనరులను నిరోధించడానికి ప్రత్యేకంగా రూపొందించబడింది.
ఈ ఇంటర్నెట్ ఎక్స్ఛేంజ్ యొక్క NOC ప్రస్తుతం సమస్య కోసం వెతుకుతోంది. వారి ప్రకారం (మరియు నేను వాటిని నమ్ముతాను), వారికి ప్రత్యేకంగా అమలు చేయబడిన వడపోత వ్యవస్థ లేదు. కానీ, స్వర్గానికి ధన్యవాదాలు, తదుపరి అన్వేషణ ఇకపై మా సమస్య కాదు :)
నన్ను నేను సమర్థించుకోవడానికి ఇది ఒక చిన్న ప్రయత్నం, దయచేసి అర్థం చేసుకోండి మరియు క్షమించండి :)
PS: నేను ఉద్దేశపూర్వకంగా DPI/NAT లేదా IX తయారీదారుని పేరు పెట్టను (వాస్తవానికి, వాటి గురించి నాకు ప్రత్యేక ఫిర్యాదులు కూడా లేవు, ప్రధాన విషయం ఏమిటంటే అది ఏమిటో అర్థం చేసుకోవడం)
ఇంటర్నెట్ ప్రొవైడర్ కోణం నుండి నేటి (అలాగే నిన్నటి మరియు నిన్నటి ముందు రోజు) వాస్తవికత
నేను గత వారాలుగా నెట్వర్క్ యొక్క ప్రధాన భాగాన్ని గణనీయంగా పునర్నిర్మించాను, ప్రత్యక్ష వినియోగదారు ట్రాఫిక్ను గణనీయంగా ప్రభావితం చేసే ప్రమాదంతో "లాభం కోసం" మానిప్యులేషన్ల సమూహాన్ని ప్రదర్శించాను. వీటన్నింటి యొక్క లక్ష్యాలు, ఫలితాలు మరియు పరిణామాలను పరిశీలిస్తే, నైతికంగా ఇదంతా చాలా కష్టం. ముఖ్యంగా - రూనెట్ యొక్క స్థిరత్వం, సార్వభౌమాధికారం మొదలైనవాటిని రక్షించడం గురించి మరోసారి అందమైన ప్రసంగాలను వినడం. మరియు అందువలన న.
ఈ విభాగంలో, నేను గత పది సంవత్సరాలలో ఒక సాధారణ ISP యొక్క నెట్వర్క్ కోర్ యొక్క "పరిణామం" గురించి వివరించడానికి ప్రయత్నిస్తాను.
పది సంవత్సరాల క్రితం.
ఆ ఆశీర్వాద సమయాల్లో, ప్రొవైడర్ నెట్వర్క్ యొక్క కోర్ ట్రాఫిక్ జామ్ వలె సరళంగా మరియు నమ్మదగినదిగా ఉంటుంది:
చాలా చాలా సరళీకృతమైన ఈ చిత్రంలో, ట్రంక్లు, రింగ్లు, ip/mpls రూటింగ్ లేవు.
దీని సారాంశం ఏమిటంటే, వినియోగదారు ట్రాఫిక్ చివరికి కెర్నల్ స్థాయి మార్పిడికి వచ్చింది - అది ఎక్కడ నుండి వెళ్ళింది బిఎన్జి, ఎక్కడ నుండి, ఒక నియమం వలె, ఇది కోర్ స్విచింగ్కు తిరిగి వెళ్లి, ఆపై “నిష్క్రమణకు” - ఇంటర్నెట్కు ఒకటి లేదా అంతకంటే ఎక్కువ సరిహద్దు గేట్వేల ద్వారా.
ఇటువంటి పథకం L3 (డైనమిక్ రూటింగ్) మరియు L2 (MPLS) రెండింటిలోనూ రిజర్వ్ చేయడం చాలా సులభం.
మీరు ఏదైనా N+1ని ఇన్స్టాల్ చేయవచ్చు: యాక్సెస్ సర్వర్లు, స్విచ్లు, సరిహద్దులు - మరియు ఒక మార్గం లేదా మరొకటి వాటిని ఆటోమేటిక్ ఫెయిల్ఓవర్ కోసం రిజర్వ్ చేయండి.
కొన్ని సంవత్సరాల తర్వాత ఇకపై ఇలా జీవించడం అసాధ్యం అని రష్యాలోని ప్రతి ఒక్కరికీ స్పష్టమైంది: ఇంటర్నెట్ యొక్క హానికరమైన ప్రభావం నుండి పిల్లలను రక్షించడం అత్యవసరం.
వినియోగదారు ట్రాఫిక్ను ఫిల్టర్ చేయడానికి మార్గాలను కనుగొనడం అత్యవసరం.
ఇక్కడ విభిన్న విధానాలు ఉన్నాయి.
చాలా మంచి సందర్భంలో, ఏదైనా "గ్యాప్లో" ఉంచబడుతుంది: వినియోగదారు ట్రాఫిక్ మరియు ఇంటర్నెట్ మధ్య. ఈ "ఏదో" గుండా వెళుతున్న ట్రాఫిక్ విశ్లేషించబడుతుంది మరియు ఉదాహరణకు, దారిమార్పుతో కూడిన నకిలీ ప్యాకెట్ చందాదారుల వైపుకు పంపబడుతుంది.
కొంచెం మెరుగైన సందర్భంలో - ట్రాఫిక్ వాల్యూమ్లు అనుమతించినట్లయితే - మీరు మీ చెవులతో ఒక చిన్న ఉపాయం చేయవచ్చు: వినియోగదారుల నుండి వచ్చే ట్రాఫిక్ను మాత్రమే ఫిల్టర్ చేయవలసిన చిరునామాలకు మాత్రమే ఫిల్టర్ చేయడానికి పంపండి (దీని కోసం, మీరు IP చిరునామాలను తీసుకోవచ్చు. రిజిస్ట్రీ నుండి అక్కడ పేర్కొనబడింది లేదా అదనంగా రిజిస్ట్రీలో ఇప్పటికే ఉన్న డొమైన్లను పరిష్కరించండి).
ఒక సమయంలో, ఈ ప్రయోజనాల కోసం, నేను సరళంగా వ్రాసాను మినీ dpi - నేను అతనిని అలా పిలవడానికి కూడా ధైర్యం చేయనప్పటికీ. ఇది చాలా సరళమైనది మరియు చాలా ఉత్పాదకమైనది కాదు - అయినప్పటికీ, ఇది మాకు మరియు డజన్ల కొద్దీ (వందలాది మంది కాకపోయినా) ఇతర ప్రొవైడర్లను పారిశ్రామిక DPI సిస్టమ్లపై వెంటనే మిలియన్ల కొద్దీ ఖర్చు చేయకుండా అనుమతించింది, కానీ అనేక అదనపు సంవత్సరాల సమయాన్ని ఇచ్చింది.
మార్గం ద్వారా, అప్పటి మరియు ప్రస్తుత DPI గురించిమార్గం ద్వారా, ఆ సమయంలో మార్కెట్లో అందుబాటులో ఉన్న DPI వ్యవస్థలను కొనుగోలు చేసిన చాలా మంది ఇప్పటికే వాటిని విసిరివేసారు. సరే, అవి దీని కోసం రూపొందించబడలేదు: వందల వేల చిరునామాలు, పదివేల URLలు.
మరియు అదే సమయంలో, దేశీయ నిర్మాతలు ఈ మార్కెట్కు చాలా బలంగా పెరిగారు. నేను హార్డ్వేర్ కాంపోనెంట్ గురించి మాట్లాడటం లేదు - ఇక్కడ ప్రతి ఒక్కరికీ ప్రతిదీ స్పష్టంగా ఉంది, కానీ సాఫ్ట్వేర్ - DPI కలిగి ఉన్న ప్రధాన విషయం - బహుశా ఈ రోజు, ప్రపంచంలో అత్యంత అధునాతనమైనది కాకపోతే, ఖచ్చితంగా ఎ) వేగంగా అభివృద్ధి చెందుతుంది, మరియు బి) బాక్స్డ్ ఉత్పత్తి ధర వద్ద - విదేశీ పోటీదారులతో సాటిలేనిది.
నేను గర్వపడాలనుకుంటున్నాను, కానీ కొంచెం విచారంగా ఉంటుంది =)
ఇప్పుడు ప్రతిదీ ఇలా కనిపించింది:
ఇంకో రెండేళ్ళలో ప్రతి ఒక్కరికి ఇప్పటికే ఆడిటర్లు ఉన్నారు; రిజిస్ట్రీలో మరిన్ని వనరులు ఉన్నాయి. కొన్ని పాత పరికరాలకు (ఉదాహరణకు, సిస్కో 7600), “సైడ్-ఫిల్టరింగ్” పథకం వర్తించదు: 76 ప్లాట్ఫారమ్లలో రూట్ల సంఖ్య తొమ్మిది లక్షలకు పరిమితం చేయబడింది, అయితే ఈ రోజు IPv4 మార్గాల సంఖ్య మాత్రమే 800కి చేరుకుంటుంది. వెయ్యి. మరియు అది కూడా ipv6 అయితే... ఇంకా... ఎంత ఉంది? RKN నిషేధంలో 900000 వ్యక్తిగత చిరునామాలు ఉన్నాయా? =)
ఎవరైనా ఫిల్టరింగ్ సర్వర్కి బ్యాక్బోన్ ట్రాఫిక్ని ప్రతిబింబించే స్కీమ్కి మారారు, ఇది మొత్తం ప్రవాహాన్ని విశ్లేషించి, ఏదైనా చెడు కనుగొనబడితే, RSTని రెండు దిశలలో (పంపినవారు మరియు గ్రహీత) పంపాలి.
అయితే, ఎక్కువ ట్రాఫిక్, ఈ పథకం తక్కువగా వర్తిస్తుంది. ప్రాసెసింగ్లో స్వల్పంగా జాప్యం జరిగినట్లయితే, మిర్రర్డ్ ట్రాఫిక్ గుర్తించబడకుండా ఎగురుతుంది మరియు ప్రొవైడర్ చక్కటి నివేదికను అందుకుంటారు.
ఎక్కువ మంది ప్రొవైడర్లు హైవేలలో వివిధ స్థాయిల విశ్వసనీయత కలిగిన DPI సిస్టమ్లను ఇన్స్టాల్ చేయవలసి వస్తుంది.
ఒక సంవత్సరం లేదా రెండు సంవత్సరాల క్రితం పుకార్ల ప్రకారం, దాదాపు అన్ని FSB పరికరాల యొక్క వాస్తవ సంస్థాపనను డిమాండ్ చేయడం ప్రారంభించింది SORM (గతంలో, చాలా మంది ప్రొవైడర్లు అధికారుల ఆమోదంతో నిర్వహించేవారు SORM ప్లాన్ - ఎక్కడా ఏదైనా కనుగొనవలసి వచ్చినప్పుడు కార్యాచరణ చర్యల ప్రణాళిక)
డబ్బుతో పాటు (ఖచ్చితంగా అధికం కాదు, కానీ ఇప్పటికీ మిలియన్లు), SORMకి నెట్వర్క్తో మరిన్ని అవకతవకలు అవసరం.
నాట్ అనువాదానికి ముందు SORM "బూడిద" వినియోగదారు చిరునామాలను చూడాలి
SORM పరిమిత సంఖ్యలో నెట్వర్క్ ఇంటర్ఫేస్లను కలిగి ఉంది
అందువల్ల, ప్రత్యేకంగా, మేము కెర్నల్ యొక్క భాగాన్ని గొప్పగా పునర్నిర్మించవలసి వచ్చింది - కేవలం ఎక్కడో ఒక చోట యాక్సెస్ సర్వర్లకు వినియోగదారు ట్రాఫిక్ను సేకరించడానికి. అనేక లింక్లతో SORMలో ప్రతిబింబించేలా.
అంటే, చాలా సరళీకృతం చేయబడింది, ఇది (ఎడమ) vs మారింది (కుడి):
ప్రస్తుతం చాలా మంది ప్రొవైడర్లకు SORM-3 అమలు అవసరం - ఇది ఇతర విషయాలతోపాటు, నాట్ ప్రసారాల లాగింగ్ను కలిగి ఉంటుంది.
ఈ ప్రయోజనాల కోసం, మేము పైన ఉన్న రేఖాచిత్రానికి NAT కోసం ప్రత్యేక పరికరాలను కూడా జోడించాలి (సరిగ్గా మొదటి భాగంలో చర్చించబడినది). అంతేకాకుండా, ఒక నిర్దిష్ట క్రమంలో జోడించండి: చిరునామాలను అనువదించే ముందు SORM తప్పనిసరిగా ట్రాఫిక్ను “చూడాలి” కాబట్టి, ట్రాఫిక్ ఖచ్చితంగా ఈ క్రింది విధంగా వెళ్లాలి: వినియోగదారులు -> మారడం, కెర్నల్ -> యాక్సెస్ సర్వర్లు -> SORM -> NAT -> స్విచింగ్, కెర్నల్ - > ఇంటర్నెట్. దీన్ని చేయడానికి, మేము లాభం కోసం ఇతర దిశలో ట్రాఫిక్ ప్రవాహాలను అక్షరాలా "మలుపు" చేయాల్సి వచ్చింది, ఇది కూడా చాలా కష్టం.
మొత్తం: గత పది సంవత్సరాలలో, సగటు ప్రొవైడర్ యొక్క ప్రధాన రూపకల్పన గణనీయంగా మరింత క్లిష్టంగా మారింది మరియు వైఫల్యం యొక్క అదనపు పాయింట్లు (పరికరాల రూపంలో మరియు సింగిల్ స్విచింగ్ లైన్ల రూపంలో) గణనీయంగా పెరిగాయి. వాస్తవానికి, "ప్రతిదీ చూడటం" అనే ఆవశ్యకత ఈ "ప్రతిదీ" ఒక పాయింట్కి తగ్గించడాన్ని సూచిస్తుంది.
రూనెట్ను సార్వభౌమాధికారం చేయడానికి, దానిని రక్షించడానికి, స్థిరీకరించడానికి మరియు మెరుగుపరచడానికి ప్రస్తుత కార్యక్రమాలకు ఇది చాలా పారదర్శకంగా వివరించబడుతుందని నేను భావిస్తున్నాను :)