వ్యాఖ్యకు వివరణాత్మక ప్రతిస్పందన, అలాగే రష్యన్ ఫెడరేషన్‌లోని ప్రొవైడర్ల జీవితం గురించి కొంచెం

నన్ను ఈ పోస్ట్‌కి ప్రేరేపించింది ఇది వ్యాఖ్య.

నేను ఇక్కడ కోట్ చేస్తున్నాను:

కాలేమాన్ ఈరోజు 18:53కి

నేను ఈ రోజు ప్రొవైడర్‌తో సంతోషించాను. సైట్ బ్లాకింగ్ సిస్టమ్ యొక్క నవీకరణతో పాటు, అతని mailer mail.ru నిషేధించబడింది, నేను ఉదయం నుండి సాంకేతిక మద్దతుకు కాల్ చేస్తున్నాను, కానీ వారు ఏమీ చేయలేరు. ప్రొవైడర్ చిన్నది మరియు స్పష్టంగా ఉన్నత స్థాయి ప్రొవైడర్లు దానిని బ్లాక్ చేస్తారు. అన్ని సైట్‌ల ఓపెనింగ్‌లో మందగమనాన్ని కూడా నేను గమనించాను, బహుశా వారు ఒకరకమైన వంకర DLPని ఇన్‌స్టాల్ చేసి ఉండవచ్చు? ఇంతకు ముందు యాక్సెస్‌లో ఎలాంటి సమస్యలు లేవు. RuNet విధ్వంసం నా కళ్ల ముందే జరుగుతోంది...

వాస్తవం ఏమిటంటే మేము అదే ప్రొవైడర్ అని అనిపిస్తుంది :)

మరియు నిజానికి, కాలేమాన్ mail.ru తో సమస్యల కారణాన్ని నేను దాదాపుగా ఊహించాను (మేము చాలా కాలం పాటు అలాంటి విషయాన్ని విశ్వసించడానికి నిరాకరించినప్పటికీ).

కిందివి రెండు భాగాలుగా విభజించబడతాయి:

1. mail.ruతో మా ప్రస్తుత సమస్యలకు కారణాలు మరియు వాటిని కనుగొనడానికి ఉత్తేజకరమైన అన్వేషణ
2. నేటి వాస్తవాలలో ISP ఉనికి, సార్వభౌమ RuNet యొక్క స్థిరత్వం.

mail.ruతో ప్రాప్యత సమస్యలు

ఓహ్, ఇది చాలా పెద్ద కథ.

వాస్తవం ఏమిటంటే, రాష్ట్ర అవసరాలను అమలు చేయడానికి (రెండవ భాగంలో మరిన్ని వివరాలు), మేము కొన్ని పరికరాలను కొనుగోలు చేసాము, కాన్ఫిగర్ చేసాము మరియు వ్యవస్థాపించాము - నిషేధించబడిన వనరులను ఫిల్టర్ చేయడానికి మరియు అమలు చేయడానికి. NAT అనువాదాలు చందాదారులు.

కొంత సమయం క్రితం, మేము చివరకు నెట్‌వర్క్ కోర్‌ను పునర్నిర్మించాము, అందరు సబ్‌స్క్రైబర్ ట్రాఫిక్ ఈ పరికరాన్ని సరైన దిశలో ఖచ్చితంగా పాస్ చేసే విధంగా.

కొన్ని రోజుల క్రితం మేము దానిపై నిషేధించబడిన ఫిల్టరింగ్‌ని ఆన్ చేసాము (పాత సిస్టమ్ పని చేస్తున్నప్పుడు) - ప్రతిదీ సరిగ్గా జరిగినట్లు అనిపించింది.

తరువాత, వారు క్రమంగా చందాదారుల యొక్క వివిధ భాగాల కోసం ఈ పరికరాలపై NATని ప్రారంభించడం ప్రారంభించారు. చూస్తుంటే అంతా బాగానే అనిపించింది.

కానీ ఈ రోజు, చందాదారుల తదుపరి భాగం కోసం పరికరాలపై NATని ప్రారంభించినందున, ఉదయం నుండి మేము లభ్యత లేదా పాక్షిక లభ్యత గురించి తగిన సంఖ్యలో ఫిర్యాదులను ఎదుర్కొన్నాము. mail.ru మరియు ఇతర Mail Ru గ్రూప్ వనరులు.

వారు తనిఖీ చేయడం ప్రారంభించారు: ఎక్కడో ఏదో కొన్నిసార్లు, అప్పుడప్పుడు పంపుతుంది TCP RST mail.ru నెట్‌వర్క్‌లకు ప్రత్యేకంగా అభ్యర్థనలకు ప్రతిస్పందనగా. అంతేకాకుండా, ఇది తప్పుగా రూపొందించబడిన (ACK లేకుండా), స్పష్టంగా కృత్రిమ TCP RSTని పంపుతుంది. ఇది ఇలా కనిపించింది:

సహజంగానే, మొదటి ఆలోచనలు కొత్త పరికరాల గురించి ఉన్నాయి: భయంకరమైన DPI, దానిపై నమ్మకం లేదు, అది ఏమి చేయగలదో మీకు ఎప్పటికీ తెలియదు - అన్నింటికంటే, నిరోధించే సాధనాలలో TCP RST అనేది చాలా సాధారణ విషయం.

అజంప్షన్ కాలేమాన్ ఎవరైనా "ఉన్నతమైనది" ఫిల్టర్ చేస్తున్నారనే ఆలోచనను కూడా మేము ముందుకు తెచ్చాము, కానీ వెంటనే దాన్ని విస్మరించాము.

ముందుగా, మనకు తగినంత సేన్ అప్‌లింక్‌లు ఉన్నాయి కాబట్టి మనం ఇలా బాధపడాల్సిన అవసరం లేదు :)

రెండవది, మేము అనేక వాటికి కనెక్ట్ అయ్యాము IX మాస్కోలో, మరియు mail.ruకి ట్రాఫిక్ వాటి గుండా వెళుతుంది - మరియు ట్రాఫిక్‌ను ఫిల్టర్ చేయడానికి వారికి బాధ్యతలు లేదా ఇతర ఉద్దేశాలు లేవు.

రోజులోని తరువాతి సగం సాధారణంగా షమానిజం అని పిలవబడే వాటిపై గడిపారు - పరికరాల విక్రేతతో కలిసి, మేము వారికి ధన్యవాదాలు తెలియజేస్తున్నాము, వారు వదులుకోలేదు :)

• వడపోత పూర్తిగా నిలిపివేయబడింది
• కొత్త పథకాన్ని ఉపయోగించి NAT నిలిపివేయబడింది
• పరీక్ష PC ప్రత్యేక వివిక్త పూల్‌లో ఉంచబడింది
• IP చిరునామా మార్చబడింది

మధ్యాహ్నం, సాధారణ వినియోగదారు పథకం ప్రకారం నెట్‌వర్క్‌కు కనెక్ట్ చేయబడిన వర్చువల్ మెషీన్ కేటాయించబడింది మరియు విక్రేత యొక్క ప్రతినిధులకు దానికి మరియు పరికరాలకు ప్రాప్యత ఇవ్వబడింది. షమానిజం కొనసాగింది :)

చివరికి, విక్రేత యొక్క ప్రతినిధి నమ్మకంగా హార్డ్‌వేర్‌కు దానితో ఎటువంటి సంబంధం లేదని పేర్కొన్నాడు: RSTలు ఎక్కడో ఉన్నత స్థాయి నుండి వచ్చాయి.

వ్యాఖ్యఈ సమయంలో, ఎవరైనా ఇలా చెప్పవచ్చు: కానీ పరీక్ష PC నుండి కాకుండా DPI పైన ఉన్న హైవే నుండి డంప్ తీసుకోవడం చాలా సులభం?

లేదు, దురదృష్టవశాత్తూ, 40+gbps డంప్ తీసుకోవడం (మరియు కేవలం మిర్రరింగ్ కూడా) ఏమాత్రం సామాన్యమైనది కాదు.

దీని తరువాత, సాయంత్రం, పైన ఎక్కడో విచిత్రమైన వడపోత ఊహకు తిరిగి రావడం తప్ప ఏమీ లేదు.

MRG నెట్‌వర్క్‌లకు ట్రాఫిక్ ఇప్పుడు ఏ IX గుండా వెళుతుందో నేను చూసాను మరియు దానికి bgp సెషన్‌లను రద్దు చేసాను. మరియు - ఇదిగో! - ప్రతిదీ వెంటనే సాధారణ స్థితికి వచ్చింది 🙁

ఒకవైపు, ఐదు నిమిషాల్లో సమస్యను పరిష్కరించినప్పటికీ, రోజంతా వెతకడం సిగ్గుచేటు.

మరోవైపు:

- నా జ్ఞాపకార్థం ఇది అపూర్వమైన విషయం. నేను ఇప్పటికే పైన వ్రాసినట్లు - IX నిజంగా రవాణా ట్రాఫిక్‌ను ఫిల్టర్ చేయడంలో అర్థం లేదు. అవి సాధారణంగా సెకనుకు వందల గిగాబిట్‌లు/టెరాబిట్‌లను కలిగి ఉంటాయి. నేను ఇటీవల వరకు ఇలాంటిది తీవ్రంగా ఊహించలేకపోయాను.

- పరిస్థితుల యొక్క నమ్మశక్యం కాని అదృష్ట యాదృచ్చికం: ప్రత్యేకంగా విశ్వసించని కొత్త సంక్లిష్ట హార్డ్‌వేర్ మరియు దీని నుండి ఏమి ఆశించవచ్చో స్పష్టంగా తెలియదు - TCP RSTలతో సహా వనరులను నిరోధించడానికి ప్రత్యేకంగా రూపొందించబడింది.

ఈ ఇంటర్నెట్ ఎక్స్ఛేంజ్ యొక్క NOC ప్రస్తుతం సమస్య కోసం వెతుకుతోంది. వారి ప్రకారం (మరియు నేను వాటిని నమ్ముతాను), వారికి ప్రత్యేకంగా అమలు చేయబడిన వడపోత వ్యవస్థ లేదు. కానీ, స్వర్గానికి ధన్యవాదాలు, తదుపరి అన్వేషణ ఇకపై మా సమస్య కాదు :)

నన్ను నేను సమర్థించుకోవడానికి ఇది ఒక చిన్న ప్రయత్నం, దయచేసి అర్థం చేసుకోండి మరియు క్షమించండి :)

PS: నేను ఉద్దేశపూర్వకంగా DPI/NAT లేదా IX తయారీదారుని పేరు పెట్టను (వాస్తవానికి, వాటి గురించి నాకు ప్రత్యేక ఫిర్యాదులు కూడా లేవు, ప్రధాన విషయం ఏమిటంటే అది ఏమిటో అర్థం చేసుకోవడం)

ఇంటర్నెట్ ప్రొవైడర్ కోణం నుండి నేటి (అలాగే నిన్నటి మరియు నిన్నటి ముందు రోజు) వాస్తవికత

నేను గత వారాలుగా నెట్‌వర్క్ యొక్క ప్రధాన భాగాన్ని గణనీయంగా పునర్నిర్మించాను, ప్రత్యక్ష వినియోగదారు ట్రాఫిక్‌ను గణనీయంగా ప్రభావితం చేసే ప్రమాదంతో "లాభం కోసం" మానిప్యులేషన్‌ల సమూహాన్ని ప్రదర్శించాను. వీటన్నింటి యొక్క లక్ష్యాలు, ఫలితాలు మరియు పరిణామాలను పరిశీలిస్తే, నైతికంగా ఇదంతా చాలా కష్టం. ముఖ్యంగా - రూనెట్ యొక్క స్థిరత్వం, సార్వభౌమాధికారం మొదలైనవాటిని రక్షించడం గురించి మరోసారి అందమైన ప్రసంగాలను వినడం. మరియు అందువలన న.

ఈ విభాగంలో, నేను గత పది సంవత్సరాలలో ఒక సాధారణ ISP యొక్క నెట్‌వర్క్ కోర్ యొక్క "పరిణామం" గురించి వివరించడానికి ప్రయత్నిస్తాను.

పది సంవత్సరాల క్రితం.

ఆ ఆశీర్వాద సమయాల్లో, ప్రొవైడర్ నెట్‌వర్క్ యొక్క కోర్ ట్రాఫిక్ జామ్ వలె సరళంగా మరియు నమ్మదగినదిగా ఉంటుంది:

చాలా చాలా సరళీకృతమైన ఈ చిత్రంలో, ట్రంక్‌లు, రింగ్‌లు, ip/mpls రూటింగ్ లేవు.

దీని సారాంశం ఏమిటంటే, వినియోగదారు ట్రాఫిక్ చివరికి కెర్నల్ స్థాయి మార్పిడికి వచ్చింది - అది ఎక్కడ నుండి వెళ్ళింది బిఎన్‌జి, ఎక్కడ నుండి, ఒక నియమం వలె, ఇది కోర్ స్విచింగ్‌కు తిరిగి వెళ్లి, ఆపై “నిష్క్రమణకు” - ఇంటర్నెట్‌కు ఒకటి లేదా అంతకంటే ఎక్కువ సరిహద్దు గేట్‌వేల ద్వారా.

ఇటువంటి పథకం L3 (డైనమిక్ రూటింగ్) మరియు L2 (MPLS) రెండింటిలోనూ రిజర్వ్ చేయడం చాలా సులభం.

మీరు ఏదైనా N+1ని ఇన్‌స్టాల్ చేయవచ్చు: యాక్సెస్ సర్వర్లు, స్విచ్‌లు, సరిహద్దులు - మరియు ఒక మార్గం లేదా మరొకటి వాటిని ఆటోమేటిక్ ఫెయిల్‌ఓవర్ కోసం రిజర్వ్ చేయండి.

కొన్ని సంవత్సరాల తర్వాత ఇకపై ఇలా జీవించడం అసాధ్యం అని రష్యాలోని ప్రతి ఒక్కరికీ స్పష్టమైంది: ఇంటర్నెట్ యొక్క హానికరమైన ప్రభావం నుండి పిల్లలను రక్షించడం అత్యవసరం.

వినియోగదారు ట్రాఫిక్‌ను ఫిల్టర్ చేయడానికి మార్గాలను కనుగొనడం అత్యవసరం.

ఇక్కడ విభిన్న విధానాలు ఉన్నాయి.

చాలా మంచి సందర్భంలో, ఏదైనా "గ్యాప్‌లో" ఉంచబడుతుంది: వినియోగదారు ట్రాఫిక్ మరియు ఇంటర్నెట్ మధ్య. ఈ "ఏదో" గుండా వెళుతున్న ట్రాఫిక్ విశ్లేషించబడుతుంది మరియు ఉదాహరణకు, దారిమార్పుతో కూడిన నకిలీ ప్యాకెట్ చందాదారుల వైపుకు పంపబడుతుంది.

కొంచెం మెరుగైన సందర్భంలో - ట్రాఫిక్ వాల్యూమ్‌లు అనుమతించినట్లయితే - మీరు మీ చెవులతో ఒక చిన్న ఉపాయం చేయవచ్చు: వినియోగదారుల నుండి వచ్చే ట్రాఫిక్‌ను మాత్రమే ఫిల్టర్ చేయవలసిన చిరునామాలకు మాత్రమే ఫిల్టర్ చేయడానికి పంపండి (దీని కోసం, మీరు IP చిరునామాలను తీసుకోవచ్చు. రిజిస్ట్రీ నుండి అక్కడ పేర్కొనబడింది లేదా అదనంగా రిజిస్ట్రీలో ఇప్పటికే ఉన్న డొమైన్‌లను పరిష్కరించండి).

ఒక సమయంలో, ఈ ప్రయోజనాల కోసం, నేను సరళంగా వ్రాసాను మినీ dpi - నేను అతనిని అలా పిలవడానికి కూడా ధైర్యం చేయనప్పటికీ. ఇది చాలా సరళమైనది మరియు చాలా ఉత్పాదకమైనది కాదు - అయినప్పటికీ, ఇది మాకు మరియు డజన్ల కొద్దీ (వందలాది మంది కాకపోయినా) ఇతర ప్రొవైడర్‌లను పారిశ్రామిక DPI సిస్టమ్‌లపై వెంటనే మిలియన్ల కొద్దీ ఖర్చు చేయకుండా అనుమతించింది, కానీ అనేక అదనపు సంవత్సరాల సమయాన్ని ఇచ్చింది.

మార్గం ద్వారా, అప్పటి మరియు ప్రస్తుత DPI గురించిమార్గం ద్వారా, ఆ సమయంలో మార్కెట్లో అందుబాటులో ఉన్న DPI వ్యవస్థలను కొనుగోలు చేసిన చాలా మంది ఇప్పటికే వాటిని విసిరివేసారు. సరే, అవి దీని కోసం రూపొందించబడలేదు: వందల వేల చిరునామాలు, పదివేల URLలు.

మరియు అదే సమయంలో, దేశీయ నిర్మాతలు ఈ మార్కెట్‌కు చాలా బలంగా పెరిగారు. నేను హార్డ్‌వేర్ కాంపోనెంట్ గురించి మాట్లాడటం లేదు - ఇక్కడ ప్రతి ఒక్కరికీ ప్రతిదీ స్పష్టంగా ఉంది, కానీ సాఫ్ట్‌వేర్ - DPI కలిగి ఉన్న ప్రధాన విషయం - బహుశా ఈ రోజు, ప్రపంచంలో అత్యంత అధునాతనమైనది కాకపోతే, ఖచ్చితంగా ఎ) వేగంగా అభివృద్ధి చెందుతుంది, మరియు బి) బాక్స్డ్ ఉత్పత్తి ధర వద్ద - విదేశీ పోటీదారులతో సాటిలేనిది.

నేను గర్వపడాలనుకుంటున్నాను, కానీ కొంచెం విచారంగా ఉంటుంది =)

ఇప్పుడు ప్రతిదీ ఇలా కనిపించింది:

ఇంకో రెండేళ్ళలో ప్రతి ఒక్కరికి ఇప్పటికే ఆడిటర్లు ఉన్నారు; రిజిస్ట్రీలో మరిన్ని వనరులు ఉన్నాయి. కొన్ని పాత పరికరాలకు (ఉదాహరణకు, సిస్కో 7600), “సైడ్-ఫిల్టరింగ్” పథకం వర్తించదు: 76 ప్లాట్‌ఫారమ్‌లలో రూట్‌ల సంఖ్య తొమ్మిది లక్షలకు పరిమితం చేయబడింది, అయితే ఈ రోజు IPv4 మార్గాల సంఖ్య మాత్రమే 800కి చేరుకుంటుంది. వెయ్యి. మరియు అది కూడా ipv6 అయితే... ఇంకా... ఎంత ఉంది? RKN నిషేధంలో 900000 వ్యక్తిగత చిరునామాలు ఉన్నాయా? =)

ఎవరైనా ఫిల్టరింగ్ సర్వర్‌కి బ్యాక్‌బోన్ ట్రాఫిక్‌ని ప్రతిబింబించే స్కీమ్‌కి మారారు, ఇది మొత్తం ప్రవాహాన్ని విశ్లేషించి, ఏదైనా చెడు కనుగొనబడితే, RSTని రెండు దిశలలో (పంపినవారు మరియు గ్రహీత) పంపాలి.

అయితే, ఎక్కువ ట్రాఫిక్, ఈ పథకం తక్కువగా వర్తిస్తుంది. ప్రాసెసింగ్‌లో స్వల్పంగా జాప్యం జరిగినట్లయితే, మిర్రర్డ్ ట్రాఫిక్ గుర్తించబడకుండా ఎగురుతుంది మరియు ప్రొవైడర్ చక్కటి నివేదికను అందుకుంటారు.

ఎక్కువ మంది ప్రొవైడర్లు హైవేలలో వివిధ స్థాయిల విశ్వసనీయత కలిగిన DPI సిస్టమ్‌లను ఇన్‌స్టాల్ చేయవలసి వస్తుంది.

ఒక సంవత్సరం లేదా రెండు సంవత్సరాల క్రితం పుకార్ల ప్రకారం, దాదాపు అన్ని FSB పరికరాల యొక్క వాస్తవ సంస్థాపనను డిమాండ్ చేయడం ప్రారంభించింది SORM (గతంలో, చాలా మంది ప్రొవైడర్లు అధికారుల ఆమోదంతో నిర్వహించేవారు SORM ప్లాన్ - ఎక్కడా ఏదైనా కనుగొనవలసి వచ్చినప్పుడు కార్యాచరణ చర్యల ప్రణాళిక)

డబ్బుతో పాటు (ఖచ్చితంగా అధికం కాదు, కానీ ఇప్పటికీ మిలియన్లు), SORMకి నెట్‌వర్క్‌తో మరిన్ని అవకతవకలు అవసరం.

• నాట్ అనువాదానికి ముందు SORM "బూడిద" వినియోగదారు చిరునామాలను చూడాలి
• SORM పరిమిత సంఖ్యలో నెట్‌వర్క్ ఇంటర్‌ఫేస్‌లను కలిగి ఉంది

అందువల్ల, ప్రత్యేకంగా, మేము కెర్నల్ యొక్క భాగాన్ని గొప్పగా పునర్నిర్మించవలసి వచ్చింది - కేవలం ఎక్కడో ఒక చోట యాక్సెస్ సర్వర్‌లకు వినియోగదారు ట్రాఫిక్‌ను సేకరించడానికి. అనేక లింక్‌లతో SORMలో ప్రతిబింబించేలా.

అంటే, చాలా సరళీకృతం చేయబడింది, ఇది (ఎడమ) vs మారింది (కుడి):

ప్రస్తుతం చాలా మంది ప్రొవైడర్‌లకు SORM-3 అమలు అవసరం - ఇది ఇతర విషయాలతోపాటు, నాట్ ప్రసారాల లాగింగ్‌ను కలిగి ఉంటుంది.

ఈ ప్రయోజనాల కోసం, మేము పైన ఉన్న రేఖాచిత్రానికి NAT కోసం ప్రత్యేక పరికరాలను కూడా జోడించాలి (సరిగ్గా మొదటి భాగంలో చర్చించబడినది). అంతేకాకుండా, ఒక నిర్దిష్ట క్రమంలో జోడించండి: చిరునామాలను అనువదించే ముందు SORM తప్పనిసరిగా ట్రాఫిక్‌ను “చూడాలి” కాబట్టి, ట్రాఫిక్ ఖచ్చితంగా ఈ క్రింది విధంగా వెళ్లాలి: వినియోగదారులు -> మారడం, కెర్నల్ -> యాక్సెస్ సర్వర్లు -> SORM -> NAT -> స్విచింగ్, కెర్నల్ - > ఇంటర్నెట్. దీన్ని చేయడానికి, మేము లాభం కోసం ఇతర దిశలో ట్రాఫిక్ ప్రవాహాలను అక్షరాలా "మలుపు" చేయాల్సి వచ్చింది, ఇది కూడా చాలా కష్టం.

మొత్తం: గత పది సంవత్సరాలలో, సగటు ప్రొవైడర్ యొక్క ప్రధాన రూపకల్పన గణనీయంగా మరింత క్లిష్టంగా మారింది మరియు వైఫల్యం యొక్క అదనపు పాయింట్లు (పరికరాల రూపంలో మరియు సింగిల్ స్విచింగ్ లైన్ల రూపంలో) గణనీయంగా పెరిగాయి. వాస్తవానికి, "ప్రతిదీ చూడటం" అనే ఆవశ్యకత ఈ "ప్రతిదీ" ఒక పాయింట్‌కి తగ్గించడాన్ని సూచిస్తుంది.

రూనెట్‌ను సార్వభౌమాధికారం చేయడానికి, దానిని రక్షించడానికి, స్థిరీకరించడానికి మరియు మెరుగుపరచడానికి ప్రస్తుత కార్యక్రమాలకు ఇది చాలా పారదర్శకంగా వివరించబడుతుందని నేను భావిస్తున్నాను :)

మరియు యారోవయా ఇంకా ముందుకు ఉంది.

మూలం: www.habr.com