Este artículo es de naturaleza puramente técnica, afecta a uno de los aspectos del bloqueo de recursos en las listas de ILV y es relevante para los servicios orientados (incluidos) a los residentes de la Federación de Rusia.
Una breve descripción de los métodos de bloqueo
Las siguientes técnicas se utilizan generalmente para bloquear las listas de ILV:
- Bloqueo analizando (copiando) el tráfico y enviando un primer paquete falso tcp, como resultado de lo cual la conexión se desconecta. Una forma muy popular entre los operadores por varias razones. Este artículo no es aplicable a este método.
- Bloqueo al soltar el tráfico (opcionalmente con un redireccionamiento / sincronización primero / otro) en el equipo DPI (o un proxy transparente), que está configurado para interrumpirse, mientras todo el tráfico pasa a través de DPI (bueno, o solo tcp + dns o solo los puertos tcp necesarios ) Este método también es utilizado por los operadores. Este artículo no es aplicable a este método.
- Bloqueo por tráfico de suplantación de identidad (dns-spoofing) y "rodaje" a DPI / proxy transparente solo para direcciones IP que están en el registro (algunas se agregan resolviendo, pero no el punto). Este método también es utilizado por los operadores, y se discutirá sobre él en el artículo.
Demasiados prefijos en el registro
Usando el método No. 3, el operador necesita anunciar una gran cantidad de prefijos (rutas) a la red, en este momento hay aproximadamente 2 M prefijos en el registro (la mayoría de los cuales son / 32) y si esto se hace, muchos enrutadores no podrán hacer frente a tal cantidad de entradas en la tabla enrutamiento. Tamaño típico de la tabla de enrutamiento para los enrutadores hw 1M-2M-4M utilizados hoy (hay más, pero esto ya proviene del rango de precio superior). Si alguien no sabe, las rutas de 2M son más que rutas a través de Internet, en espacios ipv4 e ipv6 combinados.
¿Qué hacer con estos prefijos?
Los operadores que usan la opción n. ° 3 realmente no quieren cambiar a la opción n. ° 1 o n. ° 2 (generalmente son más caros que el n. ° 3), por lo que los fabricantes de soluciones que pueden funcionar según el esquema n. ° 3 utilizaron el siguiente truco: los prefijos se pueden agregar a redes más grandes Por ejemplo, en el espacio de direcciones ipv4, muchos vecinos / 32 colapsan a / 24. Cómo funciona: todos los prefijos únicos / 32 se redondean a / 24 (la máscara 0xffffff00 o 255.255.255.0 se usa en la notación más familiar) y el número de prefijos únicos se cuenta entre todos los redondeados a / 24. A continuación, se ingresa un valor umbral según el cual se anuncia un / 24 en lugar de muchos / 32. Por ejemplo, en un umbral de 10, tendrá aproximadamente 380K en lugar de 2M, y esto ya se ajusta incluso en modelos de enrutadores ampliamente utilizados e incluso bastante antiguos. Si se reduce el umbral, los prefijos serán aún menores.
¿Y qué hay de malo en eso?
De hecho, lo que está mal con eso, bueno, un poco más de tráfico pasará por el proxy transparente / DPI, parece un problema del operador, pero de hecho no es del todo correcto. A menudo, esto se convierte en un problema para el suscriptor y el servicio, cuya dirección IP tiene "muchos" vecinos en la red / 24 (u otra red, dependiendo de cómo se agregue). A menudo, estas glándulas están sobrecargadas con operadores en la CNN (horas ocupadas), introducen demoras, pueden bloquear el tráfico TLS con algunas peculiaridades, sucede que funcionan de manera corrupta con http2 y, por lo tanto, incluso si la dirección IP de su servicio no está en una lista de ILV (e incluso ningún dominio indica su dirección IP), esto no significa que el tráfico a su servicio no pasará por un filtro especial (que aún puede instalarse en el otro lado del país si el operador es grande).
¿De qué sirve conocer este matiz?
El beneficio para los propietarios del servicio puede ser el siguiente: de repente, algunos de sus usuarios (con características geográficas mal expresadas y un signo común generalmente incomprensible) comenzaron a quejarse de un trabajo lento. Una de las posibles razones puede ser que entre sus vecinos en la dirección IP hay "demasiadas" (por ejemplo, más de 10) direcciones IP bloqueadas en el registro ILV y, por lo tanto, algunos operadores han permitido el tráfico a su servicio DPI. Y luego decida usted mismo cuán importantes son estos usuarios y las quejas de ellos, haga algún tipo de espejo en otra IP, cambie la IP u otra cosa. Algunos otros operadores en la Federación de Rusia dan IPv6 a los suscriptores, tal vez su servicio aún no conoce IPv6 y esto puede ayudar a resolver el problema descrito (bueno, obtenga otros, como suele ser el caso).
Prevenido significa armado.