تجميع الطرق لقوائم ILV وكيفية تهديدها للخدمات المحترمة

هذه المقالة ذات طبيعة فنية بحتة ، وتؤثر على أحد جوانب حظر الموارد وفقًا لقوائم ILV وهي ذات صلة بالخدمات الموجهة (بما في ذلك) إلى سكان الاتحاد الروسي.

لمحة موجزة عن طرق قفل

عادة ما تستخدم التقنيات التالية لمنع قوائم ILV:

1. حظر عن طريق تحليل (نسخ) حركة المرور وإرسال حزمة tcp rst وهمية ، مما يؤدي إلى انقطاع الاتصال. طريقة شائعة للغاية بين المشغلين لأسباب مختلفة. هذه المقالة لا تنطبق على هذه الطريقة.
2. حظر بإسقاط حركة المرور (اختياريًا مع إعادة التوجيه / المزامنة الأولى / الأخرى) على جهاز DPI (أو وكيل شفاف) ، والذي تم ضبطه على الكسر ، بينما تمر كل حركة المرور عبر DPI (جيدًا ، أو tcp + dns فقط أو منافذ tcp الضرورية فقط ). تستخدم هذه الطريقة أيضًا بواسطة المشغلين. هذه المقالة لا تنطبق على هذه الطريقة.
3. الحظر عن طريق خداع نظام أسماء النطاقات و "نقل سيارات الأجرة" لحركة المرور إلى وكيل DPI / شفاف فقط لعناوين IP الموجودة في السجل (تتم إضافة بعضها عن طريق الحل ، ولكن ليس النقطة). يتم استخدام هذه الطريقة أيضًا بواسطة المشغلين ، وسيتم مناقشتها في المقال.

بادئات كثيرة جدًا في السجل

باستخدام الطريقة رقم 3 ، يحتاج المشغل إلى الإعلان عن عدد كبير من البادئات (التوجيهات) إلى الشبكة ، في الوقت الحالي يوجد حوالي بادئات 2M في السجل (معظمها / 32) وإذا تم ذلك ، فلن يتعامل العديد من أجهزة التوجيه مع هذا العدد من الإدخالات في الجدول التوجيه. الحجم النموذجي لجدول التوجيه لأجهزة التوجيه hw 1M-2M-4M المستخدمة اليوم (هناك المزيد ، ولكن هذا بالفعل من النطاق السعري الأعلى). إذا كان شخص ما لا يعرف ، فإن طرق 2M هي أكثر من طرق عبر الإنترنت ، في مساحات ipv4 و ipv6 مجتمعة.

ما يجب القيام به مع هذه البادئات

لا يرغب المشغلون الذين يستخدمون الخيار رقم 3 بالفعل في التبديل إلى الخيار رقم 1 أو رقم 2 (عادةً ما يكونون أغلى من رقم 3) ، لذلك استخدم صانعو الحلول التي يمكن أن تعمل وفقًا للمخطط رقم 3 الخدعة التالية: يمكن تجميع البادئات في شبكات أكبر على سبيل المثال ، في مساحة عنوان ipv4 ، العديد من / 32 المجاورة تنهار إلى / 24. كيف يعمل: يتم تقريب جميع البادئات الفريدة / 32 إلى / 24 (يتم استخدام القناع 0xffffff00 أو 255.255.255.0 في التدوين الأكثر شيوعًا) ويتم حساب عدد البادئات الفريدة بين جميع التقريب إلى / 24. بعد ذلك ، يتم إدخال قيمة عتبة يتم بموجبها الإعلان عن واحدة / 24 بدلاً من العديد / 32. على سبيل المثال ، في حدود 10 ، سيكون لديك حوالي 380 كيلو بايت بدلاً من 2M ، وهذا يناسب بالفعل في الطرز المستخدمة على نطاق واسع وحتى القديمة جدًا. إذا تم تخفيض العتبة ، فستكون البادئات أقل.

وما الخطأ في ذلك؟

في الواقع ، ما الخطأ في ذلك ، حسنًا ، سوف تمر حركة مرور أكثر قليلاً ببروكسي DPI / شفاف ، ويبدو أن مشكلة المشغل ، لكنها في الحقيقة ليست صحيحة تمامًا. في كثير من الأحيان ، يصبح هذا مشكلة بالنسبة للمشترك والخدمة ، التي يحتوي عنوان IP الخاص بها على "الكثير" من الجيران على / 24 شبكة (أو شبكة أخرى ، اعتمادًا على كيفية تجميعها). في كثير من الأحيان ، يتم تحميل هذه الغدد بشكل مفرط مع المشغلين في CNN (الساعات المزدحمة) ، وإدخال التأخير ، ويمكن أن تمنع حركة مرور TLS مع بعض الخصائص ، ويحدث ذلك أنها تعمل بشكل متعرج مع http2 ، وبالتالي ، حتى لو لم يكن عنوان IP لخدمتك في قائمة ILVs (ولا يشير أي مجال إلى عنوان IP الخاص بك) ، هذا لا يعني أن حركة المرور إلى خدمتك لن تمر عبر مرشح خاص (والذي لا يزال من الممكن تثبيته على الجانب الآخر من البلد إذا كان المشغل كبيرًا).

ما هي الفائدة من معرفة هذه الفروق الدقيقة؟

قد تكون الفائدة لمالكي الخدمة على النحو التالي: فجأة ، بدأ بعض المستخدمين لديك (بميزات جغرافية سيئة التعبير وإشارة عامة غير مفهومة بشكل عام) في الشكوى من بطء العمل. قد يكون أحد الأسباب المحتملة لذلك هو وجود العديد من عناوين IP المحظورة بين جيرانك على عنوان IP (على سبيل المثال ، أكثر من 10) من عناوين IP المحظورة في سجل ILV وبالتالي سمح بعض المشغلين بحركة المرور إلى خدمة DPI. ثم قرر بنفسك مدى أهمية هؤلاء المستخدمين والشكاوى المقدمة منهم ، واجعل نوعًا من المرآة على عنوان IP آخر ، أو قم بتغيير عنوان IP أو أي شيء آخر. يقوم بعض المشغلين الآخرين في الاتحاد الروسي بمنح IPv6 للمشتركين ، وربما لا تعرف خدمتك كيفية IPv6 حتى الآن ويمكن أن يساعد ذلك في حل المشكلة الموصوفة (حسنًا ، احصل على آخرين ، كما هو الحال عادة).

يعني مقدما المسلحة.