Dieser Artikel ist rein technischer Natur und betrifft einen der Aspekte der Blockierung von Ressourcen gemäß den ILV-Listen. Er ist für Dienstleistungen relevant, die sich (einschließlich) an Einwohner der Russischen Föderation richten.
Ein kurzer Überblick über die Schließmethoden
Die folgenden Techniken werden normalerweise zum Blockieren von ILV-Listen verwendet:
- Blockieren durch Analysieren (Kopieren) des Datenverkehrs und Senden eines gefälschten TCP-ersten Pakets, wodurch die Verbindung getrennt wird. Ein sehr beliebter Weg bei Betreibern aus verschiedenen Gründen. Dieser Artikel gilt nicht für diese Methode.
- Blockieren durch Löschen des Datenverkehrs (optional mit einer Umleitung / Synchronisierung / anderem) auf DPI-Geräten (oder einem transparenten Proxy), der unterbrochen werden soll, während der gesamte Datenverkehr über DPI (naja, oder nur TCP + DNS oder nur die erforderlichen TCP-Ports) geleitet wird ) Diese Methode wird auch von Operatoren verwendet. Dieser Artikel gilt nicht für diese Methode.
- Blockieren durch DNS-Spoofing und Weiterleiten des Datenverkehrs an DPI / transparenten Proxy nur für IP-Adressen in der Registrierung (einige werden durch Auflösen hinzugefügt, aber nicht für den Zweck). Diese Methode wird auch von Operatoren verwendet, und sie wird in dem Artikel über ihn diskutiert.
Zu viele Präfixe in der Registrierung
Bei Verwendung der Methode Nr. 3 muss der Bediener dem Netzwerk eine große Anzahl von Präfixen (Routen) mitteilen. Derzeit befinden sich ungefähr 2 Millionen Präfixe in der Registrierung (die meisten davon sind / 32). In diesem Fall werden viele Router mit einer solchen Anzahl von Einträgen in der Tabelle nicht fertig routing. Typische Größe der Routing-Tabelle für die heute verwendeten Hardware-Router 1M-2M-4M (es gibt noch mehr, aber dies ist bereits aus der oberen Preisklasse). Wenn jemand es nicht weiß, sind 2M-Routen mehr als Routen durch das Internet, kombiniert in IPv4- und IPv6-Räumen.
Was tun mit diesen Präfixen?
Betreiber, die Option Nr. 3 verwenden, möchten nicht wirklich zu Option Nr. 1 oder Nr. 2 wechseln (normalerweise sind sie teurer als Nr. 3). Hersteller von Lösungen, die gemäß Schema Nr. 3 arbeiten können, haben daher den folgenden Trick angewendet: Präfixe können zu größeren Netzwerken zusammengefasst werden Beispielsweise werden im IPv4-Adressraum viele benachbarte / 32-Adressen zu / 24 reduziert. So funktioniert es: Alle eindeutigen / 32 Präfixe werden auf / 24 gerundet (die Maske 0xffffff00 oder 255.255.255.0 wird in der bekannteren Schreibweise verwendet) und die Anzahl der eindeutigen Präfixe wird unter allen auf / 24 gerundeten gezählt. Als nächstes wird ein Schwellwert eingegeben, nach dem eins / 24 anstelle von vielen / 32 angesagt wird. Bei einem Schwellenwert von 10 haben Sie beispielsweise ungefähr 380 KB anstelle von 2 MB, und dies passt bereits in weit verbreitete und sogar ziemlich alte Modelle von Routern. Wenn der Schwellenwert verringert wird, sind die Präfixe noch geringer.
Und was ist daran falsch?
Was ist daran falsch? Nun, ein wenig mehr Datenverkehr wird über den DPI / Transparent-Proxy geleitet. Es sieht nach einem Betreiberproblem aus, aber in Wirklichkeit ist es nicht so. Dies wird häufig zu einem Problem für den Teilnehmer und den Dienst, dessen IP-Adresse "viele" Nachbarn im / 24-Netzwerk (oder einem anderen Netzwerk, je nachdem, wie es aggregiert wird) hat. Oft sind diese Drüsen mit Betreibern im CNN überlastet (Stoßzeiten), führen zu Verzögerungen, können TLS-Verkehr mit einigen Besonderheiten blockieren, es kommt vor, dass sie mit http2 schief funktionieren, und daher auch dann, wenn die IP-Adresse Ihres Dienstes nicht in ist Eine Liste von ILVs (und selbst wenn keine Domain Ihre IP-Adresse angibt) bedeutet nicht, dass der Datenverkehr zu Ihrem Dienst nicht durch einen speziellen Filter geleitet wird (der bei einem großen Netzbetreiber auch auf der anderen Seite des Landes installiert werden kann).
Was nützt es, diese Nuance zu kennen?
Der Nutzen für die Service-Eigentümer könnte folgender sein: Plötzlich begannen sich einige Ihrer Benutzer (mit ungenauen geografischen Merkmalen und einem allgemein unverständlichen gemeinsamen Zeichen) über langsame Arbeit zu beklagen. Einer der möglichen Gründe kann sein, dass unter Ihren Nachbarn aufgrund der IP-Adresse zu viele (z. B. mehr als 10) blockierte IP-Adressen in der ILV-Registrierung vorhanden sind und einige Betreiber daher Datenverkehr zu Ihrem DPI-Dienst zugelassen haben. Und dann entscheiden Sie selbst, wie wichtig diese Benutzer und Beschwerden von ihnen sind, machen Sie eine Art Spiegel auf einer anderen IP, ändern Sie die IP oder etwas anderes. Einige andere Betreiber in der Russischen Föderation bieten IPv6 für Abonnenten an. Möglicherweise kennt Ihr Dienst IPv6 noch nicht und dies kann zur Lösung des beschriebenen Problems beitragen.
Vorgewarnt heißt bewaffnet.