Cet article est de nature purement technique, affectant l'un des aspects du blocage des ressources sur les listes ILV et concerne les services destinés (y compris) aux résidents de la Fédération de Russie.
Un bref aperçu des méthodes de verrouillage
Les techniques suivantes sont généralement utilisées pour bloquer les listes ILV:
- Blocage en analysant (copiant) le trafic et en envoyant un faux premier paquet TCP, à la suite de quoi la connexion est déconnectée. Un moyen très populaire parmi les opérateurs pour diverses raisons. Cet article n'est pas applicable à cette méthode.
- Blocage en supprimant le trafic (éventuellement avec une redirection / synchronisation / autre) sur un équipement DPI (ou un proxy transparent), qui est configuré pour se rompre, tandis que tout le trafic passe par DPI (enfin, ou seulement tcp + dns ou uniquement les ports tcp nécessaires ) Cette méthode est également utilisée par les opérateurs. Cet article n'est pas applicable à cette méthode.
- Blocage par usurpation d'identité DNS et «roulage» du trafic vers DPI / proxy transparent uniquement pour les adresses IP qui se trouvent dans le registre (certaines sont ajoutées en résolvant, mais pas le point). Cette méthode est également utilisée par les opérateurs, et elle sera discutée à son sujet dans l'article.
Trop de préfixes dans le registre
En utilisant la méthode n ° 3, l'opérateur doit annoncer un grand nombre de préfixes (routes) vers le réseau, pour le moment il y a environ 2M de préfixes dans le registre (dont la plupart sont / 32) et si cela est fait, alors de nombreux routeurs ne pourront pas gérer un tel nombre d'entrées dans le tableau routage. Taille typique de la table de routage pour les routeurs hw 1M-2M-4M utilisés aujourd'hui (il y en a plus, mais cela fait déjà partie de la fourchette de prix supérieure). Si quelqu'un ne le sait pas, les routes 2M sont plus que des routes sur Internet, dans les espaces ipv4 et ipv6 combinés.
Que faire avec ces préfixes
Les opérateurs utilisant l'option n ° 3 ne veulent pas vraiment passer à l'option n ° 1 ou n ° 2 (généralement ils sont plus chers que le n ° 3), donc les fabricants de solutions qui peuvent fonctionner selon le schéma n ° 3 ont utilisé l'astuce suivante: les préfixes peuvent être agrégés à des réseaux plus importants Par exemple, dans l'espace d'adressage ipv4, il y a de nombreux effondrements de / 32 voisins à / 24. Fonctionnement: tous les préfixes uniques / 32 sont arrondis à / 24 (le masque 0xffffff00 ou 255.255.255.0 est utilisé dans la notation la plus familière) et le nombre de préfixes uniques est compté parmi tous les arrondis à / 24. Ensuite, une valeur seuil est entrée selon laquelle un / 24 est annoncé au lieu de plusieurs / 32. Par exemple, à un seuil de 10, vous aurez environ 380K au lieu de 2M, et cela convient déjà même aux modèles de routeurs largement utilisés et même assez anciens. Si le seuil est réduit, les préfixes seront encore moins.
Et qu'est-ce qui ne va pas avec ça?
En effet, ce qui ne va pas avec ça, eh bien, un peu plus de trafic passera par le proxy DPI / transparent, cela ressemble à un problème d'opérateur, mais en fait ce n'est pas le cas. Souvent, cela devient un problème pour l'abonné et le service, dont l'adresse IP a "beaucoup" de voisins sur le réseau / 24 (ou un autre réseau, selon la façon dont elle est agrégée). Souvent, ces glandes sont surchargées d'opérateurs dans le CNN (heures de pointe), introduisent des retards, peuvent bloquer le trafic TLS avec certaines particularités, il arrive qu'elles fonctionnent de manière tordue avec http2, et donc, même si l'adresse IP de votre service n'est pas dans une liste d'ILV (et même aucun domaine n'indique votre adresse IP), cela ne signifie pas que le trafic vers votre service ne passera pas par un filtre spécial (qui peut toujours être installé de l'autre côté du pays si l'opérateur est grand).
Quelle est l'utilité de connaître cette nuance?
L'avantage pour les propriétaires de services peut être le suivant: tout à coup, certains de vos utilisateurs (avec des caractéristiques géographiques mal exprimées et un signe commun généralement incompréhensible) ont commencé à se plaindre de la lenteur du travail. L'une des raisons possibles peut être que parmi vos voisins à l'adresse IP, il y a «trop» (par exemple, plus de 10) adresses IP bloquées dans le registre ILV et donc certains opérateurs ont autorisé le trafic vers votre service DPI. Et puis décidez par vous-même de l'importance de ces utilisateurs et de leurs plaintes, créez une sorte de miroir sur une autre IP, changez l'IP ou autre chose. Certains autres opérateurs de la Fédération de Russie fournissent IPv6 aux abonnés, votre service ne sait peut-être pas encore comment IPv6 et cela peut aider à résoudre le problème décrit (enfin, obtenez-en d'autres, comme c'est généralement le cas).
Averti signifie armé.