Artikel ini bersifat teknis murni, memengaruhi salah satu aspek pemblokiran sumber daya pada daftar ILV dan relevan untuk layanan yang berorientasi (termasuk) untuk penduduk Federasi Rusia.
Tinjauan singkat tentang metode penguncian
Teknik-teknik berikut biasanya digunakan untuk memblokir daftar ILV:
- Memblokir dengan menganalisis (menyalin) lalu lintas dan mengirim paket tcp pertama palsu, akibatnya koneksi terputus. Cara yang sangat populer di kalangan operator karena berbagai alasan. Artikel ini tidak berlaku untuk metode ini.
- Memblokir dengan menjatuhkan lalu lintas (opsional dengan redirect / synst / lainnya) pada peralatan DPI (atau proxy transparan), yang diatur untuk diputus, sementara semua lalu lintas melewati DPI (baik, atau hanya tcp + dns atau hanya port tcp yang diperlukan) ) Metode ini juga digunakan oleh operator. Artikel ini tidak berlaku untuk metode ini.
- Memblokir oleh dns spoofing dan lalu lintas "taxi" ke DPI / proxy transparan hanya untuk alamat IP yang ada dalam registri (beberapa ditambahkan dengan menyelesaikan, tetapi bukan intinya). Metode ini juga digunakan oleh operator, dan akan dibahas tentang dia dalam artikel tersebut.
Terlalu banyak awalan dalam registri
Dengan menggunakan metode No. 3, operator perlu mengumumkan sejumlah besar awalan (rute) ke jaringan, saat ini ada sekitar 2 juta awalan dalam registri (sebagian besar adalah / 32) dan jika ini dilakukan, maka banyak router tidak akan mengatasi sejumlah entri pada tabel. perutean. Ukuran khas dari tabel routing untuk router hw 1M-2M-4M digunakan hari ini (ada lebih banyak, tetapi ini sudah dari kisaran harga atas). Jika seseorang tidak tahu, 2M rute lebih dari rute di Internet, di ruang ipv4 dan ipv6 digabungkan.
Apa yang harus dilakukan dengan awalan ini
Operator yang menggunakan opsi No. 3 tidak benar-benar ingin beralih ke opsi No. 1 atau No. 2 (biasanya mereka lebih mahal daripada No. 3), sehingga produsen solusi yang dapat bekerja sesuai dengan skema No. 3 menggunakan trik berikut: awalan dapat dikumpulkan ke jaringan yang lebih besar Sebagai contoh, di ruang alamat ipv4, banyak tetangga / 32 runtuh ke / 24. Cara kerjanya: semua awalan unik / 32 dibulatkan ke / 24 (mask 0xffffff00 atau 255.255.255.0 digunakan dalam notasi yang lebih akrab) dan jumlah awalan unik dihitung di antara semua dibulatkan ke / 24. Selanjutnya, nilai ambang dimasukkan sesuai dengan mana satu / 24 diumumkan, bukan banyak / 32. Sebagai contoh, pada ambang 10, Anda akan memiliki sekitar 380K bukan 2M, dan ini sudah cocok bahkan dalam model router yang banyak digunakan dan bahkan cukup lama. Jika ambang dikurangi, maka awalan akan lebih sedikit.
Dan apa yang salah dengan itu?
Memang, apa yang salah dengan itu, yah, lalu lintas sedikit lebih akan melalui DPI / proxy transparan, sepertinya masalah operator, tetapi sebenarnya tidak begitu. Seringkali, ini menjadi masalah bagi pelanggan dan layanan, yang alamat IP-nya memiliki "banyak" tetangga di jaringan / 24 (atau jaringan lain, tergantung pada bagaimana agregatnya). Seringkali, kelenjar ini kelebihan beban dengan operator di CNN (jam sibuk), menyebabkan keterlambatan, dapat memblokir lalu lintas TLS dengan beberapa keanehan, kebetulan mereka bekerja dengan bengkok dengan http2, dan karenanya, bahkan jika alamat IP layanan Anda tidak ada di daftar ILV (dan bahkan tidak ada domain yang menunjukkan alamat IP Anda), ini tidak berarti bahwa lalu lintas ke layanan Anda tidak akan melalui filter khusus (yang masih dapat dipasang di sisi lain negara jika operatornya besar).
Apa gunanya mengetahui nuansa ini?
Manfaat bagi pemilik layanan mungkin sebagai berikut: tiba-tiba, beberapa pengguna Anda (dengan fitur geografis yang tidak diungkapkan dengan baik dan tanda umum yang umumnya tidak dapat dipahami) mulai mengeluh tentang pekerjaan yang lambat. Salah satu alasan yang mungkin adalah bahwa di antara tetangga Anda di alamat IP ada "terlalu banyak" (misalnya, lebih dari 10) diblokir alamat IP dalam registri ILV dan oleh karena itu beberapa operator telah mengizinkan lalu lintas ke layanan DPI Anda. Dan kemudian putuskan sendiri seberapa penting para pengguna dan keluhan ini, buat semacam mirror pada IP lain, ubah IP atau yang lainnya. Beberapa operator lain di Federasi Rusia memberikan IPv6 kepada pelanggan, mungkin layanan Anda belum tahu IPv6 dan ini dapat membantu memecahkan masalah yang dijelaskan (well, dapatkan orang lain, seperti biasanya terjadi).
Diperingatkan berarti dipersenjatai.