Агрегация Маршрутов Для Списков Ркн И Чем Это Грозит Респектабельным Сервисам

Обновлено: 2024-10-19 21:10:22 Роман Иванов Вебмастеру 1

Данная статья носит чисто технический характер, затрагивает один из аспектов блокировки ресурсов по спискам РКН и актуальна для сервисов, ориентированных (в том числе) на резидентов РФ.



Краткий обзор способов блокировки

Для блокировки по спискам РКН обычно используются следующие приемы:
  1. Блокировка путем анализа (копии) трафика и отправки поддельного первого пакета TCP, что приводит к отключению.

    Очень популярный метод среди операторов по разным причинам.

    Данная статья не относится к этому методу.

  2. Блокировка путем удаления (отбрасывания) трафика (опционально с redirect/syn rst/другим) на оборудовании DPI (или прозрачном прокси), установленном в разрыве, при этом весь трафик проходит через DPI (ну либо только tcp+dns, либо только необходимые TCP-порты).

    Этот метод также используется операторами.

    Данная статья не относится к этому методу.

  3. Блокировка через подмену DNS и «направление» трафика на DPI/прозрачный прокси только для IP-адресов, которые есть в реестре (некоторые тоже добавляются резолвом, но суть не в этом).

    Этот метод также используется операторами и именно о нем пойдет речь в статье.



В реестре слишком много префиксов

Используя способ №3, оператору необходимо анонсировать в сеть огромное количество префиксов (маршрутов); на данный момент в реестре около 2М префиксов (из них большинство /32) и если это сделать, то многие роутеры не смогут справиться с таким количеством записей в таблице маршрутизации.

Типичный размер таблицы маршрутизации для используемые сегодня роутеры - 1М-2М-4М (есть и больше, но это уже из верхнего ценового диапазона).

Если кто не знает, 2М маршрутов — это больше, чем маршруты во всем Интернете, в пространствах ipv4 и ipv6 вместе взятых.



Что делать с этими префиксами

Операторы, использующие вариант №3, не очень охотно переходят на вариант №1 или №2 (обычно они дороже, чем №3), поэтому производители решений, способных работать по схеме №3, применили следующую хитрость.

: префиксы можно агрегировать в более крупные сети, например, в адресном пространстве ipv4 много соседних /32, свернуть в /24. Как это работает: все уникальные префиксы /32 округляются до /24 (с использованием маски 0xffffff00 или 255.255.255.0 в более привычной записи) и подсчитывается количество уникальных префиксов среди всех округленных до /24. Далее вводится пороговое значение, при котором объявляется один /24 вместо многих /32. Например, при пороге 10 у вас будет примерно 380К вместо 2М, и это уже укладывается даже в широко используемые и даже довольно старые модели роутеров.

Если порог уменьшить, префиксов станет еще меньше.



И что в этом плохого?

Действительно, что тут такого, ну чуть больше трафика будет проходить через DPI/прозрачный прокси, это похоже на проблему оператора, но на самом деле это не совсем так.

Зачастую это становится проблемой для абонента и сервиса, у которого IP-адрес оказывается «много» соседей в сети /24 (или другой сети, в зависимости от того, как она агрегируется).

Зачастую эти железки перегружаются операторами в часы пик (часы наибольшей нагрузки), вносят задержки, могут блокировать TLS-трафик с некоторыми особенностями, бывает, что они криво работают с http2, и поэтому, даже если IP-адрес вашего сервиса нет в списке РКН (и даже ни один домен не указывает на ваш IP-адрес), это совершенно не означает, что трафик на ваш сервис не будет проходить через специальный фильтр (который также можно установить на другом конце сети).

страна, если оператор крупный).



Какая польза знать этот нюанс?

Выгода для владельцев сервиса может быть следующей: вдруг некоторые ваши пользователи (с плохо определенными географическими особенностями и вообще непонятными общими характеристиками) начали жаловаться на медленную работу.

Одной из возможных причин может быть то, что среди ваших соседей по IP-адресу «слишком много» (например, более 10) заблокированных IP-адресов в реестре РКН и поэтому некоторые операторы разрешили трафик на ваш сервис DPI. А потом решите сами, насколько вам важны эти пользователи и жалобы от них, сделайте какое-то зеркало на другом IP, поменяйте IP или что-то еще.

Некоторые операторы РФ также предоставляют абонентам IPv6, возможно, ваш сервис еще не поддерживает IPv6 и это может помочь решить описанную проблему (ну и приобрести другие, как это обычно бывает).

Предупрежден - значит вооружен.

Теги: #информационная безопасность #Сетевые технологии #Системное администрирование #блокировка сайтов #Роскомнадзор

Последнее изменение: 2024-10-19 21:10:22
Вместе с данным постом часто просматривают:

Автор Статьи

Роман Иванов

Роман Иванов
Эксперт
Зарегистрирован: 2019-12-10 15:07:06
Баллов опыта: 0
Всего постов на сайте: 0
Всего комментарий на сайте: 0

Интересно

Dima Manisha

Dima Manisha

 Эксперт Wmlog. Профессиональный веб-мастер, SEO-специалист, дизайнер, маркетолог и интернет-предприниматель.
  • Блоги
  • Вебмастеру
  • Агрегация Маршрутов Для Списков Ркн И Чем Это Грозит Респектабельным Сервисам