Роскомнадзор VS ваш маршрутизатор

11.11.2019 | Артем Терещенко

По состоянию на ноябрь 2019 года в реестре заблокированных Роскомнадзором ресурсов находится 1 585 000 маршрутов.

Многие операторы все еще блокируют по IP адресам с помощью BGP Blackhole или анонсируют только часть трафика по BGP на систему фильтрации. Если учесть всю нагрузку, которая передается на маршрутизатор, то мы увидим следующий объем:

  • В FIB (Forwarding Information Base — таблица для ускоренной пересылке пакетов) уже содержится порядка 800 000 маршрутов;
  • Также от оператора связи может анонсироваться определенное количество маршрутов, зависящее от размера сети;
  • По BGP анонсируется около 1,5 миллиона маршрутов из списка РКН.

Итого маршрутизатор должен обрабатывать как минимум 2,3 млн адресов.

Маршрутизатор

Какие проблемы это создает для оборудования оператора и почему?

Конечно, речь идет об оборудовании, которое рассчитано на значительно меньший объем обработки маршрутов. Например, нередко в сетях операторов встречаются маршрутизаторы семейства Juniper MX, которые согласно документации обрабатывают до 1 миллиона маршрутов. На 2009 год, когда только создавались эти модели, оборудование рассчитывалось на 500 тысяч адресов, что на тот момент казалось более чем достаточным количеством.

С аналогичной проблемой могут вскоре столкнуться владельцы Cisco SCE, способность обработки которых составляет до 2,5 миллионов адресов.

Такая явно повышенная нагрузка приводит к исчерпанию памяти таблицы маршрутов, что в свою очередь приводит к сбоям в работе маршрутизаторов и остановке работы сети. Некоторое оборудование не справляется с нагрузкой уже сейчас, а линейные карты, содержащие до 2.5 млн префиксов FIB, могут исчерпать свой ресурс уже совсем скоро, если количество заблокированных IP продолжит увеличиваться.

Чтобы решить проблему фильтрации большого количества адресов, применяется установка фильтрующего оборудования типа СКАТ по схеме «в разрыв»‎. Фильтрация проходит средствами DPI. Платформа СКАТ может обрабатывать до 4 миллиардов записей.

Важным аспектом применения DPI является переход от блокировки по IP к умеренной блокировке по URL, SNI, CN и при необходимости IP+порт.

Схемы фильтрации

Давайте разберем подробнее все возможные схемы фильтрации трафика.

    Схемы фильтрации BGP, DPI, DNS

  1. BGP Blackhole на маршрутизаторе: предполагает отбрасывание трафика на маршрутизаторе в направлении данного IP адреса или подсети.
    Плюсы: Реализация на имеющемся оборудовании.
    Минусы: Необходимость подготовки списка для маршрутизатора, полная блокировка ресурсов, что влечет негатив со стороны абонентов. Создает дополнительную нагрузку на маршрутизатор.
  2. Установка DPI на предфильтрованный исходящий трафик: отбор трафика осуществляется по BGP или PBR по определенным портам (80, 443).
    Плюсы: Снижение стоимости внедрения и объема обрабатываемого трафика.
    Минусы: Дополнительная нагрузка на маршрутизатор и возможные пропуски на запрещенные ресурсы, т.к. не весь трафик подается на фильтр.
  3. DNS фильтрация: использование стороннего сервера DNS, который содержит список запрещенных ресурсов и отвечает на резолв клиента.
    Плюсы: Быстрое внедрение и низкая стоимость владения.
    Минусы: Простота обхода путем изменения DNS на стороне клиента.
  4. Фильтрация средствами DPI

  5. Установка DPI на зеркало трафика: зеркалирование осуществляется через оптические сплиттеры или активное оборудование с использованием SPAN портов.
    Плюсы: Нет влияния на сеть в случае аварии.
    Минусы: Отсутствие возможности ограничить выход из сети первоначального запроса и неполное зеркало трафика, влечет за собой возможную доступность запрещенных ресурсов и невозможность блокировки IP или подсети целиком.
  6. Установка DPI в разрыв только на исходящий трафик: подразумевает пропуск запросов от абонентов в сторону интернет через фильтрующее устройство, обратный трафик идет без обработки.
    Плюсы: Снижение стоимости владения системой, т.к. объем исходящего трафика в разы меньше.
    Минусы: необходимость разделения потоков, что усложняет схему сети и требует дополнительных портов.
  7. Установка DPI в разрыв на входящий и исходящий трафик: реализуется путем пропуска всего трафика через фильтр.
    Плюсы: Возможность использовать полноценные возможности DPI с целью повышения QoS/QoE в сети, реализации функций BRAS/NAT/сбора статистики.
    Минусы: Увеличение стоимости внедрения по сравнению с предыдущими вариантами, повышение точек требующих резервирования.

Таким образом, можно решить проблему перегруженности и сбоев в работе маршрутизаторов, изменив способ фильтрации: необходимо снять с оборудования нагрузку в виде анонсирования дополнительных маршрутов и настроить фильтрацию средствами DPI по схеме «в разрыв» или «асимметрично».

Поделиться в социальных сетях