Маршрутизаторы

Русский

Для полноценного понимания данного вопроса необходимо обратиться к истории. Изначально сети строились из физических сегментов - в буквальном смысле слова. Не то что концентраторы(switch'и) - даже коммутаторы(hub'ы) были не нужны при их построении. Автор данного руководства еще пользовался "зубом вампира" - устройством для прокалывания коаксиального кабеля, чтобы водрузить сверху BNC-коннектор. А чего стоил вопрос "насадить на конец терминатора" - то есть прикрутить в конец кабеля развязку для нормального прохождения сигналов путем прикрутки на окончание кабеля оконечного оборудования с сопротивлением.... Между сегментами стояли маршрутизаторы(gateway) - и они знали Quod licet Iovi, non licet bovi... На них были - в виде жестко записанных конфигураций - таблицы маршрутизации(routing table). Их суть сводилась лишь к двум вещам : во-первых, как получить доступ к сети, которую мы не знаем, через узел, до которого мы знаем, как пройти, а во-вторых - куда перенаправлять все запросы, на которые мы не нашли ответ на первом этапе. Это еще называется "маршрутом по-умолчанию"(default route). И все было бы так хорошо, если бы не было так плохо : со временем из конфигураций, "зашитых" жестко в файлы настроек, сначала узлы начали обмениваться таблицами по сети(через протоколы RIP = Routing Information Protocol = Протокол Информации о Маршрутах, первой и второй версии), потом узлы научились обмениваться так называемыми "векторами" - то есть направлениями, как и куда и насколько накладно(появилось понятие payload/cost = нагрузки/ресурсоемкости передачи) передать пакет, дальше было еще больше... И, казалось бы, все стало просто замечательно! Технологии развиваются, и дают нам возможность получать даже географически от нас отдаленные "плоды прогресса", что называется "с ветки".... Но опять же, все было бы замечательно, если бы не было так грустно... И вот почему

Замки и двери - от честных людей, как гласит народная мудрость. Сначала началось естественное - кто-то пытался разослать поддельные таблицы и вектора, но это было легко побеждено технически: добавилась даже цифровая подпись. Казалось бы - дракон побежден, но дьявол кроется в деталях. Начну немного издалека, но с практики. В операционной системе Windows выполните команду "cmd" и в открывшейся строке наберите "route print" и нажмите ввод. Если у Вас Linux или Unix - команда "netstat -n -r" также выведет Вам Вашу таблицу маршрутов(routing table - таблица маршрутизации), особенно присмотритесь к назначению "0.0.0.0" - это маршрут "по умолчанию", который выпускает Вас из сегмента. И в каком-то из таких маршрутов в той же России стоит то, что при попытке зайти на сайт, который заблокирован, втихую перенаправит Ваш запрос на сервер со страницей о блокировке. И те, кто внимательно читал статью с самого начала - уже в недоумении, ведь сетевая маршрутизация как технология такого не может уметь! Ни в случае, когда сервер один на внешнем адресе, ни тем более в случае нескольких сайтов на одном адресе. Маршрутизация в сети никак не трогает и не видит содержимое пакетов, а здесь четко знают, что Вы идете именно спросить страницу, причем ее адрес!! Как это возможно? На оптический обман это не похоже, но Вы же прекрасно понимаете, что сетевой маршрутизатор не может заниматься просмотром пакетов : это все равно что Ваш холодильник будет листать газету на кухне, параллельно охлаждая продукты. Это чушь, но это есть - и это у Вас перед глазами. Ответ уже напрашивается сам по себе...

По пути из точки A в точку B есть вредоносная точка C, которая выдает себя за маршрутизатор, но им не является : она просматривает содержимое пакетов, и может как на их основании перенаправлять пакет не туда, куда он должен пойти, а туда, куда будет угодно злоумышленнику. Также она может как вести запись пакетов, которые выглядят определенным образом(скажите "пока-пока" Вашим паролям и учетным записям в социальных сетях, почте и так далее), и вклиниваться "посередине", для точки A выдавая себя за точку B, а для точки B выдавая себя за точку A(так можно вклиниться в тот же TLS или HTTPS/SSL). Такое вторжение базируется на технологиях DSI(Deep-State Inspection - глубокое исследование содержимого пакетов), и ирония судьбы заключается в том, что создана эта технология была для защиты путем борьбы с вредоносными пакетами, которые имеют целью навредить сервисам : например доподлинно известно, что определенным образом построенный пакет вызывает срабатывание программной ошибки в программе, например почтового сервера. И когда система защиты видела такой пакет, она могла его уничтожить еще до того, как он будет передан в почтовый сервер - неважно, уязвим он к данной ошибке или нет, и заблокировать атакующего. Злоумышленники нашли этой технологии еще одно применение...

Многие из Вас слышали о дороговизне технологий защиты данных, и это соответствует действительности : защита - дело и востребованное, и технологически сложное, и ресурсоемкое, поэтому и дорогое. Но это если Вы в этом одни - как раз краудсорсинг и объединение единомышленников сделало это.... бесплатным! Все, что от Вас требуется - это установить, настроить и запустить программу узла сети! И множество альтернативных маршрутов - к Вашим услугам! Вы тоже предоставляете такой маршрут - так что Ваш траффик хорошо растворяется в общем потоке, протоколы нигде не ведутся - это просто бесполезно. И тут мы подошли к понятию darknet - это связная сеть, имеющая свою инфраструктуру доменных имен, не связанная с Internet напрямую и изолированная на уровне криптографии И протокола. Он собирается путем построения альтернативных путей маршрутизации пакетов из точки A в точку B через узлы, которые запускают добровольцы. Данные передаются не просто в зашифрованном виде, а еще и так, чтобы если кто-то попытается записать весь траффик узла, то он ничего не сможет прочитать! Поэтому цензура и другие правонарушения при такой динамической структуре защищенной маршрутизации невозможны технически.

Чтобы бороться с противоправным поведением вредоносных маршрутизаторов, было разработано немало подходов, мы рассмотрим следующие из них :

  • Tor - The Onion Router, "луковичный маршрутизатор". Один из самых известных в сети, и по праву! Не только является darknet'ом, но и отличным средством борьбы со злоумышленниками на проводе.
  • I2P - Invisible Internet Project, "чесночный маршрутизатор". Более сложный, чем Tor, и немного от него отличается.

Post Scriptum В графическом режиме можно посмотреть как идет связь до какого-либо узла можно посмотреть через программу визуального отображения маршрута пакета Open Visual Traceroute. Она бесплатная, имеет открытый исходный код. Это для тех, кому будет любопытно посмотреть конкретные примеры. Если попытаетесь проследить путь до заблокированного сайта, то в самом конце маршрута вполне можете увидеть адрес злоумышленника, который выдает себя за маршрутизатор. Он как правило предпоследний, но не всегда.