К вопросу об устойчивости Рунета к неблагоприятным внешним воздействиям
16.09.14
Как писал D-Russia.ru, в РФ проведены киберучения с целью выяснить характер угроз внешнего воздействия на Рунет и оценить вероятность того, что эти угрозы приведут к потере работоспособности Интернета и онлайн-сервисов в России, а также к недоступности отечественных онлайн-ресурсов извне. В качестве примера неблагоприятного внешнего воздействия мы также писали о сирийском инциденте 2012 года, когда нарушение маршрутизации трафика под внешним воздействием на двое суток исключило страну из Сети.
Поскольку результаты российских киберучений по-прежнему неизвестны и в ближайшее время оглашаться не будут, D-Russia.ru попытался уточнить у экспертов, насколько велики внешние (пусть и гипотетические) угрозы Рунету. Но прежде, чем говорить об этом, придется немного сказать в самых общих словах об «устройстве» Интернета.
Он, как известно, работает благодаря TCP/IP – семейству протоколов (правил) передачи данных, разработанному полвека назад в военном, по сути, проекте ARPANET, целью которого было создание сверхнадежной автономной системы цифровой связи между компьютерами. Задача эта успешно решена. Если есть хотя бы один канал связи между подключенными к Интернету устройствами А и Б, данные будут переданы и приняты.
Каждое устройство, в свою очередь, снабжается идентифицирующим его числом – IP-адресом. Число это, впрочем, весьма информативно – по IP-адресу вас найдут быстрее, чем по номеру паспорта. Всякий онлайн-ресурс – сайт, прежде всего – также имеет свой IP-адрес, которому ставится в соответствие, удобства ради, мнемоническое доменное имя, чтобы в адресную строку браузера не приходилось вводить «1.222.111.222» вместо «name_of_site.ru». Иногда на одном IP-адресе работает несколько сайтов, но это не меняет сути преобразования имён в адреса и обратно.
Все пространство IP-адресов находится в ведении организации по имени IANA, а правилами назначения доменных имен ведает ICANN. Обе компании работают в юрисдикции США, поскольку в США Интернет как технология и родился.
IP-адреса и доменные имена можно представить как две параллельные плоскости. Между ними натянуты логические связи, благодаря которым возможно обращение к онлайн-сервису (сайту) по имени, а не по IP-адресу.
На этой примитивной картинке видны два гипотетических (подчеркнем это особо) источника уязвимости Рунета. Во-первых, сами блоки IP-адресов, выделенные компаниям-операторам (и онлайн-ресурсам) в России. Если исключить эти IP-адреса из таблиц маршрутизации, Рунет со всеми своими сайтами, которые находятся на хостинге у российских провайдеров, перестанет существовать, а российские операторы – владельцы каналов будут исключены из глобального обмена трафиком. Во-вторых, что почти что то же самое, можно «разделегировать», домены .RU, .SU и .РФ, т.е. вообще лишить Рунет положенного ему адресного пространства.
Разница межу обоими вариантами только в способе реализации одной и той же угрозы. Лишить провайдеров IР-адресов может либо европейский регистратор RIPE NCC, который ведает распределением адресов для компаний-операторов, либо IANA, во власти которой «отобрать» IP-адреса у доменов первого уровня, таких, как . RU.
Мгновенно действующей «красной кнопки», однако, нет. Сведения о маршрутизации трафика, и сведения о соответствии IP-адресов доменным именам – они как ДНК, распределены по всему организму Интернета. Если бы, как вариант, IANA разделегировал зону .RU, Рунета не стало бы только через 2-3 недели, при условии, что никто из операторов не предпринял бы необходимых мер. До той поры на серверах, отвечающих за маршрутизацию и установление соответствия между IP-адресом и доменным именем верхнего уровня (т.н. корневых DNS-серверах и их зеркалах), в кэше «по инерции» сохранится прежняя информация, говорят эксперты Координационного центра национального домена сети Интернет (эта организация ведает распределением доменных имен в Рунете). А за две недели операторы должны успеть защититься.
Специалистам эта угроза известна, и профилактические меры защиты найдены. Они сведут неблагоприятное внешнее воздействие на Рунет в самом тяжелом случае к его изоляции (скорее всего, временной), т.е. к появлению «российского интранета», где внутренние интернет-ресурсы будут работать по-прежнему, но который не будет виден извне. Операторам придется проделать большую, однако понятную работу: переписать таблицы маршрутизации, адаптировать на территории страны службы доменных имен к изменениям, словом, приспособить инфраструктуру для независимой работы оборудования.
Собственно, такая ситуация в миниатюре ежедневно имеет место в локальных вычислительных сетях – там обмен данными также возможен по протоколу TCP/IP, и системные администраторы его настраивают. Полученная в результате такой настройки локальная совокупность компьютеров и есть то, что называют «интранетом».
Скажем специально, что разделегирование корневого домена или изъятие IP-адресов у крупнейших российских провайдеров абсолютно незаконная процедура. IP-адреса стОят хотя и небольших, но денег, они приобретены российскими провайдерами, а не получены как милостыня. Если называть вещи своими именами, то, пока нет войны, угроза эта остается исключительно гипотетической. В войну же возможно всякое, о чем свидетельствует упомянутый выше сирийский пример.
Хакерская же атака на маршрутизаторы, которая привела к «успеху» в Сирии, для Рунета хотя и небезопасна, но фатальных последствий иметь не должна. Во-первых, потому, что сирийский опыт проанализирован, и операторы страхуются от подобных историй. Во-вторых, России, как обычно, поможет ее размер: атаковать многих провайдеров по всей территории РФ сложнее, чем одного в Сирии.
Тем не менее эта угроза серьезна, полагает пожелавший остаться неназванным эксперт. В критически важный период времени по сирийскому сценарию маршрутизация может быть нарушена частично – «без Интернета» на какое-то время могут остаться отдельные предприятия и районы страны. Те, кто способен организовать такое нападение, не связаны, разумеется, необходимостью проходить какие-либо юридические процедуры, неизбежные в случаях изменения принятых правил управления Интернетом с целью исключить из него Россию.
Исправление ошибок связности – повседневная работа операторов связи. Можно рассчитывать на то, что операторы справятся с потенциальными угрозами и обеспечат быстрое восстановление Сети в РФ, если эти угрозы реализуются, полагают в Координационном центре.
Автор : Андрей Анненков
Мнение к статье
Заметки на полях: о сирийском инциденте и мировой культуре
Несколько слов о «сирийском инциденте 2012 года». Наличие в стране «главного маршрутизатора», который отвечает за все (вплоть до мобильной связи), вызывает у меня некоторые сомнения. Однако это действительно может быть, если весь контроль над связью сосредоточен в руках государства, а весь трафик проходит через одну точку. Тогда если работоспособность такого узла нарушится, то выйдет из строя вся система связи. В России Интернет уже построен не так, поэтому там это вряд ли возможно.
Теоретически могут забрать домены и/или IP-адреса. Однако мировая культура несколько отличается от поведения россиян. Введенные санкции Европы и США до сих пор были по возможности направлены против компаний и людей поименно и старались не затронуть непосредственно население России. Поэтому в сложившейся ситуации вряд ли санкции изменят свою направленность. Можно также упомянуть и о том, что в правлении RIPE NCC (фр. Réseaux IP Européens + англ. Network Coordination Centre) присутствует один россиянин (Дмитрий Бурков). И хотя при «тупом» голосовании это только один голос из нынешних шести, но подозреваю, что «тупых» голосований не бывает.
По поводу «внутренние Интернет-ресурсы будут работать по-прежнему, но не будут видны извне». Если допустить, что описанный апокалипсис произойдет, то подозреваю, что достаточно заметное количество российских серверов находится на заграничных хостингах. Поэтому не все будут работать по-прежнему.
Нельзя сказать, что IP-адреса куплены. Процедура немного другая. Любой желающий может стать членом RIPE, и за это придется платить взнос. Члены RIPE получают IP-адреса. В зависимости от количества полученных IP-адресов может определяться размер членства в RIPE и от этого может зависеть ежегодная плата. Тем не менее:
1. Это не покупка, как в магазине: пришел, заплатил деньги, получил товар.
2. IP-адреса не продаются (как и домены), они предоставляются как услуга, но это не вещь, на которую могут распространяться права собственности.
P. S. Учитывая то, что описано в статье http://habrahabr.ru/post/209746/, если так уж припечет, «внешним врагам» выгоднее сохранить Интернет в России, чем его отключить.
Тарас Гейченко, технический директор Hostmaster Ltd.
Web-droid редактор
вологість:
тиск:
вітер:
Достоинства материнских плат MSI
Сердцем компьютера считается процессор, однако без добротной материнки он теряет свою ценность. Системная плата выполняет объединяющую функцию и корректное функционирование основных компьютерных комплектующих и периферии
Новый Xiaomi Smart Doorbell 3S с поддержкой Wi-Fi 6 оснащен встроенной камерой и корпусом защищенным по IP65
Xiaomi умный домОсновное преимущество Xiaomi Smart Doorbell 3S заключается в том, что оно оснащено камерой с ночным режимом видеозаписи
Google Chat запускает голосовые сообщения
Google мессенджер обновлениеПользователи смогут отправлять голосовые сообщения в Google Chat, просто касаясь иконки микрофона возле поля для текста и начиная запись.