|
Professor Seleznov
|
Привет, Хабр! (И тебе, страдалец, который идя по улице не может зайти в приложения банка.)
В последнее время меня не отпускает одна мысль. Она засела в голове как тихий, но навязчивый системный процесс и пожирает ресурсы мозга, особенно когда читаешь новости об очередных блокировках и «белых списках», а особенно когда с ними сталкиваешься ежедневно так как я из региона. И я подумал, что неплохо бы разобраться в этом вопросе и заодно немного пофантазировать. Как делаю это я каждый раз сталкиваясь с напастью в виде не открывающегося приложения.
И MAX
Сегодня мы заглянем под капот - чисто гипотетически! - того самого «Великого НАШЕГО Белого Файрвола» и задумаемся: что если бы РКН подошли к вопросу не как политики, а как инженеры с истинной педантичностью?
Короче статья будет не особо технической, так как превзойти авторов которые уже написали на эту темубольшие исчерпывающие статьия не ставлю цели. Эта статья про фан, в такое не простое время для российского интернета, так что поехали.
Пасхалка: исходный код суверенитета
Говорят, в недрах Роскомнадзора, среди тысяч строк lifecycle-политик и конфигурационных скриптов, разбросанных по ТСПУ - техническим средствам противодействия угрозам - живёт загадочный кусочек. Это специальное оборудование РКН, установленное у операторов сотовой связи и пропускающее через себя 100% трафика, но не весь подряд. Предполагается, что где-то там в недрах есть некий «софтовый фильтр», примерно такой:
# core/sovereignty_engine.py
FOREIGN_DOMAINS = [...] # Блокируем всё зарубежное по GeoIP
RESOURCE_BLOCKLIST = [...] # Точечно бьем по особо нежелательным ресурсам
И вот тут и начинается самое интересное. Судя по (вымышленным) фрагментам, у ребят, возможно, стоит строгий линтер, который не терпит смешения языков в нейминге. Если уж они стремятся к технологической независимости, то никаких WHITE_LISTS, white_listsили whiteListтам быть не может. Только хардкор и дух Рунета:
# Это вам не какой-то импортозамещённый фреймворк, а истинно русская инженерия!
from roskomnadzor import БелыйСписок
Вы только вдумайтесь в эту красоту! Как поэтично звучит этот импорт. Никаких компромиссов: если мы строим наш интернет, пакет должен называться не rkn, а roskomnadzor, и экспортировать - только БелыйСписок. Ведь если изолироваться от зарубежных ресурсов, то делать это надо последовательно, на всех уровнях стека.
Как белый список работает в реальности
Мой гипотетический БелыйСписок - это не просто перечень разрешённых URL. Это двухуровневая фильтрация трафика, которая по слухам работает так:
На уровне IP (L3) - разрешённые подсети, в которые пакет может «идти дальше». Если IP назначения не в белом списке, пакет дропается сразу - т.е. физически не покидает сеть оператора.
На уровне SNI (L7 TLS ClientHello) - если IP разрешён, система смотрит, какое имя домена клиент пытается открыть. Если SNI не разрешён - соединение сбрасывается.
Проще говоря, фильтр бьёт не по адресам страницы, а по реальным сетевым пактам и их метаданным. Если у тебя IP или имя хоста нет в списке - то ничего ты не получишь!
Гипотетический класс БелыйСписок
Чтобы лучше понять, давайте представим, как мог бы выглядеть код такой системы:
class БелыйСписок:
"""
Главный фильтр сетевого трафика.
Всё, что не разрешено — запрещено.
"""
РАЗРЕШЁННЫЕ_IP = [
'77.88.55.0/24', # Подсеть Яндекса
'87.240.128.0/24', # Подсеть VK
# ... ещё CIDR
]
РАЗРЕШЁННЫЕ_SNI = [
'gosuslugi.ru', # Святой Грааль
'max.ru', # Модный мессенджер
'vkontakte.ru', # Без него никуда
'nalog.ru', # Штрафы сами себя не отправят
'yandex.ru', # Народный поисковик
'2gis.ru', # Чтобы не заблудиться
# TODO: дописать банки
]
def проверить_пакет(self, ip, sni):
if not self._ip_в_разрешённых(ip):
raise НеПройденаПроверкаНаБлагонадёжность("IP не в белом списке")
if not self._sni_в_разрешённых(sni):
raise НеПройденаПроверкаНаБлагонадёжность("SNI не прошёл проверку")
return True
def _ip_в_разрешённых(self, ip):
# Сложная проверка CIDR опущена, вернём True, если в списке
pass
def _sni_в_разрешённых(self, sni):
return sni in self.РАЗРЕШЁННЫЕ_SNI
Фильтр истинности, или как «запретить всё, кроме»
В этой архитектуре белый список - не просто перечень разрешённых URL. Это строгий фильтр доступа, который отсекает неугодные ресурсы на самой базовой сетевой инфраструктуре.
Google, Wikipedia, GitHub, YouTube - все они оказываются за пределами белого списка на уровне IP или SNI, и поэтому автоматически недоступны, без нужды отдельно блокировать каждый из них.
Есть даже моя ноу-хау версия «алгоритма проверки»:
def является_ли_пакет_истинно_российским(данные):
if 'gzip' in str(данные):
# Gzip был изобретён во Франции — увольняем пакет!
return False
if 'Content-Type: application/json' in str(данные):
# JSON — заслуга американца, пора переходить на отечественные форматы
return False
return True
Импортозамещение логов и сообщений
Когда система работает исключительно на русском - это должно отражается даже в логах:
[ОШИБКА] [фильтр_белый_список]: Домен 'playstation.com' не найден. Возможно, вы хотели открыть MAX?
Вместо привычного англоязычного сообщения:
[ERROR] [white_list_filter]: Domain 'playstation.com' not found in allowed list, dropping packet.
А ещё у меня есть идея: раз мы контролируем трафик, можно делать редиректы с неразрешённых URL на отечественные сайты - тогда и ошибок не будет, а пользователи будто бы «перенаправлены на родное» (с кодом 301).
Технические нюансы и лотерея белых списков
Но не всё так просто. Белые списки, по сообщениям с рынка, имеют одну неприятную особенность: оборудование РКН (ТСПУ) зачастую не справляется с пропускной способностью, если включён максимальный режим белого списка - который дропает всё, кроме разрешённого.
Когда нагрузка возрастает, система переходит в аварийный режим «пропускать без фильтров».
Здесь нужно такое сообщение: Обнаружена перегрузка системы. Просьба не злоупотреблять и не заходить на ресурсы без домена .ru.
Заключение, которое мы заслужили
Конечно, всё это - плод моих фантазий. В реальности белые списки - очень сложный многослойный механизм, который внедряется неравномерно и отличается по регионам, операторам и даже точкам доступа.
Но с банками и некоторыми другими сервисами становиться грустно, когда ты идёшь по улице и понимаешь, что не можешь зайти в важное приложение из-за ограничений. Не говоря уже о ютубчике или чём-то подобном (западном).
Если однажды среди вакансий вы увидите объявление:
«Требуется Senior Python Developer. Обязательно знание фреймворка roskomnadzor. Опыт работы с классами БелыйСписок и ПатриотическийПакет приветствуется»
- Знайте, я был к этому морально готов.
Мне очень понравилась статья -Это — всё что вам надо знать о белых списках: как устроены и 6 способов обходарекомендую и по этому я написал не пересказ того же, а более ироничный и упрощённый взгляд на то что происходит с интернетом, тем болеем накопилось этого во мне.
Спасибо, что дочитали! Надеюсь, эта небольшая инженерная фантазия немного расширила представление о том, как устроено интернет-пространство сегодня. Пишите свои мысли, иронию, и фантазируйте в комментах, я думаю это будет интересно.-Источник
|
