IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 路由擴(kuò)散技術(shù)

路由擴(kuò)散技術(shù)

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

??? GFW的重要工作方式之一是在網(wǎng)絡(luò)層的針對IP的封鎖。事實上,GFW采用的是一種比傳統(tǒng)的訪問控制列表(Access Control List,ACL)高效得多的控制訪問方式——路由擴(kuò)散技術(shù)。分析這種新的技術(shù)之前先看看傳統(tǒng)的技術(shù),并介紹幾個概念。

??? 訪問控制列表(ACL)

??? ACL可以工作在網(wǎng)絡(luò)的二層(鏈路層)或是三層(網(wǎng)絡(luò)層),以工作在三層的ACL為例,基本原理如下:想在某個路由器上用ACL控制(比如說是切 斷)對某個IP地址的訪問,那么只要把這個IP地址通過配置加入到ACL中,并且針對這個IP地址規(guī)定一個控制動作,比如說最簡單的丟棄。當(dāng)有報文經(jīng)過這 個路由器的時候,在轉(zhuǎn)發(fā)報文之前首先對ACL進(jìn)行匹配,若這個報文的目的IP地址存在于ACL中,那么根據(jù)之前ACL中針對該IP地址定義的控制動作進(jìn)行 操作,比如丟棄掉這個報文。這樣通過ACL就可以切斷對于這個IP的訪問。ACL同樣也可以針對報文的源地址進(jìn)行控制。如果ACL工作在二層的話,那么 ACL控制的對象就從三層的IP地址變成二層的MAC地址。從ACL的工作原理可以看出來,ACL是在正常報文轉(zhuǎn)發(fā)的流程中插入了一個匹配ACL的操作, 這肯定會影響到報文轉(zhuǎn)發(fā)的效率,如果需要控制的IP地址比較多,則ACL列表會更長,匹配ACL的時間也更長,那么報文的轉(zhuǎn)發(fā)效率會更低,這對于一些骨干 路由器來講是不可忍受的。

??? 路由協(xié)議與路由重分發(fā)

??? 而GFW的網(wǎng)絡(luò)管控方法是利用了OSPF等路由協(xié)議的路由重分發(fā)(redistribution)功能,可以說是"歪用"了這個本來是正常的功能。

??? 動態(tài)路由協(xié)議

??? 說路由重分發(fā)之前先簡單介紹下動態(tài)路由協(xié)議。正常情況下路由器上各種路由協(xié)議如OSPF、IS-IS、BGP等,各自計算并維護(hù)自己的路由表,所有 的協(xié)議生成的路由條目最終匯總到一個路由管理模塊。對于某一個目的IP地址,各種路由協(xié)議都可以計算出一條路由。但是具體報文轉(zhuǎn)發(fā)的時候使用哪個協(xié)議計算 出來的路由,則由路由管理模塊根據(jù)一定的算法和原則進(jìn)行選擇,最終選擇出來一條路由,作為實際使用的路由條目。

??? 靜態(tài)路由

??? 相對于由動態(tài)路由協(xié)議計算出來的動態(tài)路由條目,還有一種路由不是由路由協(xié)議計算出來的,而是由管理員手工配置下去的,這就是所謂的靜態(tài)路由。這種路由條目優(yōu)先級最高,存在靜態(tài)路由的情況下路由管理模塊會優(yōu)先選擇靜態(tài)路由,而不是路由協(xié)議計算出來的動態(tài)路由。

??? 路由重分發(fā)

??? 剛才說到正常情況下各個路由協(xié)議是只維護(hù)自己的路由。但是在某些情況下比如有兩個AS(自治系統(tǒng)),AS內(nèi)使用的都是OSPF協(xié)議,而AS之間的 OSPF不能互通,那么兩個AS之間的路由也就無法互通。為了讓兩個AS之間互通,那么要在兩個AS之間運行一個域間路由協(xié)議BGP,通過配置,使得兩個 AS內(nèi)由OSPF計算出來的路由,能通過BGP在兩者之間重分發(fā)。BGP會把兩個AS內(nèi)部的路由互相通告給對方AS,兩個AS就實現(xiàn)了路由互通。這種情況 就是通過BGP協(xié)議重分發(fā)OSPF協(xié)議的路由條目。

??? 另外一種情況,管理員在某個路由器上配置了一條靜態(tài)路由,但是這條靜態(tài)路由只能在這臺路由器上起作用。如果也想讓它在其他的路由器上起作用,最笨的 辦法是在每個路由器上都手動配置一條靜態(tài)路由,這很麻煩。更好的方式是讓OSPF或是IS-IS等動態(tài)路由協(xié)議來重分發(fā)這條靜態(tài)路由,這樣通過動態(tài)路由協(xié) 議就把這條靜態(tài)路由重分發(fā)到了其他路由器上,省去了逐個路由器手工配置的麻煩。

??? GFW路由擴(kuò)散技術(shù)的工作原理

??? 前面說了是"歪用",正常的情況下靜態(tài)路由是由管理員根據(jù)網(wǎng)絡(luò)拓?fù)浠蚴腔谄渌康亩o出的一條路由,這條路由最起碼要是正確的,可以引導(dǎo)路由器把報文轉(zhuǎn)發(fā)到正確的目的地。而GFW的路由擴(kuò)散技術(shù)中使用的靜態(tài)路由其實是一條錯誤的路由,而且是有意配置錯誤的。其目的就是為了把本來是發(fā)往某個IP地址的報文統(tǒng)統(tǒng)引導(dǎo)到一個"黑洞服務(wù)器"上,而不是把它們轉(zhuǎn)發(fā)到正確目的地。這個黑洞服務(wù)器上可以什么也不做,這樣報文就被無聲無息地丟掉了。更多地,可以在服務(wù)器上對這些報文進(jìn)行分析和統(tǒng)計,獲取更多的信息,甚至可以做一個虛假的回應(yīng)。

??? 評價

??? 有了這種新的方法,以前配置在ACL里的每條IP地址就可以轉(zhuǎn)換成一條故意配置錯誤的靜態(tài)路由信息。這條靜態(tài)路由信息會把相應(yīng)的IP報文引導(dǎo)到黑洞 服務(wù)器上,通過動態(tài)路由協(xié)議的路由重分發(fā)功能,這些錯誤的路由信息可以發(fā)布到整個網(wǎng)絡(luò)。這樣對于路由器來講現(xiàn)在只是在根據(jù)這條路由條目做一個常規(guī)報文轉(zhuǎn)發(fā) 動作,無需再進(jìn)行ACL匹配,與以前的老方法相比,大大提高了報文的轉(zhuǎn)發(fā)效率。而路由器的這個常規(guī)轉(zhuǎn)發(fā)動作,卻是把報文轉(zhuǎn)發(fā)到了黑洞路由器上,這樣既提高 了效率,又達(dá)到了控制報文之目的,手段更為高明。

??? 這種技術(shù)在正常的網(wǎng)絡(luò)運營當(dāng)中是不會采用的,錯誤的路由信息會擾亂網(wǎng)絡(luò)。正常的網(wǎng)絡(luò)運營和管控體系的需求差別很大,管控體系需要屏蔽的IP地址會越 來越多。正常的網(wǎng)絡(luò)運營中的ACL條目一般是固定的,變動不大、數(shù)量少,不會對轉(zhuǎn)發(fā)造成太大的影響。而這種技術(shù)直接頻繁修改骨干路由表,一旦出現(xiàn)問題,將 會造成骨干網(wǎng)絡(luò)故障。

??? 所以說GFW是歪用了路由擴(kuò)散技術(shù),正常情況下沒有那個運營商會把一條錯誤的路由信息到處擴(kuò)散,這完全是歪腦筋?;蛘呦鄬τ谡5木W(wǎng)絡(luò)運營來 說,GFW對路由擴(kuò)散技術(shù)的應(yīng)用是一種小聰明的做法。正常的路由協(xié)議功能被濫用至此,而且非常之實用與高效,?朝在這方面真是人才濟(jì)濟(jì)。

??? 測量

??? GFW動態(tài)路由系統(tǒng)概括起來就是:人工配置(c)樣本路由器(sr)的靜態(tài)路由(r),向各ISP的出入口路由器(or)擴(kuò)散此路由(r),將特定網(wǎng)絡(luò)流量轉(zhuǎn)到黑洞服務(wù)器(fs)進(jìn)行記錄。因此可以進(jìn)行測量的項目有:

??? (r)被封鎖的IP列表:可以通過協(xié)作報告機制收集用戶報告,也可通過掃描著名站點獲得;(傳言:GFW動態(tài)路由系統(tǒng)的容量是幾十萬條規(guī)則)

??? (or)受到GFW影響的ISP出入口路由器:通過在廣域多ISP內(nèi)的節(jié)點協(xié)作traceroute可以測得;

??? (or)-(c)從關(guān)鍵詞生效到動態(tài)路由生效的延遲:通過建立蜜罐并提交給GFW然后觀察其響應(yīng);

??? (fs)黑洞服務(wù)器的健壯性:用偽源噪音流量對黑洞服務(wù)器進(jìn)行填充,觀測其響應(yīng)。

關(guān)鍵詞標(biāo)簽:路由擴(kuò)散

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量