大胆欧美熟妇xx,国产福利一区二区三区在线观看,精品免费观看调教网

您當(dāng)前所在位置：首頁 → 系統(tǒng)集成 → 網(wǎng)絡(luò)管理 → 路由擴(kuò)散技術(shù)

路由擴(kuò)散技術(shù) 時間：2015/6/28來源：IT貓撲網(wǎng)作者：網(wǎng)管聯(lián)盟我要評論(0)

GFW的重要工作方式之一是在網(wǎng)絡(luò)層的針對IP的封鎖。事實上，GFW采用的是一種比傳統(tǒng)的訪問控制列表（access Control List，ACL）高效得多的控制訪問方式——路由擴(kuò)散技術(shù)。分析這種新的技術(shù)之前先看看傳統(tǒng)的技術(shù)，并介紹幾個概念。

訪問控制列表（ACL）

ACL可以工作在網(wǎng)絡(luò)的二層（鏈路層）或是三層（網(wǎng)絡(luò)層），以工作在三層的ACL為例，基本原理如下：想在某個路由器上用ACL控制（比如說是切斷）對某個IP地址的訪問，那么只要把這個IP地址通過配置加入到ACL中，并且針對這個IP地址規(guī)定一個控制動作，比如說最簡單的丟棄。當(dāng)有報文經(jīng)過這個路由器的時候，在轉(zhuǎn)發(fā)報文之前首先對ACL進(jìn)行匹配，若這個報文的目的IP地址存在于ACL中，那么根據(jù)之前ACL中針對該IP地址定義的控制動作進(jìn)行操作，比如丟棄掉這個報文。這樣通過ACL就可以切斷對于這個IP的訪問。ACL同樣也可以針對報文的源地址進(jìn)行控制。如果ACL工作在二層的話，那么 ACL控制的對象就從三層的IP地址變成二層的MAC地址。從ACL的工作原理可以看出來，ACL是在正常報文轉(zhuǎn)發(fā)的流程中插入了一個匹配ACL的操作，這肯定會影響到報文轉(zhuǎn)發(fā)的效率，如果需要控制的IP地址比較多，則ACL列表會更長，匹配ACL的時間也更長，那么報文的轉(zhuǎn)發(fā)效率會更低，這對于一些骨干路由器來講是不可忍受的。

路由協(xié)議與路由重分發(fā)

而GFW的網(wǎng)絡(luò)管控方法是利用了OSPF等路由協(xié)議的路由重分發(fā)（redistribution）功能，可以說是"歪用"了這個本來是正常的功能。

動態(tài)路由協(xié)議

說路由重分發(fā)之前先簡單介紹下動態(tài)路由協(xié)議。正常情況下路由器上各種路由協(xié)議如OSPF、IS-IS、BGP等，各自計算并維護(hù)自己的路由表，所有的協(xié)議生成的路由條目最終匯總到一個路由管理模塊。對于某一個目的IP地址，各種路由協(xié)議都可以計算出一條路由。但是具體報文轉(zhuǎn)發(fā)的時候使用哪個協(xié)議計算出來的路由，則由路由管理模塊根據(jù)一定的算法和原則進(jìn)行選擇，最終選擇出來一條路由，作為實際使用的路由條目。

靜態(tài)路由

相對于由動態(tài)路由協(xié)議計算出來的動態(tài)路由條目，還有一種路由不是由路由協(xié)議計算出來的，而是由管理員手工配置下去的，這就是所謂的靜態(tài)路由。這種路由條目優(yōu)先級最高，存在靜態(tài)路由的情況下路由管理模塊會優(yōu)先選擇靜態(tài)路由，而不是路由協(xié)議計算出來的動態(tài)路由。

路由重分發(fā)

剛才說到正常情況下各個路由協(xié)議是只維護(hù)自己的路由。但是在某些情況下比如有兩個AS（自治系統(tǒng)），AS內(nèi)使用的都是OSPF協(xié)議，而AS之間的 OSPF不能互通，那么兩個AS之間的路由也就無法互通。為了讓兩個AS之間互通，那么要在兩個AS之間運行一個域間路由協(xié)議BGP，通過配置，使得兩個 AS內(nèi)由OSPF計算出來的路由，能通過BGP在兩者之間重分發(fā)。BGP會把兩個AS內(nèi)部的路由互相通告給對方AS，兩個AS就實現(xiàn)了路由互通。這種情況就是通過BGP協(xié)議重分發(fā)OSPF協(xié)議的路由條目。

另外一種情況，管理員在某個路由器上配置了一條靜態(tài)路由，但是這條靜態(tài)路由只能在這臺路由器上起作用。如果也想讓它在其他的路由器上起作用，最笨的辦法是在每個路由器上都手動配置一條靜態(tài)路由，這很麻煩。更好的方式是讓OSPF或是IS-IS等動態(tài)路由協(xié)議來重分發(fā)這條靜態(tài)路由，這樣通過動態(tài)路由協(xié) 議就把這條靜態(tài)路由重分發(fā)到了其他路由器上，省去了逐個路由器手工配置的麻煩。

GFW路由擴(kuò)散技術(shù)的工作原理

前面說了是"歪用"，正常的情況下靜態(tài)路由是由管理員根據(jù)網(wǎng)絡(luò)拓?fù)浠蚴腔谄渌康亩o出的一條路由，這條路由最起碼要是正確的，可以引導(dǎo)路由器把報文轉(zhuǎn)發(fā)到正確的目的地。而GFW的路由擴(kuò)散技術(shù)中使用的靜態(tài)路由其實是一條錯誤的路由，而且是有意配置錯誤的。其目的就是為了把本來是發(fā)往某個IP地址的報文統(tǒng)統(tǒng)引導(dǎo)到一個"黑洞服務(wù)器"上，而不是把它們轉(zhuǎn)發(fā)到正確目的地。這個黑洞服務(wù)器上可以什么也不做，這樣報文就被無聲無息地丟掉了。更多地，可以在服務(wù)器上對這些報文進(jìn)行分析和統(tǒng)計，獲取更多的信息，甚至可以做一個虛假的回應(yīng)。

評價

有了這種新的方法，以前配置在ACL里的每條IP地址就可以轉(zhuǎn)換成一條故意配置錯誤的靜態(tài)路由信息。這條靜態(tài)路由信息會把相應(yīng)的IP報文引導(dǎo)到黑洞服務(wù)器上，通過動態(tài)路由協(xié)議的路由重分發(fā)功能，這些錯誤的路由信息可以發(fā)布到整個網(wǎng)絡(luò)。這樣對于路由器來講現(xiàn)在只是在根據(jù)這條路由條目做一個常規(guī)報文轉(zhuǎn)發(fā) 動作，無需再進(jìn)行ACL匹配，與以前的老方法相比，大大提高了報文的轉(zhuǎn)發(fā)效率。而路由器的這個常規(guī)轉(zhuǎn)發(fā)動作，卻是把報文轉(zhuǎn)發(fā)到了黑洞路由器上，這樣既提高了效率，又達(dá)到了控制報文之目的，手段更為高明。

這種技術(shù)在正常的網(wǎng)絡(luò)運營當(dāng)中是不會采用的，錯誤的路由信息會擾亂網(wǎng)絡(luò)。正常的網(wǎng)絡(luò)運營和管控體系的需求差別很大，管控體系需要屏蔽的IP地址會越來越多。正常的網(wǎng)絡(luò)運營中的ACL條目一般是固定的，變動不大、數(shù)量少，不會對轉(zhuǎn)發(fā)造成太大的影響。而這種技術(shù)直接頻繁修改骨干路由表，一旦出現(xiàn)問題，將會造成骨干網(wǎng)絡(luò)故障。

所以說GFW是歪用了路由擴(kuò)散技術(shù)，正常情況下沒有那個運營商會把一條錯誤的路由信息到處擴(kuò)散，這完全是歪腦筋�；蛘呦鄬τ谡５木W(wǎng)絡(luò)運營來說，GFW對路由擴(kuò)散技術(shù)的應(yīng)用是一種小聰明的做法。正常的路由協(xié)議功能被濫用至此，而且非常之實用與高效，?朝在這方面真是人才濟(jì)濟(jì)。

測量

GFW動態(tài)路由系統(tǒng)概括起來就是：人工配置(c)樣本路由器(sr)的靜態(tài)路由(r)，向各ISP的出入口路由器(or)擴(kuò)散此路由(r)，將特定網(wǎng)絡(luò)流量轉(zhuǎn)到黑洞服務(wù)器(fs)進(jìn)行記錄。因此可以進(jìn)行測量的項目有：

(r)被封鎖的IP列表：可以通過協(xié)作報告機制收集用戶報告，也可通過掃描著名站點獲得；（傳言：GFW動態(tài)路由系統(tǒng)的容量是幾十萬條規(guī)則）

(or)受到GFW影響的ISP出入口路由器：通過在廣域多ISP內(nèi)的節(jié)點協(xié)作traceroute可以測得；

(or)-(c)從關(guān)鍵詞生效到動態(tài)路由生效的延遲：通過建立蜜罐并提交給GFW然后觀察其響應(yīng)；

(fs)黑洞服務(wù)器的健壯性：用偽源噪音流量對黑洞服務(wù)器進(jìn)行填充，觀測其響應(yīng)。

關(guān)鍵詞標(biāo)簽：路由擴(kuò)散

相關(guān)閱讀

文章評論

查看所有0條評論>>