Как убить интернет
По поводу заголовка стоит объясниться. Пост — это не что иное, как умозрительный эксперимент, который ни в коей мере не является инструкцией по уничтожению Всемирной паутины. Не призываю читателей уничтожить сеть. Напротив, настоятельно рекомендую отказаться от всяких попыток воплотить в жизнь эту безумную затею. И на это есть две веские причины.
Первая такова: уничтожение интернета стало бы величайшим террористическим актом в истории и крупнейшим преступлением против всего человечества. Ведь интернет — это не только клуб знакомств и площадка для флешмобов. Это еще и глобальные финансы, которые и так трещат по швам на грани очередного кризиса, и сложнейшие охранные системы, в том числе военного назначения, не говоря уж о всемирных университетах и научных организациях, и самые актуальные СМИ, и в конце концов — свобода слова.
Вторая причина состоит в том, что ваши старания по уничтожению Всемирной сети наверняка окажутся тщетны. Интернет — это колоссальная машина, опутавшая весь мир, не имеющая единого центра, способная мгновенно адаптироваться к сколь угодно крупным изменениям в своей структуре. Эта многоглавая гидра, мгновенно заживляющая любые раны, способна противостоять всякой напасти, будь то стихийное бедствие, теракт или политическая воля сильных мира сего. Это самый надежный и жизнеспособный механизм, когда-либо созданный человечеством.
Вот почему затеяна эту история с убийством интернета: попытаться хотя бы умозрительно уничтожить Всемирную паутину — это отличный способ убедиться в ее несокрушимой мощи.
Плоть интернета
Мы привыкли называть интернет виртуальным миром. На самом деле он более чем реален и представляет собой мириады тонн железа, опутавшего весь земной шар.
Локальная сеть
В небольшой компании из пяти-десяти сотрудников вполне можно организовать сеть, просто соединив все компьютеры сетевым кабелем. Главный недостаток такого решения следующий: сетевой протокол Ethernet предполагает, что каждый компьютер видит и анализирует все данные, попадающие в сеть, и лишь затем решает, предназначаются ли они ему или нет. На практике это означает, что если, скажем, в логистическом отделе один сотрудник отправит другому огромную базу данных, то пропускная способность сети будет использована полностью и бухгалтерия не сможет даже обменяться почтой. Если бы все компьютеры в интернете были объединены по принципу простой локальной сети, Всемирная сеть не продержалась бы и секунды. Чтобы защитить логистов от бухгалтеров, а вашу домашнюю сеть от всего остального мира, используются маршрутизаторы, или роутеры.
Клиент
Ваш домашний или рабочий компьютер с вероятностью 99% исполняет роль клиента, то есть позволяет вам пользоваться услугами Всемирной сети: просматривать сайты, проверять почту, общаться по Skype. Есть кое-что, что объединяет его со всеми другими компьютерами, подключенными к интернету во всем мире, равно как и с другими устройствами (серверами, роутерами, сетевыми картами): он понимает основные протоколы сети и имеет уникальный сетевой адрес. Поэтому он может обращаться к другим компьютерам, адреса которых знает, и запрашивать информацию исключительно для себя, на свой личный IP-адрес.
Роутер
Маршрутизатор, или роутер, — ключевое устройство Всемирной сети, которое выполняет роль почтового сортировщика. Это небольшой компьютер, который получает пакеты от всех подключенных к нему компьютеров, а отдает только тем, которые в этом действительно нуждаются. Если вы хотите разделить локальную сеть компании по отделам и подключить ее к интернету, достаточно небольшого роутера. В его памяти есть конфигурационная таблица, в которой записано, сколько компьютеров подключено к тому или иному порту. У него также есть IP-адрес и, подсоединяясь к более крупному роутеру интернет-провайдера, он может сообщить ему: «Я роутер такой-то, за мной столько-то машин с такими-то адресами». Его функция — получать из интернета пакеты по запросу всех компьютеров стоящей за ним сети, но доставлять их только тем машинам, которым они предназначены.
Провайдер
В здании провайдера — организации, обеспечивающей клиентам доступ в интернет — вы найдете много роутеров. Но выглядеть они будут не так, как небольшой маршрутизатор корпоративной сети. Огромные шкафы содержат от сотен до миллионов модемов и сетевых портов, объединяя в единую сеть легионы пользователей. На уровне провайдера удобно проследить важный механизм маршрутизатора под названием «маска подсети». Его суть в том, что, если один клиент провайдера запрашивает информацию с компьютера другого клиента провайдера, пакет не выйдет за пределы провайдерской сети. Если же нужные данные хранятся у клиента соседнего провайдера, пакеты пройдут через так называемую пиринговую сеть, соединяющую сети крупных поставщиков интернета. Провайдеры создают весьма обширные пиринговые сети. Роутеры рассчитывают кратчайший путь пакета от клиента к клиенту, но если участок сети окажется поврежден, пакеты найдут путь в обход.
Точка обмена интернет-трафиком
IXP (Internet Exchange Points) — это крупнейшие транспортные узлы, которые сообща создаются крупными интернет-провайдерами для сокращения пути прохождения трафика. Скажем, пакет данных может попасть из Санкт-Петербурга во Владивосток через пиринговые сети многих провайдеров разных городов, а может пройти лишь три точки: локальных провайдеров во Владивостоке и Питере и московскую точку обмена MSK-IX. Здесь денно и нощно трудятся колоссальные маршрутизаторы, основанные на архитектуре суперкомпьютеров, способные передавать 60 млн пакетов в секунду. И все же наличие IXP вовсе не отменяет пиринговые сети. Если точка обмена выйдет из строя, пакеты все равно найдут обходной путь к адресату.
Backbone
Английским словом Backbone (хребет) называют глобальную сеть высокоскоростных соединений между интернет-узлами крупнейших телекоммуникационных компаний мира. Характерная черта «хребта» заключается в том, что крупнейшие игроки не платят друг другу за пиринг, вместо этого предоставляя за плату доступ к «хребту» менее крупным провайдерам. «Хребет» состоит из сотен оптоволоконных кабелей с пропускной способностью свыше 2500 Мбит/с, опутавших весь земной шар. Backbone делает интернет по-настоящему глобальным. Пока хоть один провайдер подключен к «хребту», все сети, имеющие с ним пиринговые отношения, имеют доступ к информации.
Сервер
Сервер — это компьютер, предназначенный для выполнения сервисных функций по запросу клиента: показа сайтов, пересылки почты, хранения профилей в соцсетях и др. Сервером может служить любая машина, даже домашний компьютер. Но он обязательно должен иметь постоянный IP-адрес, чтобы компьютеры-клиенты могли найти его в сети. Клиентским машинам постоянный адрес необязателен, потому что информацию они получают по запросу в рамках одной рабочей сессии (одного подключения). При каждом подключении провайдер обычно присваивает домашнему компьютеру новый адрес.
DNS-Сервер
Domain Name Server (сервер доменных имен) — один из ключевых элементов интернета. Компьютеры-клиенты обращаются к серверам по IP-адресам, например74.125.224.72. Людям же удобнее пользоваться именами, например google.com. DNS-серверы — переводчики, содержащие информацию о соответствии имен сайтов IP-адресам их серверов. Нетрудно догадаться, что на долю DNS-запросов приходится чудовищное количество трафика в интернете. DNS — разветвленная система, и небольшой DNS-сервер есть у каждого провайдера. Он запоминает адреса сайтов, запрашиваемых пользователями своей сети, и хранит их некоторое время. Если ближайший DNS-сервер не может найти нужного адреса, он обращается к коллегеи т. д.Если же пользователь запросил редкий сайт, который не помнит ни один DNS-сервер в округе, на помощь приходят корневые DNS-серверы — 13 огромных дата-центров, которые знают, где искать путь ко всем сайтам, зарегистрированным в доменах первого уровня (com, org, ru).
Режь красный
На вопрос «как уничтожить сеть?», пожалуй, любой ответит: перерезать провода. Давайте попробуем рассечь Всемирную паутину надвое. Проще это сделать там, где нет вездесущих провайдеров и точек обмена трафиком, опутавших континенты своими разветвленными пиринговыми сетями, — в океане. Наша первая цель — навсегда разлучить Америку с Европой.
По дну Атлантического океана проходит около 20 кабелей, соединяющих Старый Свет с Новым. Обрыв кабеля, например корабельным якорем, — нередкое явление. Оно дорого обходится телекоммуникационной компании, но проходит практически незаметно для пользователей по обе стороны океана. Чтобы заметно снизить скорость соединения, а тем более отключить сеть в целом регионе, нужно поразить сразу несколько крупных артерий. Пока что такое было под силу лишь стихии: в 2006 году сдвиг литосферных плит уничтожил сразу девять подводных кабелей между Тайванем и Филиппинами, оборвав доступ к сети на несколько недель.
Грандиозное цунами в Японии, принесшее массу бед в марте 2011 года, оборвало много кабелей, однако доступ в интернет в стране оставался более-менее стабильным благодаря многократному резервированию. От обрыва одного-двух кабелей могут пострадать только клиенты нерадивых провайдеров, которые не удосужились подключиться к нескольким каналам связи. Сегодня таких почти не осталось: ведь параллельное подключение страхует не только и не столько от форс-мажора, сколько от перегрузки каналов связи трафиком.
Итак, чтобы поделить мир надвое, нужно рубить все кабели одновременно. Список всех подводных кабелей планеты с их примерным расположением — далеко не секрет. Правительственные организации, в частности Федеральное агентство по связи США, охотно делятся своими планами по развитию сети. Сегодня в мире более сотни крупных подводных кабелей, самый длинный из которых — SeaMeWe-3 — насчитывает 39 000 км в длину и проходит через территорию 33 стран.
Точное расположение кабелей скрывается, однако отыскать их несложно: для установочных работ нужен выход к морю, поэтому искомые провода, как правило, находятся недалеко от популярных городских пляжей. Яркие примеры — Мастик-Бич в окрестностях Нью-Йорка, Манахоукин и Такертон близ Нью-Джерси. В месте выхода на берег кабели, как правило, закапываются под землю, однако могучий океанский прибой нередко размывает грунт так сильно, что провода выходят на поверхность. Возможно, вам повезет, но, скорее всего, придется прочесать немало городских пляжей с металлоискателем.
Наконец, если захотите заняться вандализмом в одиночку, прихватите бензопилу. Современный подводный кабель — это сверхпрочный композитный пруток из поликарбоната, стального корда, медной и алюминиевой трубки. Каждый метр 69-миллиметрового провода весит 10 кг.
Итак, вам удалось совершить невозможное и уничтожить все кабели атлантического побережья одновременно? Хотелось бы вас поздравить, но интернет все еще работает. Он просачивается с западного побережья Штатов на Ближний Восток. А упорному вредителю предстоит долгое путешествие по пляжам Сингапура и Гонконга, Великобритании и Франции, Индии, Египта и многих других стран.
Чертова дюжина
DNS-серверы хранят информацию о соответствии названий сайтов IP-адресам. Относительно древний интернет-протокол дарит злоумышленнику неожиданно щедрый подарок: корневых DNS-серверов может быть только 13, и ни одним сервером больше.
Именно корневые серверы хранят обширные адресные книги для всех сайтов мира. Они обозначаются буквами от А до М, и расположение каждого из них хорошо известно. К примеру, сервер D располагается в Мэрилендском университете, сервер К — в Майами, сервер М — в Сеуле. Это здания, внутри которых всегда темно и холодно. Здесь живут огромные компьютеры, обрабатывающие миллионы запросов в секунду. Поразите всего 13 целей — и слова Google и Facebook превратятся в пустой звук.
Как бы не так. По статистике, менее 30% DNS-запросов от пользователей проходят через корневые сервера. Система DNS равномерно размазана по земному шару не хуже самого интернета. У каждого крохотного провайдера есть свой DNS-сервер, который работает по принципу кэширования и помнит IP-адреса сайтов, к которым пользователи обращались за последнее время — от нескольких минут до нескольких дней. Даже если местечковый сервер забыл нужный сайт, он не станет беспокоить корневой сервер по пустякам, а для начала обратится к ближайшему соседу. Представьте себе, как часто толпы пользователей лезут на популярные сайты и сервисы, и вы поймете, что Facebook и Google могут годами жить во всемирном кэше, даже если корневые серверы исчезнут с лица земли.
Наконец, то, что корневых DNS-серверов всего 13, — это тоже распространенное заблуждение. Существует более 200 зеркал — их точных физических копий, разбросанных по всему миру. Например, зеркало сервера K вы найдете в Новосибирске, а сервера F — в Москве.
Виртуальное убийство
Резать кабели бензопилой? Что за странный архаичный способ выведения из строя высокотехнологичной сети! Зачем использовать грубую силу там, где достаточно злого ума и компьютера, подключенного к интернету? Можно ли вывести из строя Всемирную сеть, используя виртуальные хакерские методы?
Нормальные герои всегда идут в обход
Интернет на самом деле — не единая сеть, а множество более мелких автономных сетей, принадлежащих различным организациям и провайдерам. Они объединены между собой весьма разветвленными каналами связи, так что информация из одной точки в другую может идти различными путями. Собственно, именно такая структура и делает сеть столь надежной — в случае выхода каких-то сегментов или каналов из строя информация просто будет перенаправлена по другому маршруту. И именно в этом кроется одна из уязвимостей, которая позволяет нарушить работу интернета: BGP (Border Gateway Protocol) Route Leak (утечка маршрута), или нарушение связности сети.
Упрощенно говоря, автономная сеть любого провайдера снабжена «пограничными постами» (Border Gateway), через которые проходят каналы, соединяющие данную сеть с соседними автономными сетями (AS). По этим каналам каждый «пограничный пост» сообщает определенную информацию, а именно- название собственной сети (номер AS), названия других сетей и «дистанцию» до них. Эта информация, в свою очередь, транслируется «пограничниками» соседей далее и используется для составления оптимального (самого короткого) маршрута. «Система работает вполне стабильно до тех пор, пока эта информация соответствует действительности, — объясняет «Популярной механике» заместитель руководителя департамента эксплуатации компании «Яндекс» Владимир Иванов. — Но если какой-нибудь провайдер (AS1) начинает раздавать соседям неправильные указания — скажем, что самый короткий маршрут к конкретной автономной системе (AS2) лежит именно через него, разумеется, маршрутизация будет нарушена. Пользователи соседних провайдеров (AS3 и AS4), набравшие в своем браузере нужный адрес, просто не дождутся ответа — вместо того чтобы направляться на настоящий сервер (AS2) по реальному, но длинному пути, их запросы будут тихо умирать где-то в дебрях провайдера AS1. Причиной может быть злой умысел или, скажем, действие государственного провайдера по указанию правительства какой-нибудь тоталитарной страны, которому не понравился ролик, выложенный на видеохостинге. Но чаще всего причиной становится банальная ошибка или опечатка оператора, и вот уже вокруг провайдера расползается локальный интернет-блэкаут. Правда, его довольно быстро локализуют — обычно в течение часов или даже минут, реже случаются крупные утечки в несколько часов. Кроме того, провайдеры стараются с помощью разных методов проверять достоверность подобной информации и отсеивать заведомо ложные сведения». Но злонамеренное выведение сети из строя таким методом долговременной перспективы не имеет.
Каналы и порталы
Интересно, что в середине 1990-х, когда Всемирная сеть только начинала опутывать своими каналами земной шар, специалисты рассматривали в качестве одного из самых критических факторов пропускную способность каналов связи. Тогда это выглядело логично: если забить ограниченные каналы информационным мусором, то выловить в этом шуме полезный сигнал будет просто невозможно. Сейчас такой сценарий вызывает у специалистов только улыбки: «Пропускная способность современных каналов более не рассматривается как критичный фактор в глобальном масштабе, — говорит Владимир Иванов. — Существует большое количество резервных каналов, так что полностью «забить» их шумом попросту невозможно. Конечно, странички будут открываться чуть медленнее, но это не такая уж большая проблема. Впрочем, отдельные виды связи можно таким способом сделать неработоспособными: замерзающее изображение или прерывающийся звук не оставляют шанса голосовой или видеосвязи».
Еще один способ вывести интернет из строя — атака на поисковые порталы. Выведение из строя крупного поискового портала «Яндекс», конечно, окажет значительное влияние на работу российского сегмента интернета. К счастью, как считает Владимир Иванов, такой исход маловероятен: «Любой поисковый портал рассматривает подобные варианты очень серьезно, и «Яндекс» не исключение. Мы используем каналы связи с высокой пропускной способностью, а также несколько центров обработки данных. Ну а на другие случаи есть специальные сценарии, и есть группа, которая занимается активным противодействием разным изощренным атакам».
Государство против интернета
Среди факторов, способных лишить жителей Земли доступа ко Всемирной паутине, вовсе не одни злоумышленники и катастрофы природного или техногенного характера. Слишком свободное распространение информации по интернету вызывает обеспокоенность властей ряда государств, в которых правительство и уполномоченные службы пытаются ограничить доступ граждан к ресурсам Всемирной сети.
В частности, представители фундаменталистского режима в Иране уже объявили, что намерены с 2013 года отрезать Исламскую республику от глобального интернета. Граждане Ирана смогут пользоваться лишь ресурсами изолированного национального сегмента, который превратится в локальный «интранет». Другой, более известный пример — «великая китайская стена» — национальный файервол, фильтрующий весь входящий и исходящий контент для самой населенной в мире страны. Закон о пресловутых «черных списках» интернет-ресурсов обсуждается и российскими законодателями. О том, какие возможности есть у государства для ограничения или отключения доступа к интернету, насколько эффективными могут быть такие меры и можно ли их обойти, «ПМ» побеседовала с экспертами Национальной ассоциации домовых информационно-коммуникационных сетей (НАДИКС) — юридическим советником организации Михаилом Пашковым и председателем ревизионной комиссии Николаем Корватским.
Слишком много «дыр»
«Согласно российским законам пользование интернетом не относится к неотъемлемым правам гражданина, Конституцией не гарантировано, а потому правительство может на законных основаниях прекращать любой вид электросвязи при чрезвычайных обстоятельствах, — говорит Михаил Пашков. — И конечно, у государства много возможностей для того, чтобы дать гражданам интернет в том виде, в каком оно считает нужным. Есть пример китайского файервола: поскольку все точки входа и выхода трафика на границе китайского сегмента принадлежат государству, власти Китая смогли установить на этих точках фильтрующее оборудование. Последние законодательные инициативы говорят о том, что подобным примерам собирается следовать и Россия. Однако нужно сказать, что закон разрабатывался людьми, плохо понимающими техническую основу современной связи. Интернет сегодня очень сложно ограничить и практически невозможно отключить. Блокировку отдельных ресурсов провайдерами легко обойти с помощью доступных анонимайзеров и прокси-серверов. Запрещенный контент можно также будет «выудить» из кэша поисковых систем, получить по электронной почте через специальные сервисы». Кстати, довольно эффективным шагом можно назвать договор между компанией Google и правительством КНР, в котором предусмотрено ограничение или запрет поисковых выдач по ключевым словам".
Дорого, опасно и бессмысленно
«Борьба с интернетом может иметь фатальные последствия для экономики, — считает Николай Корватский. — Обмен информацией по сети критичен для многих сфер экономики и административного управления. Если скомандовать провайдерам и выключить интернет, остановятся банковские платежи, перестанут работать светофоры, начнутся отключения электроэнергии, пассажиры останутся без билетов на самолеты. Вычленить же из сети в реальном времени «полезный» трафик и отделить его от «вредного» технически невозможно. В то время как пиратский сайт может менять свой IP-адрес раз в три дня и всегда оставаться доступным, блокировка одного ресурса из «черного списка» способна отключить десятки других ни в чем не повинных сетевых страниц, привести к разрыву связанности сети.
Но если даже власти пойдут на экономические и административные издержки и временно прекратят деятельность всех национальных провайдеров, полностью «отрубить» страну от сети вряд ли получится. В последние годы интернет стал так насущно необходим жителям Земли, что даже обитатели отдаленных полярных районов, высокогорий или островов в океане готовы оплачивать широкополосный доступ в сеть через спутник. И в связи с массовостью этого спроса некогда безумно дорогой спутниковый трафик стал быстро дешеветь. Уже сегодня в России наряду с асинхронным спутниковым интернетом (когда исходящий трафик передается по мобильным сетям) предлагается оборудование для синхронного, двустороннего спутникового интернета по цене от 60 000 руб., что уже не заоблачные деньги. Имея антенну-тарелку до 2 м диаметром и дизель-генератор, можно заходить в интернет, даже если вокруг выключено электричество, не работает сотовая связь и отрублены все провода. Причем можно пользоваться как российским спутником, так и (при желании) иностранным — достаточно лишь заблаговременно оплатить аккаунт. Поскольку связь со спутником осуществляется с помощью узконаправленного луча, запеленговать это подключение будет крайне сложно и невероятно дорого.
Кстати, уже сейчас ряд крупных иностранных корпораций, создающих предприятия в России, предпочитают устанавливать широкополосную связь со своими филиалами с помощью двухстороннего спутникового интернета, то есть в обход российских провайдеров и установленной у них аппаратуры СОРМ».
Легион пакетов
В интернете мы используем разные протоколы. Для просмотра сайтов необходим протокол гипертекста HTTP (Hypertext Transfer Protocol), для передачи файлов — FTP (File Transfer Protocol), для работы с почтой — POP3, IMAP или SMTP. Два наиболее важных протокола — протокол управления передачей данных TCP (Transfer Control Protocol) и межсетевой протокол IP (Internet Protocol). Их часто упоминают вместе: TCP/IP.
Важнейшая часть сетевого протокола — пакетная передача. Любые данные путешествуют по сети, будучи разбитыми на небольшие пакеты по 1000—1500 байт. Пакеты имеют заголовки, чтобы каждый компьютер, встретивший их на пути, мог узнать, что за данные находятся в пакете, для кого они предназначены, на сколько пакетов разбит исходный файл и как собрать все относящиеся к нему пакеты воедино. Важно, что разные части файла могут прийти от отправителя адресату совершенно разными путями, но он по-прежнему сможет их собрать. Пакетная передача и гибкая маршрутизация — это главный оплот неуязвимости интернета.
Атака Каминского
Следующий способ виртуального «разрушения» интернета основан на методе использования бреши в системе DNS, описанном в 2008 году экспертом по сетевой безопасности Дэном Камински. Когда пользователь набирает в адресной строке компьютера адрес сайта, браузер запрашивает у DNS-сервера провайдера IP-адрес сайта. Если в кэше DNS-сервера провайдера нет этого адреса, запрос передается далее — на корневой DNS-сервер, тот рекомендует обратиться к DNS-серверу, ответственному за зону .ru. Последний отсылает к DNS-серверу домена ns1.imedia.ru, который и выдает нужный IP-адрес. (Так выглядит ситуация в случае с нерекурсивным запросом, при рекурсивном запросе всю работу выполняет DNS-сервер провайдера, пользователь получает готовый ответ.) Чтобы сэкономить время и трафик, все эти запросы передаются с помощью протокола UDP, не предусматривающего выделенного соединения — то есть просто запрос-ожидание-ответ. Никакой проверки на достоверность ответа не происходит. Этим могут воспользоваться атакующие, рассылающие массовые фальшивые «ответы от DNS-сервера». Если такой «ответ» попадет к DNS-серверу провайдера (или к браузеру) в нужный момент (когда запрос ушел, а настоящий ответ еще не получен), пользователь может быть направлен на совершенно другой сайт (пришедшие позднее настоящие ответы будут игнорироваться). Такая подмена ответов от сервера доменных имен называется DNS spoofing. Это довольно распространенный метод сетевого мошенничества, однако в последние несколько лет, по словам Владимира Иванова, с ним активно борются введением DNSSEC (Domain Name System Security Extensions) — набора спецификаций, позволяющих провести аутентификацию данных DNS.
http://informburo.dn.ua 20.09.2016
|