Сергей Апресов

Текст

Единый организм, опутавший весь земной шар. Саморегулирующаяся система, не имеющая единого центра управления. Огромная машина, которая никому не принадлежит. Сверхпрочная паутина, которая латает собственные дыры. К сожалению, завораживающие метафоры не всегда правдивы

Сегодняшний интернет населен гуще, чем вся планета Земля. Количество подключенных к нему устройств превысило 20 миллиардов, и все они живут по вполне человеческим законам: в своей домашней или офисной сети каждый сам устанавливает правила, но на высшем уровне главенствуют строгие протоколы, регулируемые международными организациями. «Цифровой океан» объясняет, как работает интернет и где у него кнопка, на которую можно надавить с недобрыми намерениями.

Адрес не дом и не улица

Слово «интернет» означает «сеть сетей». Любая сеть состоит из компьютеров и носителей. Носителем может быть медный провод, оптоволоконный кабель или радиоволны. К компьютерам в широком смысле стоит относить и телефоны, и планшеты, и даже «умные холодильники», в которые встроен сетевой чип.

Все подключенные компьютеры выполняют одну из трех ролей: клиент, сервер или маршрутизатор. Клиенты — ​это машины, которые непосредственно взаимодействуют с людьми: разнообразные гаджеты. Серверы отвечают на запросы клиентов. На них хранятся сайты и электронная почта «до востребования», базы данных, спутниковые карты, видео и все, что может понадобиться нам в интернете. Любой компьютер может работать и клиентом, и сервером, в зависимости от установленных программ. Но чаще похожие на черные ящики серверы живут в охлаждаемых шкафах дата-центров, а клиенты щеголяют яркими экранами и удобными клавиатурами.

У каждого компьютера в сети есть IP-адрес. IP расшифровывается как Internet Protocol. Протоколы играют важнейшую роль в интернете: это общепринятые «языки», благодаря которым устройства разных производителей могут общаться между собой. У клиентов IP-адреса часто меняются. Так, ваш телефон получает новый адрес от сотового оператора при каждом подключении. Серверам нужны постоянные IP-адреса, чтобы другие компьютеры могли найти их в сети. К примеру, сайт «Цифрового океана» хранится на сервере с адресом 91.238.227.51.

Четыре цифры, разделенные точками, чем-то напоминают телефонный номер. Но интернет больше похож на почту, чем на телефон. Когда мы созваниваемся по телефону, операторы создают между нашими аппаратами линию связи. Это единый провод, пусть и составленный из множества сегментов, который не разрывается до конца разговора.

Интернет работает по-другому. Чтобы отправить через электронную почту файл, ваш компьютер поделит его на множество мелких частей — ​пакетов. Каждый пакет отправится к почтовому серверу по оптимальному маршруту. И вполне возможно, что для разных пакетов пути будут различаться, как если бы почтовая служба отправила одну половину посылки самолетом, а другую — ​по морю.

Как пакет, отправленный во Всемирную паутину, находит своего адресата среди 20 миллиардов устройств? Ему помогают компьютеры третьего типа — ​маршрутизаторы, или, короче, роутеры.

Что такое TCP/IP?

Всемирная сеть надежнее, чем «Почта России», и пакеты в ней не теряются. За этим следит протокол управления передачей TCP (Transmission Control Protocol). В каждом пакете содержится адрес отправителя и получателя, порядковый номер пакета (он нужен, чтобы собрать из пакетов исходный файл) и контрольная сумма, вычисляемая на основе передаваемых данных. Компьютер, принявший пакет, считывает данные и рассчитывает собственную контрольную сумму. Если она не совпадает с той, что пришла в пакете, значит, данные были повреждены при пересылке и нужно запросить повторную отправку. При этом страдает скорость передачи, но не качество.  Иногда скорость важнее. К примеру, в интернет-телефонии используется протокол без контроля ошибок UDP, потому что от задержек качество звука страдает гораздо больше, чем от «шероховатостей» в цифрах.

Частная территория

Скорее всего, у вас дома есть маршрутизатор. Возможно, это коробочка с антеннами, которая висит над входной дверью и «раздает Wi-Fi». В таком случае носителем в вашей домашней сети служат радиоволны. Незаметно для вас роутер наделяет все устройства в доме IP-адресами и распределяет между ними пакеты. Например, пакеты с документами для печати он передает от ноутбука принтеру, не беспокоя при этом телефоны и планшеты.

Продвинутый пользователь может полновластно править домашней сетью: назначить устройствам постоянные IP-адреса, «поднять» сервер с семейными фотографиями и даже установить цензуру, запретив устройствам подключаться, например, к сайтам «для взрослых». Власть пользователя абсолютна, пока роутер не подключен к интернету. Как только в разъем включается провайдерский кабель, приходится учитывать правила провайдера.

На стороне оператора связи этот кабель подключен к такому же роутеру, только гораздо более мощному. Возможности современных маршрутизаторов впечатляют: к примеру, модель Huawei NE9000–20 способна перенаправить по нужным адресам 36 миллиардов пакетов в секунду. Сеть крупного оператора может состоять из множества подобных машин, обслуживающих легионы потребителей. В частности, «Ростелеком» предоставляет широкополосный доступ в интернет более чем 13 млрд клиентов. Гипотетически если ваш компьютер и сервер, на котором хранится любимый сайт, подключены к «Ростелекому», то трафик при просмотре сайта не покинет внутреннюю сеть оператора.

Изюминка интернета в том, что пакеты при этом будут идти по оптимальному маршруту. Каждый роутер подчиняется правилам маршрутизации. В них может быть прописано что-то вроде «пакеты пересылай роутеру с адресом x. x. x.x, а если он не отвечает слишком долго, шли по адресу y. y. y.y». Если соседний маршрутизатор перегружен, обесточен или оборвался кабель, пакеты автоматически найдут другой путь. Таким образом, сеть сама распределяет нагрузку между отдельными узлами и каналами, создает обходные пути в случае повреждения. Даже если перекусить крупный трансатлантический кабель, информация потечет по соседним. Интернет будет работать медленнее, но не отключится полностью.

Правила маршрутизации внутри своей сети определяет сам оператор. Но что происходит, если клиент «Ростелекома» обращается к серверу, который находится в сети «Вымпелкома» или вовсе за границей?

Как работает система доменных имен?

Компьютеры находят друг друга в сети по IP-адресам, но нам, людям, проще запомнить «цифровойокеан.рф», а не 141.101.193.46. Переводом адресов с человеческого языка на компьютерный занимается система доменных имен DNS (Domain Name System). Даже самый могучий сервер не смог бы вместить всю адресную книгу современного интернета и обрабатывать миллионы запросов в секунду. Когда вы набираете в браузере название сайта, ваш компьютер сперва спрашивает IP-адрес у ближайшего DNS-сервера. Скорее всего, это сервер провайдера, который запоминает (кеширует) недавние запросы пользователей и ответы на них. Если провайдерский сервер не знает искомый адрес, он спросит у вышестоящего провайдера, а тот — ​еще выше. Так запрос дойдет до одного из корневых DNS-серверов. В мире таких серверов всего 13, но у них много копий — ​зеркал. Корневые серверы знают, где найти адрес любого сайта в интернете. Система доменных имен, как и адресация, управляется структурами ICANN и на данный момент устроена так, что часть DNS-запросов из России проходит через серверы, расположенные за пределами страны. Это еще одна причина гипотетической неавтономности российского интернета.

Провайдер провайдеров

Рассказ об этом лучше начать именно с заграницы, потому что Всемирная сеть возникла и набирала силу в США. В середине 1970-х в Америке возникла первая опорная сеть — ​что-то вроде скоростной магистрали, достаточно крупной, чтобы обслуживать всех клиентов провайдеров по обе стороны от нее. В течение последующих тридцати лет в штатах формировалась сеть таких магистралей — ​«хребет» интернета (Internet backbone). Для европейских провайдеров подключиться к интернету — ​значило подключиться к «хребту». В какой-то момент возникла странная ситуация, когда трафик между Германией и Францией мог идти через США.

Современный международный «хребет» состоит из подводных и подземных кабелей, проложенных по всему миру. Скоростными информационными магистралями владеют операторы первого уровня (TierI) — ​своего рода «провайдеры провайдеров». На сегодняшний день их чуть больше десяти. Ко второму уровню (TierII) относятся национальные операторы, обслуживающие одну или несколько соседних стран (тот же «Ростелеком»). Провайдеры TierIII предоставляют доступ частным клиентам. «Третьи» собирают пакеты частников, «вторые» интегрируют трафик «третьих», «первые» — ​«вторых».

Ситуация, в которой трафик от одного московского провайдера к другому идет через Стокгольм, нередка, хотя оптимальной ее не назовешь. Чтобы срезать путь, два провайдера могут договориться перекинуть друг к другу мостик. Они протянут провода, условятся о настройках маршрутизаторов и ударят по рукам. Такие отношения называются пирингом.

Пиринг может быть устроен более сложно — ​через точку обмена трафиком, или IX (Internet Exchange). Это тоже «провайдер провайдеров», но созданный не для того, чтобы подключать клиентов к «хребту», а чтобы передавать трафик по кратчайшему пути между локальными операторами. Крупнейшая российская точка MSK-IX объединяет более 500 участников.

Большой плюс интернета в том, что он никому не принадлежит. Отдельными сегментами сети владеют компании из разных стран. Игроки этого рынка взаимозаменяемы: для перемещения данных между пользователями есть выбор из десятков, а то и сотен альтернативных маршрутов.

Но как получается, что среди миллиардов подключенных к сети устройств не найдется двух с одинаковыми IP-адресами? Как маршрутизаторы узнают, какие адреса стоят за их ближайшими соседями? Кто-то должен управлять этим централизованно.

Читать на ЦО.РФ
  • 04.03.2022

Если страну отключат от интернета, ей понадобится свой собственный Как это будет работать?

Раньше власти боялись, что Россию отключат от интернета, как это произошло с Сирией в 2012 году. Теперь боятся, что не отключат: хакерские атаки на ключевые интернет-сервисы в случае гипотетической кибервойны могут быть опаснее, чем тотальный блэкаут. Поэтому государство устанавливает «рубильник» на своей стороне

Пограничная служба

Многочисленных провайдеров и «провайдеров провайдеров» связывает в единую сеть протокол пограничного шлюза — ​BGP (Border Gateway Protocol). Он обеспечивает динамическую маршрутизацию трафика между так называемыми автономными системами. Автономной системой может быть признана сеть крупного оператора, фрагмент такой сети, точка обмена трафиком — ​физическое воплощение здесь не так важно. Суть понятия лежит в другой плоскости: автономная система — ​это сеть, за которой закреплен определенный набор IP-адресов в организации ICANN.

«Корпорация по управлению доменными именами и IP-адресами», сокращенно ICANN — ​это международная некоммерческая организация со штаб-квартирой в Лос-Анджелесе. Свои функции по раздаче адресов она реализует через региональных интернет-регистраторов — ​RIR (Regional Internet Registry). Ближайший к нам регистратор RIPE NCC располагается в Нидерландах, но и у него есть сеть локальных представителей LIR, в том числе и в России.

Компания, получившая в RIR статус автономной системы и пул адресов, должна как-то сообщить об этом интернету. Для этого ей понадобится специальный граничный маршрутизатор (border gateway), через который устанавливаются BGP-сессии с соседним провайдером. Если сравнить автономную систему с густонаселенным городом, то BGP-сессии — ​это скоростные вылетные магистрали.

Но сперва по всему миру разойдется анонс о новой автономной системе. Собственно BGP-протокол позволяет любому роутеру представиться хоть «Яндексом», хоть «Гуглом», чтобы попытаться перехватить чужой трафик. Но ICANN защищает сеть от роутеров-самозванцев с помощью системы контроля анонсов. Установить BGP-сессию может только то оборудование, которое прошло проверку по базам данных RIR.

Эти базы вызывают беспокойство сторонников «суверенного интернета». Ведь получается, что даже если маршрутизаторы находятся внутри страны и соединены кабелями, проложенными внутри страны, то их работоспособность зависит от организации, не имеющей к стране никакого отношения. Если отключить все провода, соединяющие российские сети с соседними государствами, внутренние операторы перестанут «видеть» друг друга.

Гипотетически, точечно воздействуя на инфраструктуру ICANN, предполагаемый «противник» может отключать от сети города, регионы, страны. Отключать на секунду, на час или навсегда. Но это только гипотетически.

Маршрутизация интернет-трафика скрыта от глаз пользователя. Функция трассировки позволяет увидеть, сколько роутеров и за какое время проходит пакет от вашего компьютера к искомому серверу, например тому, где расположен сайт ICANN. Для начала вызовите командную строку: на Mac нужно найти приложение Terminal, на Windows — ​«Командная строка» или cmd.exe. В строку на Mac введите «traceroute icann.org», на Windows — ​«tracert icann.org»

Паутина дипломатии

1 октября 2016 года закончился контракт ICANN с Министерством торговли США. С этого момента ICANN управляется исключительно мировым сообществом, и Америка не имеет в организации никаких дополнительных голосов, несмотря на штаб-квартиру в Лос-Анджелесе.

В эпоху гибридных войн мало кто верит официальным статусам. С другой стороны, за последние тридцать лет участники интернет-­сообщества продемонстрировали удивительную способность договариваться, кооперироваться, развиваться и решать проблемы сообща, всем миром. Дипломатам всех стран стоило бы поучиться у интернет-разработчиков.

И все-таки у него есть «кнопка»…

Материал опубликован в журнале «Цифровой океан» № 2, 2020, Natalia Shabasheva / iStock