От Павел Чайлик Ответить на сообщение
К Михайлов А. Ответить по почте
Дата 03.03.2010 12:28:53 Найти в дереве
Рубрики В стране и мире; Версия для печати

Раз тут такая тема пошла.

А особенно выше по ветке все в тему и в тему.

Набросок дизайна (эскиз).

1. Распределенная система виртуальной сети внутри логической сети интернета TCP/IP.
1.1. Система аутентификации по двойному ключу – обеспечение уникальности и защита от фальсификации узла.
1.2. Система поддержки избыточной распределенной базы данных узлов, предположительно, оптимизирующая поиск других узлов в процессе использования интернет-сервисов (обычного трафика между узлами сети). Т.е., совсем грубо, - список <узел/сертификат>:. Это задача более математическая, нежели прикладная. Тут всякие графы и вопросы оптимизации обмена информации, избыточности, надежности и минимизации трафика в графе. Ну и сам граф, какой-то такой динамический и распределенный. При правильной архитектуре проекта система оптимизации может быть независимой (заменяемой, развиваемой) от верхних/параллельных сервисных прикладных компонентов.

2. Драйвер виртуального сетевого соединения. Платформозависимый, предположительно, предоставляющий фиксированный IPv6 (можно проработать и вопрос с динамическим, но все равно сложно в плане распределенности – параллельности актов выделения статического адреса (вопрос исключения совпадений). Такой вопрос может быть, предположительно, решен привязкой алгоритма назначения ip к устойчивому к повторению алгоритму генерации пары ключей (сертификата узла). Т.е. общение между фактическими узлами сети осуществлять по тому же TCP/IP как если бы все узлы были в единой отдельной от интернета (параллельной ему) сети. Причем все узлы имеют статические ip (предположительно) и распределенный список превращается в (узел:<сертификат>,<виртуальный ipv6>,<последний использованный ip – статический или динамический>).

3. Распределенная система DNS как отдельная подсистема всего проекта. Тут всё непонятно, а именно, – как производить выделение доменных имен на нецентрализованной основе. Проблема скорее организационная, нежели программная. Сам сервис – должен быть DNS сервером на собственном узле и также работать в режиме DNS клиента для обычной сети интернет. Это обеспечит возможность пользования одновременно обеими сетями (совместимость).

Это, на мой взгляд, тот минимум, который может обеспечить как защищенное соединение, так и независимость от централизованного DNS. К задаче защиты от ДДОС отношения не имеет, но имеет выходы на дальнейшую работу над созданием поверх этого слоя системы распределенных сервисов, которые будут обессмысливать атаки на отдельные сервера и персоналии.