Децентрализирани протоколи и P2P луково маршрутизиране

Преходът от централизирано към децентрализирано тунелиране

Изпитвали ли сте някога онова странно чувство на несигурност, когато осъзнаете, че вашият „частен“ VPN доставчик е просто един прехвален посредник, седящ върху планина от вашите регистрационни файлове (logs) в чист текст? Малко е иронично, че заменихме следенето от страна на интернет доставчиците (ISP) с една-единствена корпоративна критична точка, но точно затова преходът към децентрализирано тунелиране най-накрая става масов.

Традиционната VPN архитектура е реликва от мисленето тип „клиент-сървър“ от началото на 2000-те години. Свързвате се към „защитен“ шлюз, но този шлюз е огромна неонова реклама за хакери и държавни структури. Ако този единствен сървър падне или бъде конфискуван, целият ви щит за поверителност изчезва мигновено.

• Централизирани „Медени пити“ (Honey Pots): Когато милиони потребители пренасочват трафика си през шепа центрове за данни, собственост на една компания, се създава „единична точка на отказ“ (single point of failure), която е твърде изкушаваща за злонамерени лица.
• Парадоксът на доверието: На практика се доверявате на честната дума на някой изпълнителен директор в данъчен рай, че не пази записи, но без софтуер с отворен код за одит на техния бекенд, вие просто действате на сляпо.
• Тесни места при мащабиране: Забелязали ли сте как скоростта ви пада драстично в петък вечер? Това е така, защото централизираните възли не могат да се справят с внезапните пикове на съвременния 4K стрийминг и тежките работни натоварвания на разработчиците.

Преминаваме към логика на „Картографиране и капсулиране“ (Map & Encap), при която мрежата не разчита на централен „мозък“. Вместо един доставчик, използваме dVPN (децентрализиран VPN) възли, където всеки може да споделя честотна лента (bandwidth). Тази архитектура — по-конкретно решения като APT (A Practical Tunneling Architecture) — позволява на интернет да се мащабира, като отделя адресите на „периферията“ (edge) от „транзитното ядро“ (transit core).

В рамките на APT използваме Входящи тунелни рутери (ITR) и Изходящи тунелни рутери (ETR). Мислете за ITR като за „входна врата“, която поема вашите нормални данни и ги обвива в заглавна част на специален тунел (капсулиране). ETR е „изходната врата“, която ги разопакова в дестинацията. Маршрутните указатели по подразбиране (Default Mappers - DMs) действат като справочна услуга, казвайки на ITR точно към кой ETR да изпрати пакета, така че основните рутери да не трябва да помнят всяко едно устройство на планетата.

Представете си търговска верига, която се опитва да защити данните от терминалите за плащане в 500 обекта, без да плаща огромни сметки за MPLS. Вместо централен център, те използват VPN услуга, базирана на възли (node-based VPN), където всеки магазин действа като малка точка в мрежата (mesh). Ако интернетът на един магазин прекъсне, P2P мрежата автоматично пренасочва тунела през съседен възел.

За разработчиците това означава работа с инструменти като WireGuard интерфейси, които не са обвързани със статичен IP адрес. Конфигурацията на защитен Linux възел може да изглежда по следния начин:

[Interface]
PrivateKey = <YOUR_NODE_KEY>
Address = 10.0.0.5/32
ListenPort = 51820

[Peer]
PublicKey = <REMOTE_DVPN_NODE_KEY>
AllowedIPs = 0.0.0.0/0
Endpoint = 192.168.1.100:51820

PersistentKeepalive = 25

Тази настройка е много по-устойчива, защото „картографирането“ на това къде трябва да отиде даден пакет е разпределено в цялата мрежа, а не е скрито в база данни в някой корпоративен щаб. Честно казано, крайно време е да спрем да искаме разрешение, за да имаме поверителност.

Следва: Дълбоко гмуркане в P2P архитектурата за Onion маршрутизация, където ще разгледаме как тези пакети всъщност оцеляват при прехвърлянето между възлите.

Подробен анализ на архитектурата за P2P Onion маршрутизация

Запитвали ли сте се някога как един пакет данни успява да оцелее, преминавайки през три различни VPN тунела и две преобразувания на протоколи, без да загуби своята цялост или метаданни? Това на практика е „Генезис“ в дигитален вариант и ако архитектурата не е изпипана, всичко се разпада в хаос от загубени пакети и огромно закъснение (latency).

В една P2P Onion маршрутизираща мрежа ние не просто си прехвърляме „горещ картоф“. Всеки възел (node) решава как да „опакова“ данните. Когато говорим за слоевете на „луковицата“ (onion layers) тук, разглеждаме две основни действия:

• Енкапсулация (Encapsulation): Вземане на цял IPv4 пакет и „пъхването“ му в IPv6 хедър (или обратното). Оригиналният хедър се превръща в „данни“ за външния слой.
• Конверсия (Conversion): Реално пренаписване на хедъра, подобно на това, което се случва при NAT-PT. Този процес е по-инвазивен, но понякога е необходим за работа с остарял хардуер.

В един Web3 VPN вашият входен възел може да енкапсулира трафика ви чрез WireGuard, докато междинният възел (relay node) добавя още един слой криптиране, преди данните да достигнат до изходния възел. Това прави блокирането на трафика много по-трудно в сравнение с традиционния Tor, тъй като „картата“ на мрежата не се намира в публичен списък с релета, а се открива динамично чрез меш (mesh) мрежата.

Традиционната маршрутизация използва метода „distance-vector“ (колко скока има до целта?). Но в една P2P Onion мрежа това не е достатъчно. Трябва да познавате състоянието на пакета. Ако разполагам с IPv4 пакет, не мога просто да го изпратя към реле, което поддържа само IPv6.

Както е посочено в изследването на Lamali et al. (2019), вместо това използваме stack-vector. Той заменя простото „разстояние“ с „протоколен стек“. Този стек казва на възела: „За да стигне този пакет до дестинацията си, се нуждаеш от тази специфична последователност от енкапсулации“. Проучването доказва, че дори ако най-краткият път е експоненциално дълъг, максималната височина на протоколния стек е полиномна – по-конкретно най-много λn², където n е броят на възлите.

Това е от огромно значение за разработчиците. Означава, че не ни е нужен конфигурационен файл с 5000 реда, за да управляваме вложени тунели. Възлите сами „научават“ стека. Например, здравна организация, която се опитва да свърже остарялото IPv4 оборудване на отдалечена клиника с модерен IPv6 център за данни, може да остави P2P възлите автоматично да договорят крайните точки на тунела.

Ако се занимавате с подсилване на сигурността на даден възел, вероятно следите как изглеждат тези стекове във вашите интерфейси. Ето примерна представа за това как един възел може да обработи кеширана заявка за специфичен стек:

# Изходът от тази команда показва точната последователност на енкапсулация 
# (напр. IPv4, опакован в WireGuard, опакован в IPv6), за да можете да дебъгнете пътя.
dvpn-cli route-lookup --dest 10.0.0.5 --current-stack "ipv4.wireguard.ipv6"

ip link add dev dvpn0 type wireguard
wg setconf dvpn0 /etc/wireguard/stack_config.conf

Красотата тук е, че меш мрежата сама се справя с отказите. Ако някой междинен възел отпадне, логиката на stack-vector намира „най-краткия осъществим път“, използвайки различен набор от енкапсулации. Системата е самовъзстановяваща се. Честно казано, веднъж щом видите това в действие, връщането към статични VPN тунели изглежда като използване на шайбов телефон в свят на 5G.

Следваща тема: Предизвикателства пред сигурността при децентрализирания достъп до интернет, защото доверието към произволни възли е съвсем различно предизвикателство.

Предизвикателства пред сигурността при децентрализирания достъп до интернет

Ако си мислите, че преминаването към peer-to-peer (P2P) мрежа магически решава всичките ви проблеми със сигурността, имам лоши новини – реално заменяте корпоративната „черна кутия“ с дигитален Див запад. Преходът от централизиран VPN към децентрализиран (dVPN) е страхотна стъпка за поверителността, но носи със себе си изцяло нов набор от главоболия.

Как се доверявате на първия възел (node), когато се присъедините към мрежата? Тъй като липсва централен регистър, повечето dVPN решения използват Seed възли или DHT (Distributed Hash Table) Bootstrapping. Вашият клиент се свързва с няколко твърдо кодирани, добре познати „seed“ адреса само за да получи списък с други активни участници, а оттам нататък започва самостоятелно да изследва мрежовата топология (mesh).

След като вече сте вътре, използваме модел на мрежа на доверие (web of trust), при който възлите верифицират своите съседи.

• Верификация между съседни възли: Преди един възел да получи разрешение да излъчва информация за маршрутизация, неговите преки съседи потвърждават идентичността му чрез установени връзки.
• Разпространение чрез подписи (Signature Flooding): След като даден ключ бъде подписан от достатъчно доверени съседи, той се разпространява автоматично из цялата мрежа.
• Засичане на компрометирани възли (Rogue Node Detection): Ако даден възел започне да твърди, че може да пренасочва трафик за IP диапазон, който реално не притежава, истинският собственик ще засече конфликтното съобщение и ще активира аларма.

Най-голямото предизвикателство при споделянето на P2P честотна лента е т.нар. churn (прекъсване на свързаността). За разлика от сървъра в център за данни с 99,99% наличност, един домашен dVPN възел може да изчезне в момента, в който котката на собственика събори захранващия кабел. За да решим това, използваме система за известяване при отказ, базирана на данни. Вместо цялата мрежа да се опитва да поддържа „перфектна“ карта, отказът се обработва локално в момента, в който даден пакет не успее да бъде доставен.

Главният мапер (Default Mapper - DM) поема тежката задача, като избира нов път и инструктира входния тунелен рутер (ITR) да актуализира своя локален кеш. Това разчита на споменатата по-рано ефективност от тип λn², за да поддържа пренасочването максимално бързо.

Следва: В крак с революцията на поверителността, където ще разгледаме техническата поддръжка на тези възли.

В крак с революцията в поверителността

Наистина е впечатляващо колко бързо се променя пейзажът на цифровата поверителност, нали? Да бъдеш информиран не означава просто да четеш блогове; става въпрос за разбиране на това как тези нови протоколи всъщност обработват вашите пакети данни.

В сферата на децентрализираните VPN мрежи (dVPN) е пълно с празни обещания за бързи печалби, но истинската стойност се крие в техническите спецификации. Например, как дадена мрежа се справя със защитата срещу изтичане на IPv6 (IPv6 leak protection)? При традиционните VPN услуги, IPv6 трафикът често заобикаля тунела изцяло, разкривайки реалния ви IP адрес. В контекста на dVPN често използваме NAT64 или 464XLAT. Това принуждава IPv6 трафика да бъде преобразуван в IPv4 (или обратно) на ниво възел (node), гарантирайки, че той остава в криптирания път на „стек-вектора“, вместо да изтече през локалния шлюз.

• Следете комитите (commits): Не се доверявайте само на лъскави уебсайтове; проверявайте GitHub. Ако даден проект не е актуализирал своята WireGuard имплементация или логиката си за откриване на възли през последните шест месеца, той вероятно е „зомби“ проект.
• Одиторски доклади: Сериозните инструменти за поверителност инвестират в независими одити на сигурността от трети страни.
• Общностни форуми: Специализираните Discord канали за разработчици са мястото, където се случва истинското споделяне на практически опит.

Ако се занимавате сериозно с това, вероятно вече експериментирате с персонализирани конфигурации. Ето един бърз начин да проверите дали настоящият ви тунел действително спазва децентрализирания път:

ip route show dev dvpn0
traceroute -n -i dvpn0 1.1.1.1

Виждал съм много конфигурации, при които потребителите си мислят, че са „скрити“, но една просто неправилно конфигурирана API заявка разкрива реалния им IP адрес. Това е постоянна игра на котка и мишка.

Следваща тема: Пазарът на честотна лента и DePIN наградите, защото в крайна сметка някой трябва да плати сметката за електричество.

Пазарът на честотна лента и DePIN възнагражденията

Дотук обсъдихме как се движат пакетите от данни, но нека бъдем реалисти – никой няма да поддържа високоскоростен изходен възел (exit node) вечно, само от чист алтруизъм. Тук се появява концепцията за „Airbnb за интернет свързаност“ или това, което индустрията нарича DePIN (Децентрализирани мрежи за физическа инфраструктура).

• Bandwidth Mining (Добив чрез капацитет): Печелите крипто възнаграждения само за това, че поддържате възел онлайн и пренасочвате трафик.
• Токенизирани ресурси: Използването на собствен мрежов токен позволява извършването на микроплащания за всеки прехвърлен мегабайт.
• Съгласуване на стимулите: Възнагражденията се изчисляват въз основа на времето за работа (uptime) и „качеството на услугата“ (QoS).

Голямото техническо предизвикателство е: как да сме сигурни, че даден възел не лъже за обема на обработения трафик? За целта използваме протоколи за Доказателство за честотна лента (Proof of Bandwidth). Това включва „предизвикващ“ възел, който изпраща криптирани тестови данни към „доказващ“ възел и измерва скоростта на реакция. Ако данните не съвпадат, смарт контрактът не освобождава плащането.

Ако икономическият модел на възнагражденията не е разписан правилно, операторите на възли могат да започнат да приоритизират само най-скъпия трафик. За да се предотврати това, много мрежи използват „стейкинг“ (staking). Трябва да депозирате токени като обезпечение – ако предоставяте некачествена услуга, губите своя стейк.

Следва: Практическо приложение и бъдещето на Web3 свободата в интернет – обобщение на всичко научено.

Практическо приложение и бъдещето на интернет свободата в Web3

Бъдещето на интернет свободата в Web3 няма да настъпи с един единствен магически момент на „включване на прекъсвача“. Това ще бъде постепенен и сложен процес, при който децентрализираните протоколи ще съществуват успоредно с настоящите ни оптични мрежи.

Не е необходимо да преоткриваме целия интернет. Красотата на тази архитектурна промяна се крие в това, че тя е проектирана за „едностранно внедряване“. Всеки отделен доставчик може да започне да предлага тези услуги още днес. Използваме Стандартни мапери (DMs), за да свържем тези „острови“ от peer-to-peer (P2P) мрежи.

• Съвместимост с наследено оборудване: Вашият домашен рутер дори не е необходимо да „знае“, че комуникира с P2P мрежа. Локален гейтуей поема логиката по картографиране и капсулиране (Map & Encap).
• Свързване на празнините: Когато даден пакет трябва да достигне до „обикновен“ уебсайт, изходният възел (ETR) се грижи за декапсулирането.
• Потребителска абстракция: За крайните потребители без технически познания това изглежда като обикновено приложение, въпреки че във фонов режим то управлява сложно маршрутизиране чрез стекови вектори.

От гледна точка на разработчиците, целта е тези тунели да станат „автоматични“. Ето кратък поглед върху това как един възел (node) може да провери за картографиране на даден „остров“:

dvpn-cli map-query --dest 192.168.50.1

[DEBUG] Cache miss. Querying DM anycast...
[INFO] Received MapRec: Destination reachable via ETR 203.0.113.5

Крайната цел е мрежа, която е практически невъзможно да бъде изключена. Когато комбинирате блокчейн VPN с P2P onion маршрутизация, вие създавате система без централен прекъсвач. Както споменахме по-рано, сложността от тип λn² означава, че можем да постигнем дълбока, многослойна поверителност, без това да доведе до срив на мрежата.

Бъдещето на споделянето на честотна лента не е просто начин да спестите малко пари; става въпрос за глобална свързаност, която заобикаля дигиталните стени. В момента процесът е малко хаотичен, а терминалните команди могат да бъдат досадни, но основата вече е положена. Интернет винаги е бил замислен като децентрализиран – ние просто най-накрая изграждаме архитектурата, която да го запази такъв. Както и да е, време е да спрем да говорим и да започнем да пускаме възли. Бъдете в безопасност в мрежата.