Die internet blyk 'n sterk, onafhanklike en onvernietigbare struktuur te wees. In teorie is die netwerk sterk genoeg om 'n kernontploffing te oorleef. In werklikheid kan die internet een klein router laat val. Alles omdat die internet 'n hoop teenstrydighede, kwesbaarhede, foute en video's oor katte is. Die ruggraat van die internet, BGP, is belaai met probleme. Dit is ongelooflik dat hy nog asemhaal. Benewens foute in die internet self, word dit ook deur almal gebreek: groot internetverskaffers, korporasies, state en DDoS-aanvalle. Wat om daaraan te doen en hoe om daarmee saam te leef?
Ken die antwoord Alexey Uchakin () is die leier van 'n span netwerkingenieurs by IQ Option. Die hooftaak daarvan is die toeganklikheid van die platform vir gebruikers. In die transkripsie van Alexey se verslag oor Kom ons praat oor BGP, DDOS-aanvalle, internetskakelaars, verskafferfoute, desentralisasie en gevalle wanneer 'n klein router die internet laat slaap het. Aan die einde - 'n paar wenke oor hoe om dit alles te oorleef.
Die dag toe die internet gebreek het
Ek sal net 'n paar voorvalle aanhaal waar die internet se konnektiwiteit gebreek het. Dit sal genoeg wees vir die volledige prentjie.
"AS7007 Insident". Die eerste keer dat die internet gebreek het, was in April 1997. Daar was 'n fout in die sagteware van een router van die outonome stelsel 7007. Op 'n stadium het die router sy interne roeteringtabel aan sy bure aangekondig en die helfte van die netwerk in 'n swart gat gestuur.
"Pakistan teen YouTube". In 2008 het dapper ouens van Pakistan besluit om YouTube te blokkeer. Hulle het dit so goed gedoen dat die helfte van die wêreld sonder katte gelaat is.
"Vaslegging van VISA-, MasterCard- en Symantec-voorvoegsels deur Rostelecom". In 2017 het Rostelecom verkeerdelik begin om die VISA-, MasterCard- en Symantec-voorvoegsels aan te kondig. Gevolglik is finansiële verkeer gelei deur kanale wat deur die verskaffer beheer word. Die lekkasie het nie lank gehou nie, maar dit was onaangenaam vir finansiële maatskappye.
Google vs Japan. In Augustus 2017 het Google begin om die voorvoegsels van groot Japannese verskaffers NTT en KDDI in sommige van sy opskakels aan te kondig. Die verkeer is na Google gestuur as vervoer, heel waarskynlik per ongeluk. Aangesien Google nie 'n verskaffer is nie en nie transitoverkeer toelaat nie, is 'n beduidende deel van Japan sonder die internet gelaat.
"DV LINK het die voorvoegsels van Google, Apple, Facebook, Microsoft vasgelê". Ook in 2017 het die Russiese verskaffer DV LINK om een of ander rede die netwerke van Google, Apple, Facebook, Microsoft en 'n paar ander groot spelers begin aankondig.
"eNet van die VSA het AWS Route53 en MyEtherwallet voorvoegsels vasgelê". In 2018 het die Ohio-verskaffer of een van sy kliënte die Amazon Route53- en MyEtherwallet-kripto-beursie-netwerke aangekondig. Die aanval was suksesvol: selfs ten spyte van die selfondertekende sertifikaat, waaroor 'n waarskuwing aan die gebruiker verskyn het toe hy die MyEtherwallet-webwerf binnegegaan het, is baie beursies gekaap en 'n deel van die kripto-geldeenheid is gesteel.
Daar was meer as 2017 14 sulke voorvalle in 000 alleen! Die netwerk is steeds gedesentraliseerd, so nie alles en nie almal breek nie. Maar daar is duisende voorvalle, almal verwant aan die BGP-protokol wat die internet aandryf.
BGP en sy probleme
protokol BGP - Border Gateway Protocol, is die eerste keer in 1989 beskryf deur twee ingenieurs van IBM en Cisco Systems op drie "servette" - A4-velle. Hierdie sit steeds by Cisco Systems-hoofkwartier in San Francisco as 'n oorblyfsel van die netwerkwêreld.
Die protokol is gebaseer op die interaksie van outonome stelsels - Outonome stelsels of AS vir kort. 'n Outonome stelsel is bloot 'n ID waaraan IP-netwerke in die openbare register toegewys word. 'n Roeter met hierdie ID kan hierdie netwerke aan die wêreld bekend maak. Gevolglik kan enige roete op die internet voorgestel word as 'n vektor, wat genoem word AS pad. Die vektor bestaan uit die getalle outonome stelsels wat deurkruis moet word om die bestemmingsnetwerk te bereik.
Daar is byvoorbeeld 'n netwerk van 'n aantal outonome stelsels. Jy moet van die AS65001-stelsel na die AS65003-stelsel kom. Die pad vanaf een stelsel word deur AS Pad in die diagram voorgestel. Dit bestaan uit twee outonome stelsels: 65002 en 65003. Vir elke bestemmingsadres is daar 'n AS Pad vektor, wat bestaan uit die getalle outonome stelsels waardeur ons moet gaan.
So wat is die probleme met BGP?
BGP is 'n trustprotokol
Die BGP-protokol is op vertroue gebaseer. Dit beteken dat ons ons naaste by verstek vertrou. Dit is 'n kenmerk van baie protokolle wat aan die begin van die internet ontwikkel is. Kom ons vind uit wat "vertroue" beteken.
Geen buurstawing nie. Formeel is daar MD5, maar MD5 in 2019 is net dit ...
Geen filter nie. BGP het filters en hulle word beskryf, maar hulle word nie gebruik of verkeerd gebruik nie. Ek sal later verduidelik hoekom.
Dit is baie maklik om 'n woonbuurt op te rig. Die opstel van 'n woonbuurt in die BGP-protokol op byna enige router is 'n paar reëls van die konfigurasie.
Geen BGP-bestuursregte word vereis nie. Jy hoef nie eksamens af te lê om jou kwalifikasies te bewys nie. Niemand sal jou regte wegneem om BGP te konfigureer terwyl jy dronk is nie.
Twee hoofprobleme
Voorvoegsel kapings. Voorvoegselkaping is om 'n netwerk te adverteer wat nie aan jou behoort nie, soos die geval is met MyEtherwallet. Ons het 'n paar voorvoegsels geneem, met die verskaffer ooreengekom of dit gekap, en daardeur kondig ons hierdie netwerke aan.
Roete-lekkasies. Lekke is 'n bietjie meer ingewikkeld. Lek is 'n verandering in AS Path. Op sy beste sal die verandering 'n groter vertraging tot gevolg hê omdat jy 'n langer roete of op 'n minder ruim skakel moet ry. In die ergste geval sal die saak met Google en Japan herhaal word.
Google self is nie 'n operateur of 'n outonome vervoerstelsel nie. Maar toe hy die netwerke van Japannese operateurs aan sy verskaffer aangekondig het, is verkeer deur Google via AS Path as 'n hoër prioriteit beskou. Verkeer het daarheen gegaan en gedaal bloot omdat die roete-instellings binne Google meer kompleks is as net filters by die grens.
Hoekom werk filters nie?
Niemand gee om nie. Dit is die hoofrede – niemand gee om nie. Die administrateur van 'n klein verskaffer of maatskappy wat via BGP aan die verskaffer gekoppel is, het MikroTik geneem, BGP daarop gekonfigureer en weet nie eers dat filters daar gekonfigureer kan word nie.
Konfigurasie foute. Hulle het iets gemors, 'n fout in die masker gemaak, die verkeerde gaas aangesit - en nou is daar weer 'n fout.
Geen tegniese moontlikheid nie. Telekommunikasieverskaffers het byvoorbeeld baie kliënte. Die slim ding om te doen is om outomaties die filters vir elke kliënt op te dateer – om te monitor dat hy 'n nuwe netwerk het, dat hy sy netwerk aan iemand verhuur het. Dit is moeilik om dit te volg, en selfs moeiliker met jou hande. Daarom installeer hulle eenvoudig ontspanne filters of installeer hulle glad nie filters nie.
uitsonderings. Daar is uitsonderings vir geliefde en groot kliënte. Veral in die geval van interoperateur-koppelvlakke. TransTeleCom en Rostelecom het byvoorbeeld 'n klomp netwerke en daar is 'n koppelvlak tussen hulle. As die gewrig val, sal dit vir niemand goed wees nie, dus word die filters ontspan of heeltemal verwyder.
Verouderde of irrelevante inligting in die IRR. Filters word gebou op grond van inligting wat in aangeteken is IRR - Internet Routing Registry. Dit is registers van plaaslike internetregistrateurs. Dikwels bevat registers verouderde of irrelevante inligting, of albei.
Wie is hierdie registrateurs?
Alle internetadresse behoort aan die organisasie IANA - Internet Assigned Numbers Authority. Wanneer jy 'n IP-netwerk van iemand koop, koop jy nie adresse nie, maar die reg om dit te gebruik. Adresse is 'n ontasbare hulpbron en volgens gemeenskaplike ooreenkoms word hulle almal deur die IANA besit.
Die stelsel werk so. IANA delegeer die bestuur van IP-adresse en outonome stelselnommers aan vyf streeksregistrateurs. Hulle reik outonome stelsels uit LIR - plaaslike internet registrateurs. LIR's ken dan IP-adresse aan eindgebruikers toe.
Die nadeel van die stelsel is dat elkeen van die streekregistrateurs sy registers op sy eie manier byhou. Elkeen het hul eie sienings oor watter inligting in registers vervat moet word, en wie dit moet nagaan of nie. Die gevolg is die gemors wat ons nou het.
Hoe anders kan jy hierdie probleme bekamp?
IRR - middelmatige kwaliteit. Dit is duidelik met IRR - alles is sleg daar.
BGP-gemeenskappe. Dit is een of ander kenmerk wat in die protokol beskryf word. Ons kan byvoorbeeld 'n spesiale gemeenskap aan ons aankondiging heg sodat 'n buurman nie ons netwerke na sy bure stuur nie. Wanneer ons 'n P2P-skakel het, ruil ons net ons netwerke uit. Om te verhoed dat die roete per ongeluk na ander netwerke gaan, voeg ons gemeenskap by.
Gemeenskappe is nie oorganklik nie. Dit is altyd 'n kontrak vir twee, en dit is hul nadeel. Ons kan geen gemeenskap toewys nie, met die uitsondering van een, wat by verstek deur almal aanvaar word. Ons kan nie seker wees dat almal hierdie gemeenskap sal aanvaar en dit reg sal interpreteer nie. Daarom, in die beste geval, as jy saamstem met jou opskakel, sal hy verstaan wat jy van hom wil hê in terme van gemeenskap. Maar jou buurman sal dalk nie verstaan nie, of die operateur sal bloot jou etiket terugstel, en jy sal nie bereik wat jy wou hê nie.
RPKI + ROA los slegs 'n klein deel van die probleme op. RPKI is Hulpbron Openbare Sleutel Infrastruktuur — 'n spesiale raamwerk vir die ondertekening van roete-inligting. Dit is 'n goeie idee om LIR'e en hul kliënte te dwing om 'n bygewerkte adresruimtedatabasis te handhaaf. Maar daar is een probleem daarmee.
RPKI is ook 'n hiërargiese publieke sleutelstelsel. IANA het 'n sleutel waaruit RIR-sleutels gegenereer word, en waaruit LIR-sleutels gegenereer word? waarmee hulle hul adresruimte onderteken deur ROA's te gebruik - Roete-oorsprongmagtigings:
— Ek verseker u dat hierdie voorvoegsel namens hierdie outonome streek aangekondig sal word.
Benewens ROA is daar ander voorwerpe, maar later meer daaroor. Dit lyk na 'n goeie en nuttige ding. Maar dit beskerm ons nie teen lekkasies van die woord "enigsins" nie en los nie alle probleme met voorvoegselkaping op nie. Daarom is spelers nie haastig om dit te implementeer nie. Alhoewel daar reeds versekerings van groot spelers soos AT&T en groot IX-maatskappye is dat voorvoegsels met 'n ongeldige ROA-rekord weggelaat sal word.
Miskien sal hulle dit doen, maar vir nou het ons 'n groot aantal voorvoegsels wat op geen manier onderteken is nie. Aan die een kant is dit onduidelik of hulle geldig aangekondig is. Aan die ander kant kan ons dit nie by verstek laat vaar nie, want ons is nie seker of dit korrek is of nie.
Wat anders is daar?
BGPSec. Dit is 'n gawe ding waarmee akademici vorendag gekom het vir 'n netwerk van pienk ponies. Hulle het gesê:
- Ons het RPKI + ROA - 'n meganisme om adresruimte-handtekeninge te verifieer. Kom ons skep 'n aparte BGP-kenmerk en noem dit BGPSec-pad. Elke router sal die aankondigings wat dit aan sy bure bekend maak met sy eie handtekening onderteken. Op hierdie manier sal ons 'n betroubare pad van die ketting van ondertekende aankondigings kry en sal ons dit kan kontroleer.
Goed in teorie, maar in die praktyk is daar baie probleme. BGPSec breek baie bestaande BGP-meganika vir die keuse van volgende hops en die bestuur van inkomende/uitgaande verkeer direk op die router. BGPSec werk nie totdat 95% van die hele mark dit geïmplementeer het nie, wat op sigself 'n utopie is.
BGPSec het groot werkverrigtingprobleme. Op die huidige hardeware is die spoed om aankondigings na te gaan ongeveer 50 voorvoegsels per sekonde. Ter vergelyking: die huidige internettabel van 700 000 voorvoegsels sal binne 5 uur opgelaai word, waartydens dit nog 10 keer sal verander.
BGP Oop Beleid (Rolgebaseerde BGP). Vars voorstel gebaseer op die model Gao-Rexford. Dit is twee wetenskaplikes wat BGP navors.
Die Gao-Rexford-model is soos volg. Om dit te vereenvoudig, met BGP is daar 'n klein aantal tipes interaksies:
- Verskaffer kliënt;
- P2P;
- interne kommunikasie, sê iBGP.
Gebaseer op die rol van die router, is dit reeds moontlik om sekere invoer-/uitvoerbeleide by verstek toe te wys. Die administrateur hoef nie voorvoegsellyste op te stel nie. Op grond van die rol waaroor die routers onderling ooreenkom en wat ingestel kan word, ontvang ons reeds 'n paar verstekfilters. Dit is tans 'n konsep wat in die IETF bespreek word. Ek hoop dat ons dit binnekort sal sien in die vorm van 'n RFC en implementering op hardeware.
Groot internetverskaffers
Kom ons kyk na die voorbeeld van 'n verskaffer CenturyLink. Dit is die derde grootste Amerikaanse verskaffer, bedien 37 state en het 15 datasentrums.
In Desember 2018 was CenturyLink vir 50 uur op die Amerikaanse mark. Tydens die voorval was daar probleme met die werking van kitsbanke in twee state, en die 911-nommer het vir etlike ure in vyf state nie gewerk nie. Die lotery in Idaho was heeltemal verwoes. Die voorval word tans deur die Amerikaanse telekommunikasiekommissie ondersoek.
Die oorsaak van die tragedie was een netwerkkaart in een datasentrum. Die kaart het wanfunksioneer, verkeerde pakkies gestuur en al 15 die verskaffer se datasentrums het afgegaan.
Die idee het nie vir hierdie verskaffer gewerk nie "te groot om te val". Hierdie idee werk glad nie. Jy kan enige groot speler neem en 'n paar klein dingetjies bo-op sit. Die VSA vaar steeds goed met konnektiwiteit. CenturyLink-kliënte wat 'n reserwe gehad het, het in massas daarin gegaan. Toe het alternatiewe operateurs gekla oor hul skakels wat oorlaai is.
As die voorwaardelike Kazakhtelecom val, sal die hele land sonder die internet gelaat word.
Korporasies
Waarskynlik ondersteun Google, Amazon, Facebook en ander korporasies die internet? Nee, hulle breek dit ook.
In 2017 in St Petersburg by die ENOG13-konferensie Jeff Houston van APNIEK voorgelê . Dit sê dat ons gewoond is daaraan dat interaksies, geldvloei en verkeer op die internet vertikaal is. Ons het klein verskaffers wat vir konnektiwiteit aan groter verskaffers betaal, en hulle betaal reeds vir verbinding met globale vervoer.
Nou het ons so 'n vertikaal georiënteerde struktuur. Alles sal reg wees, maar die wêreld is besig om te verander - groot rolspelers bou hul transoseaniese kabels om hul eie ruggraat te bou.
Nuus oor CDN-kabel.
In 2018 het TeleGeography 'n studie vrygestel dat meer as die helfte van die verkeer op die internet nie meer die internet is nie, maar die ruggraat-CDN van groot spelers. Dit is verkeer wat verband hou met die internet, maar dit is nie meer die netwerk waarvan ons gepraat het nie.
Die internet breek op in 'n groot stel losweg gekoppelde netwerke.
Microsoft het sy eie netwerk, Google het sy eie, en hulle het min oorvleueling met mekaar. Verkeer wat iewers in die VSA ontstaan het, gaan deur Microsoft-kanale oor die see na Europa iewers op 'n CDN, dan deur CDN of IX verbind dit met jou verskaffer en kom by jou router.
Desentralisasie is besig om te verdwyn.
Hierdie krag van die internet, wat dit sal help om 'n kernontploffing te oorleef, gaan verlore. Plekke van konsentrasie van gebruikers en verkeer verskyn. As die voorwaardelike Google Cloud val, sal daar baie slagoffers gelyktydig wees. Ons het dit deels gevoel toe Roskomnadzor AWS geblokkeer het. En die voorbeeld van CenturyLink wys dat selfs klein dingetjies hiervoor genoeg is.
Voorheen het nie alles en nie almal gebreek nie. In die toekoms kan ons dalk tot die gevolgtrekking kom dat deur een groot speler te beïnvloed, ons baie dinge, baie plekke en baie mense kan breek.
State
State is volgende in die ry, en dit is wat gewoonlik met hulle gebeur.
Hier is ons Roskomnadzor glad nie eers 'n pionier nie. 'n Soortgelyke praktyk van internetafsluiting bestaan in Iran, Indië en Pakistan. In Engeland is daar 'n wetsontwerp oor die moontlikheid om die internet af te sluit.
Enige groot staat wil 'n skakelaar kry om die internet af te skakel, hetsy heeltemal of in dele: Twitter, Telegram, Facebook. Dit is nie dat hulle nie verstaan dat hulle nooit sal slaag nie, maar hulle wil dit regtig hê. Die skakelaar word as 'n reël vir politieke doeleindes gebruik - om politieke mededingers uit te skakel, of verkiesings kom nader, of Russiese kuberkrakers het weer iets gebreek.
DDoS-aanvalle
Ek sal nie brood van my kamerade van Qrator Labs wegvat nie, hulle doen dit baie beter as ek. Hulle het oor internetstabiliteit. En dit is wat hulle in die 2018-verslag geskryf het.
Die gemiddelde duur van DDoS-aanvalle daal tot 2.5 uur. Die aanvallers begin ook geld tel, en as die hulpbron nie dadelik beskikbaar is nie, dan laat hulle dit gou met rus.
Die intensiteit van aanvalle neem toe. In 2018 het ons 1.7 Tb/s op die Akamai-netwerk gesien, en dit is nie die limiet nie.
Nuwe aanvalsvektore kom na vore en oues word verskerp. Nuwe protokolle kom na vore wat vatbaar is vir versterking, en nuwe aanvalle kom op bestaande protokolle, veral TLS en dies meer.
Die meeste van die verkeer is vanaf mobiele toestelle. Terselfdertyd verskuif internetverkeer na mobiele kliënte. Beide die wat aanval en die wat verdedig, moet hiermee kan werk.
Onkwesbaar - nee. Dit is die hoofgedagte - daar is geen universele beskerming wat beslis teen enige DDoS sal beskerm nie.
Die stelsel kan nie geïnstalleer word tensy dit aan die internet gekoppel is nie.
Ek hoop ek het jou genoeg bang gemaak. Kom ons dink nou oor wat om daaraan te doen.
Wat om te doen?!
As jy vrye tyd, begeerte en kennis van Engels het, neem deel aan werkgroepe: IETF, RIPE WG. Dit is oop poslyste, teken in op poslyste, neem deel aan besprekings, kom na konferensies. As jy LIR-status het, kan jy byvoorbeeld in RIPE vir verskeie inisiatiewe stem.
Vir blote sterflinge is dit monitering. Om te weet wat stukkend is.
Monitering: wat om te kontroleer?
Normale Ping, en nie net 'n binêre tjek nie - dit werk of nie. Teken RTT in geskiedenis aan sodat jy later na afwykings kan kyk.
trace. Dit is 'n nutsprogram vir die bepaling van dataroetes op TCP/IP-netwerke. Help om afwykings en blokkasies te identifiseer.
HTTP kontroleer vir gepasmaakte URL's en TLS-sertifikate sal help om blokkering of DNS-spoofing vir 'n aanval op te spoor, wat feitlik dieselfde is. Blokkering word dikwels uitgevoer deur DNS-spoofing en deur verkeer na 'n stompbladsy te verander.
Indien moontlik, kontroleer jou kliënte se vasberadenheid oor jou oorsprong vanaf verskillende plekke as jy 'n aansoek het. Dit sal jou help om afwykings van DNS-kaping op te spoor, iets wat verskaffers soms doen.
Monitering: waar om te kyk?
Daar is geen universele antwoord nie. Kyk waar die gebruiker vandaan kom. As gebruikers in Rusland is, kyk vanaf Rusland, maar moenie jouself daartoe beperk nie. As jou gebruikers in verskillende streke woon, kyk uit hierdie streke. Maar beter van regoor die wêreld.
Monitering: wat om te kontroleer?
Ek het met drie maniere vorendag gekom. As jy meer weet, skryf in die kommentaar.
- RYP Atlas.
- Kommersiële monitering.
- Jou eie netwerk van virtuele masjiene.
Kom ons praat oor elkeen van hulle.
RYP Atlas - dit is so 'n klein boks. Vir diegene wat die huishoudelike "Inspekteur" ken - dit is dieselfde boks, maar met 'n ander plakker.
RIPE Atlas is 'n gratis program. Jy registreer, ontvang 'n router per pos en prop dit by die netwerk in. Vir die feit dat iemand anders jou monster gebruik, kry jy 'n paar krediete. Met hierdie lenings kan jy self navorsing doen. U kan op verskillende maniere toets: ping, traceroute, kontroleer sertifikate. Die dekking is redelik groot, daar is baie nodusse. Maar daar is nuanses.
Die kredietstelsel laat nie bouproduksie-oplossings toe nie. Daar sal nie genoeg krediete vir deurlopende navorsing of kommersiële monitering wees nie. Die krediete is genoeg vir 'n kort studie of eenmalige tjek. Die daaglikse norm van een monster word verbruik deur 1-2 tjeks.
Dekking is ongelyk. Aangesien die program gratis in beide rigtings is, is dekking goed in Europa, in die Europese deel van Rusland en sommige streke. Maar as jy Indonesië of Nieu-Seeland nodig het, dan is alles baie erger – jy het dalk nie 50 monsters per land nie.
Jy kan nie http van 'n monster nagaan nie. Dit is as gevolg van tegniese nuanses. Hulle belowe om dit in die nuwe weergawe reg te stel, maar vir nou kan http nie nagegaan word nie. Slegs die sertifikaat kan geverifieer word. Een of ander http-kontrole kan slegs gedoen word op 'n spesiale RIPE Atlas-toestel genaamd Anchor.
Die tweede metode is kommersiële monitering. Alles is reg met hom, jy betaal geld, reg? Hulle belowe jou 'n paar dosyn of honderde moniteringpunte regoor die wêreld en teken pragtige dashboards uit die boks. Maar, weereens, daar is probleme.
Dit is betaal, in sommige plekke is dit baie. Ping-monitering, wêreldwye tjeks en baie http-tjeks kan etlike duisende dollars per jaar kos. As finansies dit toelaat en jy hou van hierdie oplossing, gaan voort.
Dekking is dalk nie voldoende in die streek van belang nie. Met dieselfde ping word 'n maksimum van 'n abstrakte deel van die wêreld gespesifiseer - Asië, Europa, Noord-Amerika. Skaars moniteringstelsels kan na 'n spesifieke land of streek deurboor.
Swak ondersteuning vir pasgemaakte toetse. As jy iets pasgemaak nodig het, en nie net 'n "krulletjie" op die url nie, dan is daar ook probleme daarmee.
Die derde manier is jou monitering. Dit is 'n klassieke: "Kom ons skryf ons eie!"
Jou monitering verander in die ontwikkeling van 'n sagtewareproduk, en 'n verspreide een. Jy soek 'n infrastruktuurverskaffer, kyk hoe om dit te ontplooi en te monitor - monitering moet gemonitor word, nie waar nie? Dit vereis ook ondersteuning. Dink tien keer voor jy dit aanpak. Dit kan makliker wees om iemand te betaal om dit vir jou te doen.
Monitering van BGP-afwykings en DDoS-aanvalle
Hier, gebaseer op die beskikbare hulpbronne, is alles nog eenvoudiger. BGP-afwykings word opgespoor met behulp van gespesialiseerde dienste soos QRadar, BGPmon. Hulle aanvaar 'n volledige aansigtabel van verskeie operateurs. Op grond van wat hulle van verskillende operateurs sien, kan hulle anomalieë opspoor, na versterkers soek, ensovoorts. Registrasie is gewoonlik gratis - jy voer jou foonnommer in, teken in op e-poskennisgewings, en die diens sal jou op jou probleme waarsku.
Die monitering van DDoS-aanvalle is ook eenvoudig. Tipies is dit NetFlow-gebaseerde en logs. Daar is gespesialiseerde stelsels soos FastNetMon, modules vir Splunk. As 'n laaste uitweg is daar jou DDoS-beskermingsverskaffer. Dit kan ook NetFlow uitlek en, op grond daarvan, sal dit jou in kennis stel van aanvalle in jou rigting.
Bevindinge
Moenie illusies hê nie - die internet sal beslis breek. Nie alles en nie almal sal breek nie, maar 14 duisend voorvalle in 2017 dui daarop dat daar voorvalle gaan wees.
Jou taak is om probleme so vroeg as moontlik raak te sien. Op 'n minimum, nie later as jou gebruiker nie. Dit is nie net belangrik om daarop te let nie, hou altyd 'n "Plan B" in reserwe. 'n Plan is 'n strategie vir wat jy sal doen wanneer alles breek.: reserwe operateurs, DC, CDN. 'n Plan is 'n aparte kontrolelys waarteen jy die werk van alles nagaan. Die plan behoort sonder die betrokkenheid van netwerkingenieurs te werk, want daar is gewoonlik min van hulle en hulle wil slaap.
Dis al. Ek wens jou hoë beskikbaarheid en groen monitering toe.
Volgende week in Novosibirsk word sonskyn, hoë lading en 'n hoë konsentrasie ontwikkelaars verwag . In Siberië word 'n front van verslae oor monitering, toeganklikheid en toetsing, sekuriteit en bestuur voorspel. Neerslag word verwag in die vorm van gekrabbelde notas, netwerke, foto's en plasings op sosiale netwerke. Ons beveel aan dat alle aktiwiteite op 24 en 25 Junie en . Ons wag vir jou in Siberië!
Bron: will.com