ለምን በይነመረቡ አሁንም በመስመር ላይ ነው?

በይነመረቡ ጠንካራ, ገለልተኛ እና የማይበላሽ መዋቅር ይመስላል. በንድፈ ሀሳብ, አውታረ መረቡ ከኑክሌር ፍንዳታ ለመትረፍ በቂ ነው. እንደ እውነቱ ከሆነ, በይነመረብ አንድ ትንሽ ራውተር ሊጥል ይችላል. ሁሉም ምክንያቱም በይነመረብ ስለ ድመቶች የተቃረኑ, የተጋላጭነት, ስህተቶች እና ቪዲዮዎች የተሞላ ነው. የበይነመረብ የጀርባ አጥንት, BGP, በችግሮች የተሞላ ነው. አሁንም መተንፈሱ ይገርማል። በበይነመረቡ ውስጥ ካሉ ስህተቶች በተጨማሪ በሁሉም እና በሁሉም ተበላሽቷል-ትላልቅ የበይነመረብ አቅራቢዎች ፣ ኮርፖሬሽኖች ፣ ግዛቶች እና የ DDoS ጥቃቶች። በእሱ ላይ ምን ማድረግ እና ከእሱ ጋር እንዴት መኖር እንደሚቻል?

መልሱን ያውቃል አሌክሲ ኡቻኪን (የምሽት_እባብ) በ IQ አማራጭ የኔትወርክ መሐንዲሶች ቡድን መሪ ነው። ዋናው ስራው የመሳሪያ ስርዓቱ ለተጠቃሚዎች ተደራሽነት ነው. በአሌክሲ ዘገባ ግልባጭ ውስጥ ቅዱስ ሃይሎድ++ 2019 ስለ BGP፣ DDOS ጥቃቶች፣ የኢንተርኔት መቀየሪያዎች፣ የአቅራቢዎች ስህተቶች፣ ያልተማከለ አስተዳደር እና አንድ ትንሽ ራውተር በይነመረብን ለመተኛት ሲልክ ስለ ጉዳዮች እንነጋገር። መጨረሻ ላይ - ከዚህ ሁሉ እንዴት እንደሚተርፉ ሁለት ምክሮች.

ኢንተርኔት የተበላሸበት ቀን

የኢንተርኔት ግንኙነት የተቋረጠባቸውን ጥቂት አጋጣሚዎች ብቻ ልጥቀስ። ይህ ለሙሉ ምስል በቂ ይሆናል.

የ AS7007 ክስተት. በይነመረብ ለመጀመሪያ ጊዜ የተበላሸው በሚያዝያ ወር 1997 ነበር። በአንድ ራውተር ሶፍትዌር ውስጥ ከራስ ገዝ ስርዓት 7007 ስህተት ነበር። በአንድ ወቅት, ራውተር የውስጥ መስመሩን ሰንጠረዥ ለጎረቤቶቹ አሳወቀ እና የአውታረ መረቡ ግማሹን ወደ ጥቁር ጉድጓድ ላከ.

"ፓኪስታን በዩቲዩብ ላይ". እ.ኤ.አ. በ2008 ከፓኪስታን የመጡ ደፋር ሰዎች ዩቲዩብን ለማገድ ወሰኑ። ግማሹ ዓለም ድመቶች ሳይኖሩበት ቀረ።

"የVISA፣ MasterCard እና Symantec ቅድመ ቅጥያዎችን በRostelecom መያዝ". እ.ኤ.አ. በ 2017 ፣ Rostelecom የ VISA ፣ MasterCard እና Symantec ቅድመ ቅጥያዎችን በስህተት ማስታወቅ ጀመረ። በዚህ ምክንያት የፋይናንስ ትራፊክ በአቅራቢው በሚቆጣጠረው ቻናል ተላልፏል። መፍሰሱ ለረጅም ጊዜ አልቆየም, ነገር ግን ለፋይናንስ ኩባንያዎች ደስ የማይል ነበር.

ጎግል vs ጃፓን።. በነሀሴ 2017 ጎግል የዋና ዋና የጃፓን አቅራቢዎች NTT እና KDDI በአንዳንድ አገናኞች ቅድመ ቅጥያዎችን ማሳወቅ ጀምሯል። ትራፊኩ ወደ Google እንደ መሸጋገሪያ ተልኳል፣ ምናልባትም በስህተት ነው። ጎግል አቅራቢ ስላልሆነ እና የመተላለፊያ ትራፊክን ስለማይፈቅድ የጃፓን ጉልህ ክፍል ያለ በይነመረብ ቀርቷል።

“DV LINK የጎግል፣ አፕል፣ ፌስቡክ፣ ማይክሮሶፍት ቅድመ ቅጥያዎችን ቀርጿል”. እንዲሁም እ.ኤ.አ. በ 2017 የሩሲያ አቅራቢ DV LINK በሆነ ምክንያት የጎግል ፣ አፕል ፣ ፌስቡክ ፣ ማይክሮሶፍት እና ሌሎች ዋና ዋና ተጫዋቾችን አውታረ መረቦች ማስታወቅ ጀመረ ።

"eNet ከዩኤስኤ AWS Route53 እና MyEtherwallet ቅድመ ቅጥያዎችን ያዘ". እ.ኤ.አ. በ2018 የኦሃዮ አቅራቢው ወይም ከደንበኞቹ አንዱ Amazon Route53 እና MyEtherwallet crypto የኪስ ቦርሳ ኔትወርኮችን አስታውቋል። ጥቃቱ የተሳካ ነበር፡ ምንም እንኳን በራስ ፊርማ የተፈረመ ሰርተፍኬት ቢሆንም፣ ወደ MyEtherwallet ድህረ ገጽ ሲገቡ ለተጠቃሚው ስለታየው ማስጠንቀቂያ፣ ብዙ የኪስ ቦርሳዎች ተጠልፈው የምስጢር ክሪፕቶፑ ክፍል ተሰርቋል።

በ 2017 ብቻ ከ 14 በላይ እንደዚህ ያሉ ክስተቶች ነበሩ! አውታረ መረቡ አሁንም ያልተማከለ ነው, ስለዚህ ሁሉም ነገር አይደለም እና ሁሉም ሰው አይበላሽም. ነገር ግን በሺዎች የሚቆጠሩ ክስተቶች አሉ, ሁሉም በይነመረብን ከሚሰጠው የ BGP ፕሮቶኮል ጋር የተያያዙ ናቸው.

BGP እና ችግሮቹ

ፕሮቶኮል BGP - የድንበር ጌትዌይ ፕሮቶኮልለመጀመሪያ ጊዜ የተገለፀው በ 1989 በ IBM እና Cisco Systems በሁለት መሐንዲሶች በሶስት "ናፕኪን" - A4 ሉሆች ላይ ነው. እነዚህ "ናፕኪን" አሁንም በሳን ፍራንሲስኮ ውስጥ በሲስኮ ሲስተምስ ዋና መሥሪያ ቤት እንደ የኔትወርክ ዓለም ቅርስ ተቀምጧል።

ፕሮቶኮሉ በራስ ገዝ ስርዓቶች መስተጋብር ላይ የተመሰረተ ነው - ራስ-ሰር ስርዓቶች ወይም AS በአጭሩ። ራሱን የቻለ ስርዓት በቀላሉ የአይፒ አውታረ መረቦች በሕዝብ መዝገብ ውስጥ የተመደቡበት መታወቂያ ነው። ይህ መታወቂያ ያለው ራውተር እነዚህን ኔትወርኮች ለዓለም ማሳወቅ ይችላል። በዚህ መሠረት በበይነመረብ ላይ ያለ ማንኛውም መንገድ እንደ ቬክተር ሊወከል ይችላል, እሱም ይባላል AS ዱካ. ቬክተሩ ወደ መድረሻው አውታረመረብ ለመድረስ መሻገር ያለባቸውን የራስ ገዝ ስርዓቶች ቁጥሮች ያካትታል.

ለምሳሌ, የበርካታ የራስ ገዝ ስርዓቶች አውታረመረብ አለ. ከ AS65001 ሲስተም ወደ AS65003 ሲስተም መድረስ አለብህ። የአንዱ ስርዓት መንገድ በዲያግራም ውስጥ በ AS Path ተወክሏል። ሁለት የራስ ገዝ ስርዓቶችን ያቀፈ ነው-65002 እና 65003. ለእያንዳንዱ የመድረሻ አድራሻ AS Path ቬክተር አለ, እሱም ማለፍ ያለብንን የራስ ገዝ ስርዓቶች ቁጥሮች ያካትታል.

ስለዚህ BGP ችግሮች ምንድን ናቸው?

BGP የመተማመን ፕሮቶኮል ነው።

የBGP ፕሮቶኮል እምነትን መሰረት ያደረገ ነው። ይህ ማለት ጎረቤታችንን በነባሪነት እናምናለን ማለት ነው። ይህ የበይነመረቡ መባቻ ላይ የተገነቡ የብዙ ፕሮቶኮሎች ባህሪ ነው። "መታመን" ምን ማለት እንደሆነ እንወቅ.

የጎረቤት ማረጋገጫ የለም።. በመደበኛነት፣ MD5 አለ፣ ነገር ግን MD5 በ2019 ልክ ያ...

ማጣሪያ የለም።. BGP ማጣሪያዎች አሉት እና እነሱ ተብራርተዋል, ነገር ግን ጥቅም ላይ አይውሉም ወይም በስህተት ጥቅም ላይ አይውሉም. ምክንያቱን በኋላ እገልጻለሁ።

ሰፈር ማዘጋጀት በጣም ቀላል ነው. በማንኛውም ራውተር ላይ በBGP ፕሮቶኮል ውስጥ ሰፈርን ማዋቀር ሁለት የማዋቀር መስመሮች ነው።

ምንም የBGP አስተዳደር መብቶች አያስፈልግም. መመዘኛዎችዎን ለማረጋገጥ ፈተና መውሰድ አያስፈልግዎትም። ማንም ሰክሮ ቢጂፒን ለማዋቀር መብትዎን አይወስድም።

ሁለት ዋና ችግሮች

ቅድመ ቅጥያ ጠለፋዎች. ቅድመ ቅጥያ ጠለፋ ማለት እንደ MyEtherwallet የአንተ ያልሆነውን ኔትወርክ ማስተዋወቅ ነው። አንዳንድ ቅድመ ቅጥያዎችን ወስደናል፣ ከአቅራቢው ጋር ተስማምተናል ወይም ጠልፈነዋል፣ እና በእሱ አማካኝነት እነዚህን አውታረ መረቦች እናሳውቃለን።

የመንገድ ፍንጣቂዎች. ፍንጣቂዎች ትንሽ ውስብስብ ናቸው. Leak በAS Path ላይ ለውጥ ነው።. በተሻለ ሁኔታ ለውጡ የበለጠ መዘግየትን ያስከትላል ምክንያቱም ረጅም መንገድ ወይም አቅም በሌለው ማገናኛ ላይ መጓዝ ያስፈልግዎታል። በከፋ ሁኔታ በGoogle እና በጃፓን ያለው ጉዳይ ይደገማል።

ጎግል ራሱ ኦፕሬተር ወይም ትራንዚት ራሱን የቻለ ስርዓት አይደለም። ነገር ግን የጃፓን ኦፕሬተሮችን ኔትወርኮች ለአገልግሎት አቅራቢው ሲያስተዋውቅ፣ በGoogle በኩል በ AS Path በኩል የሚደረግ ትራፊክ እንደ ከፍተኛ ቅድሚያ ይታይ ነበር። በጎግል ውስጥ ያሉት የማዞሪያ ቅንጅቶች ድንበር ላይ ካሉ ማጣሪያዎች የበለጠ ውስብስብ ስለሆኑ ትራፊክ ወደዚያ ሄዶ ወድቋል።

ለምን ማጣሪያዎች አይሰሩም?

ማንም አያስብም. ዋናው ምክንያት ይህ ነው - ማንም አያስብም. በBGP በኩል ከአቅራቢው ጋር የተገናኘው የአንድ ትንሽ አቅራቢ ወይም ኩባንያ አስተዳዳሪ ሚክሮቲክን ወሰደ ፣ በላዩ ላይ BGP አዋቅሮ እና ማጣሪያዎች እዚያ እንደሚዋቀሩ እንኳን አያውቅም።

የማዋቀር ስህተቶች. የሆነ ነገር አበላሹ፣ ጭምብሉ ላይ ተሳስተዋል፣ የተሳሳተ መረብ ለበሱ - እና አሁን እንደገና ስህተት አለ።

ምንም ቴክኒካዊ ዕድል የለም. ለምሳሌ የቴሌኮም አቅራቢዎች ብዙ ደንበኞች አሏቸው። ማድረግ ያለብዎት ብልህ ነገር ለእያንዳንዱ ደንበኛ ማጣሪያዎችን በራስ-ሰር ማዘመን ነው - አዲስ አውታረ መረብ እንዳለው ፣ አውታረ መረቡን ለአንድ ሰው እንዳከራየ ለመከታተል ነው። ይህንን ለመከተል አስቸጋሪ ነው, እና በእጆችዎ የበለጠ ከባድ ነው. ስለዚህ, በቀላሉ ዘና ያለ ማጣሪያዎችን ይጭናሉ ወይም ማጣሪያዎችን በጭራሽ አይጭኑም.

ልዩነቶች. ለተወዳጅ እና ትልቅ ደንበኞች ልዩ ሁኔታዎች አሉ. በተለይም በኢንተር-ኦፕሬተር መገናኛዎች ውስጥ. ለምሳሌ፣ TransTeleCom እና Rostelecom ብዙ አውታረ መረቦች አሏቸው እና በመካከላቸው አንድ በይነገጽ አለ። መገጣጠሚያው ቢወድቅ, ለማንም ሰው ጥሩ አይሆንም, ስለዚህ ማጣሪያዎቹ ዘና ይላሉ ወይም ሙሉ በሙሉ ይወገዳሉ.

ጊዜ ያለፈበት ወይም ተዛማጅነት የሌለው መረጃ በIRR ውስጥ. ማጣሪያዎች የተገነቡት በተመዘገበው መረጃ መሰረት ነው IRR - የበይነመረብ መስመር መዝገብ ቤት. እነዚህ የክልል የኢንተርኔት መዝጋቢዎች መዝገቦች ናቸው። ብዙ ጊዜ፣ መዝገቦች ጊዜ ያለፈበት ወይም ተዛማጅነት የሌለው መረጃ፣ ወይም ሁለቱንም ይይዛሉ።

እነዚህ መዝጋቢዎች እነማን ናቸው?

ሁሉም የኢንተርኔት አድራሻዎች የድርጅቱ ናቸው። IANA - የበይነመረብ የተመደበ ቁጥሮች ባለስልጣን. ከአንድ ሰው የአይፒ አውታረ መረብ ሲገዙ አድራሻዎችን እየገዙ አይደሉም ፣ ግን እነሱን የመጠቀም መብት። አድራሻዎች የማይዳሰሱ ሀብቶች ናቸው እና በጋራ ስምምነት ሁሉም በ IANA የተያዙ ናቸው።

ስርዓቱ እንደዚህ ይሰራል. IANA የአይፒ አድራሻዎችን እና ራስን በራስ የማስተዳደር ስርዓት ቁጥሮችን ለአምስት የክልል ሬጅስትራሮች ያስተዳድራል. ራሳቸውን የቻሉ ስርዓቶችን ያወጣሉ። LIR - የአካባቢ የበይነመረብ መዝጋቢዎች. ከዚያ LIRs የአይፒ አድራሻዎችን ለዋና ተጠቃሚዎች ይመድባሉ።

የስርዓቱ ጉዳቱ እያንዳንዱ የክልል ሬጅስትራሮች መዝገቡን በራሱ መንገድ ማቆየቱ ነው። በመመዝገቢያዎች ውስጥ ምን ዓይነት መረጃ መያዝ እንዳለበት እና ማን ማረጋገጥ እንዳለበት እና እንደሌለበት ሁሉም ሰው የራሱ አስተያየት አለው። ውጤቱ አሁን ያለንበት ውጥንቅጥ ነው።

እነዚህን ችግሮች እንዴት ሌላ መቋቋም ይችላሉ?

IRR - መካከለኛ ጥራት. በ IRR ግልጽ ነው - ሁሉም ነገር እዚያ መጥፎ ነው።

BGP-ማህበረሰቦች. ይህ በፕሮቶኮሉ ውስጥ የተገለፀው የተወሰነ ባህሪ ነው። ጎረቤታችን አውታረ መረቦቻችንን ወደ ጎረቤቶቹ እንዳይልክ ለምሳሌ ልዩ ማህበረሰብን ከማስታወቂያችን ጋር ማያያዝ እንችላለን። የፒ2ፒ ማገናኛ ሲኖረን ኔትወርኮቻችንን ብቻ እንለዋወጣለን። መንገዱ በአጋጣሚ ወደ ሌሎች አውታረ መረቦች እንዳይሄድ ለመከላከል ማህበረሰቡን እንጨምራለን.

ማህበረሰቦች ተሻጋሪ አይደሉም. ሁል ጊዜ የሁለት ውል ነው, እና ይሄ የእነሱ ጉድለት ነው. የትኛውንም ማህበረሰብ መመደብ አንችልም፣ ከአንዱ በስተቀር፣ በሁሉም ሰው በነባሪነት ተቀባይነት ያለው። ሁሉም ሰው ይህንን ማህበረሰብ እንደሚቀበል እና በትክክል እንደሚተረጉመው እርግጠኛ መሆን አንችልም። ስለዚህ, በጣም ጥሩ በሆነ ሁኔታ, ከእርስዎ አገናኞች ጋር ከተስማሙ, ከማህበረሰቡ አንጻር ከእሱ የሚፈልጉትን ይገነዘባል. ነገር ግን ጎረቤትዎ ላይረዳው ይችላል፣ ወይም ኦፕሬተሩ በቀላሉ መለያዎን እንደገና ያስጀምረዋል፣ እና የሚፈልጉትን ማሳካት አይችሉም።

RPKI + ROA የችግሮቹን ትንሽ ክፍል ብቻ ይፈታል።. RPKI ነው። የንብረት የህዝብ ቁልፍ መሠረተ ልማት  - የማዘዣ መረጃን ለመፈረም ልዩ ማዕቀፍ። LIRs እና ደንበኞቻቸው ወቅታዊ የአድራሻ ቦታ ዳታቤዝ እንዲይዙ ማስገደድ ጥሩ ሀሳብ ነው። ግን አንድ ችግር አለ.

RPKI እንዲሁ ተዋረዳዊ የህዝብ ቁልፍ ስርዓት ነው። IANA የ RIR ቁልፎች የሚመነጩበት ቁልፍ አለው እና ከየትኞቹ የ LIR ቁልፎች የመነጩ ናቸው? ROAs - Route Origin ፍቃዶችን በመጠቀም የአድራሻ ቦታቸውን የሚፈርሙበት፡

— ይህ ቅድመ ቅጥያ የሚታወጀው በራስ ገዝ ክልል ስም መሆኑን አረጋግጣለሁ።

ከ ROA በተጨማሪ ሌሎች እቃዎች አሉ, ግን በኋላ ስለእነሱ የበለጠ. ጥሩ እና ጠቃሚ ነገር ይመስላል. ነገር ግን "በፍፁም" ከሚለው ቃል ፍንጣቂዎች አይጠብቀንም እና ሁሉንም ችግሮች በቅድመ ቅጥያ ጠለፋ አይፈታም. ስለዚህ, ተጫዋቾች እሱን ለመተግበር አይቸኩሉም. ምንም እንኳን ልክ ያልሆነ የROA መዝገብ ቅድመ ቅጥያ ያላቸው እንደ AT&T እና ትላልቅ IX ኩባንያዎች ካሉ ትልልቅ ተጫዋቾች ማረጋገጫዎች ይቋረጣሉ።

ምናልባት ይህን ያደርጉ ይሆናል፣ አሁን ግን በምንም መልኩ ያልተፈረሙ በጣም ብዙ ቁጥር ያላቸው ቅድመ ቅጥያዎች አሉን። በአንድ በኩል፣ በትክክል መታወቃቸው ግልጽ አይደለም። በሌላ በኩል፣ በነባሪነት ልንጥላቸው አንችልም፣ ምክንያቱም ይህ ትክክል ነው ወይስ አይደለም የሚለውን እርግጠኛ አይደለንም።

ሌላ ምን አለ?

BGPSec. ይህ ምሁራኖች ለሮዝ ፖኒዎች መረብ ያወጡት አሪፍ ነገር ነው። አሉ:

- RPKI + ROA አለን - የአድራሻ ቦታ ፊርማዎችን የማረጋገጥ ዘዴ። የተለየ የBGP አይነታ እንፍጠር እና BGPSec ዱካ እንበለው። እያንዳንዱ ራውተር ለጎረቤቶቹ የሚያስተዋውቃቸውን ማስታወቂያዎች በራሱ ፊርማ ይፈርማሉ። በዚህ መንገድ ከተፈረሙ ማስታወቂያዎች ሰንሰለት የታመነ መንገድ እናገኛለን እና እሱን ማረጋገጥ እንችላለን።

በንድፈ ሀሳብ ጥሩ, በተግባር ግን ብዙ ችግሮች አሉ. BGPSec ቀጣይ-ሆፕስ ለመምረጥ እና በራውተር ላይ በቀጥታ ገቢ/ወጪ ትራፊክን ለመቆጣጠር ብዙ ነባር የBGP መካኒኮችን ይሰብራል። BGPSec ከጠቅላላው ገበያ 95% እስኪተገበር ድረስ አይሰራም, ይህም በራሱ ዩቶፒያ ነው.

BGPSec ትልቅ የአፈጻጸም ችግሮች አሉት። አሁን ባለው ሃርድዌር ላይ ማስታወቂያዎችን የመፈተሽ ፍጥነት በግምት 50 ቅድመ ቅጥያዎች በሰከንድ ነው። ለማነጻጸር፡ የአሁኑ የኢንተርኔት ሠንጠረዥ 700 ቅድመ ቅጥያዎች በ000 ሰአታት ውስጥ ይሰቀላሉ፣ በዚህ ጊዜ 5 ተጨማሪ ጊዜ ይቀየራል።

BGP ክፍት ፖሊሲ (ሚና ላይ የተመሰረተ BGP). በአምሳያው ላይ የተመሰረተ ትኩስ ፕሮፖዛል ጋኦ-ሬክስፎርድ. እነዚህ ሁለት ሳይንቲስቶች BGP ላይ ምርምር እያደረጉ ነው።

የጋኦ-ሬክስፎርድ ሞዴል እንደሚከተለው ነው. ለማቃለል ከBGP ጋር ጥቂት ቁጥር ያላቸው የግንኙነቶች አይነቶች አሉ፡-

• አቅራቢ ደንበኛ;
• P2P;
• የውስጥ ግንኙነት, iBGP ይበሉ.

በራውተር ሚና ላይ በመመስረት የተወሰኑ የማስመጣት/የመላክ ፖሊሲዎችን በነባሪነት መመደብ ይቻላል። አስተዳዳሪው ቅድመ ቅጥያ ዝርዝሮችን ማዋቀር አያስፈልገውም። ራውተሮች በመካከላቸው በሚስማሙበት እና ሊዋቀር በሚችለው ሚና ላይ በመመስረት አንዳንድ ነባሪ ማጣሪያዎችን እንቀበላለን። ይህ በአሁኑ ጊዜ በ IETF ውስጥ እየተወያየ ያለ ረቂቅ ነው። በቅርቡ ይህንን በ RFC እና በሃርድዌር ላይ በመተግበር ላይ እንደምናየው ተስፋ አደርጋለሁ።

ትላልቅ የበይነመረብ አቅራቢዎች

የአቅራቢውን ምሳሌ እንመልከት CenturyLink. 37 ግዛቶችን በማገልገል እና 15 የመረጃ ማእከላት ያለው ሶስተኛው ትልቁ የአሜሪካ አቅራቢ ነው። 

በዲሴምበር 2018 ሴንቸሪሊንክ በአሜሪካ ገበያ ላይ ለ50 ሰዓታት ነበር። በአደጋው ​​ወቅት በሁለት ክልሎች የኤቲኤም ማሽኖች አገልግሎት ላይ ችግሮች ታይተዋል, እና 911 ቁጥሩ በአምስት ክልሎች ውስጥ ለብዙ ሰዓታት እየሰራ አይደለም. የኢዳሆ ሎተሪ ሙሉ በሙሉ ወድሟል። ክስተቱ በአሁኑ ጊዜ በአሜሪካ ቴሌኮሙኒኬሽን ኮሚሽን በምርመራ ላይ ነው።

የአደጋው መንስኤ በአንድ የመረጃ ማዕከል ውስጥ ያለው አንድ የኔትወርክ ካርድ ነው። ካርዱ ተበላሽቷል፣ የተሳሳቱ ፓኬቶችን ልኳል፣ እና ሁሉም 15 የአቅራቢው የመረጃ ማዕከላት ወደቁ።

ሃሳቡ ለዚህ አቅራቢ አልሰራም። "ለመወድቅ በጣም ትልቅ". ይህ ሃሳብ በፍፁም አይሰራም። ማንኛውንም ዋና ተጫዋች ወስደህ አንዳንድ ትናንሽ ነገሮችን በላዩ ላይ ማድረግ ትችላለህ። ዩኤስ አሁንም በግንኙነት ጥሩ እየሰራ ነው። የCenturyLink ደንበኞች በገፍ ገቡ። ከዚያም አማራጭ ኦፕሬተሮች አገናኞቻቸው ከመጠን በላይ ስለጫኑ ቅሬታ አቅርበዋል.

ሁኔታዊው ካዛክቴሌኮም ከወደቀ፣ አገሩ በሙሉ ያለ በይነመረብ ይቀራል።

ኮርፖሬሽኖች

ምናልባት ጎግል፣ አማዞን፣ ፌስቡክ እና ሌሎች ኮርፖሬሽኖች ኢንተርኔትን ይደግፋሉ? አይ፣ እነሱም ይሰብራሉ።

በ 2017 በሴንት ፒተርስበርግ በ NOG13 ኮንፈረንስ ጄፍ ሂውስተን ከ ኤፒኤንአይ አስተዋውቋል "የመተላለፊያው ሞት" ሪፖርት አድርግ. መስተጋብር፣ የገንዘብ ፍሰት እና የኢንተርኔት ትራፊክ ቁመታዊ መሆን እንደለመድን ይናገራል። ከትላልቅ ሰዎች ጋር ለመገናኘት የሚከፍሉ አነስተኛ አቅራቢዎች አሉን ፣ እና እነሱ ቀድሞውኑ ለአለም አቀፍ መጓጓዣ ግንኙነት ይከፍላሉ ።

አሁን እንደዚህ ያለ ቀጥ ያለ ተኮር መዋቅር አለን። ሁሉም ነገር ጥሩ ይሆናል፣ ነገር ግን አለም እየተቀየረች ነው - ዋና ዋና ተጫዋቾች የራሳቸውን የጀርባ አጥንት ለመገንባት ትራንስ ውቅያኖስ ገመዳቸውን እየገነቡ ነው።

ስለ CDN ገመድ ዜና.

እ.ኤ.አ. በ 2018 ቴሌጂኦግራፊ በበይነመረቡ ላይ ካለው ትራፊክ ከግማሽ በላይ የሚሆነው በይነመረብ አለመሆኑን ፣ ግን የትላልቅ ተጫዋቾች የጀርባ አጥንት CDN መሆኑን አንድ ጥናት አወጣ ። ይህ ከበይነመረቡ ጋር የተያያዘ ትራፊክ ነው, ነገር ግን ይህ አሁን እየተነጋገርንበት ያለው አውታረ መረብ አይደለም.

በይነመረቡ ወደ ሰፊ የተገናኙ አውታረ መረቦች እየከፋፈለ ነው።

ማይክሮሶፍት የራሱ አውታረመረብ አለው ፣ ጎግል የራሱ አለው ፣ እና አንዳቸው ከሌላው ጋር ትንሽ መደራረብ የላቸውም። በዩኤስኤ ውስጥ የመነጨው ትራፊክ ከውቅያኖስ አቋርጦ ወደ አውሮፓ በሲዲኤን በኩል ወደማይክሮሶፍት ቻናሎች ይሄዳል፣ ከዚያም በCDN ወይም IX በኩል ከአቅራቢዎ ጋር ይገናኛል እና ወደ ራውተርዎ ይደርሳል።

ያልተማከለ አስተዳደር እየጠፋ ነው።

ከኒውክሌር ፍንዳታ ለመዳን የሚረዳው ይህ የኢንተርኔት ጥንካሬ እየጠፋ ነው። የተጠቃሚዎች የትኩረት ቦታዎች እና ትራፊክ ይታያሉ። ሁኔታዊው ጎግል ክላውድ ከወደቀ፣ በአንድ ጊዜ ብዙ ተጎጂዎች ይኖራሉ። Roskomnadzor AWSን ሲያግደው ይህ በከፊል ተሰማን። እና የ CenturyLink ምሳሌ እንደሚያሳየው ትናንሽ ነገሮች እንኳን ለዚህ በቂ ናቸው.

ከዚህ በፊት ሁሉም ነገር አይደለም እና ሁሉም ሰው አልሰበሩም. ወደፊት፣ በአንድ ዋና ተዋናይ ላይ ተጽዕኖ በማሳደር፣ በብዙ ቦታዎች እና በብዙ ሰዎች ላይ ብዙ ነገሮችን ማፍረስ እንችላለን ወደሚል መደምደሚያ ላይ ልንደርስ እንችላለን።

ግዛቶች

ክልሎች ቀጥለው ይገኛሉ፣ እና ይሄ ነው የሚደርስባቸው።

እዚህ የእኛ Roskomnadzor ምንም እንኳን አቅኚ አይደለም። በኢራን፣ ሕንድ እና ፓኪስታን ተመሳሳይ የኢንተርኔት መዘጋት ልማድ አለ። በእንግሊዝ የኢንተርኔት አገልግሎትን የመዝጋት ሒሳብ አለ።

ማንኛውም ትልቅ ግዛት በይነመረብን ለማጥፋት ሙሉ በሙሉ ወይም በከፊል: ትዊተር, ቴሌግራም, ፌስቡክ መቀየር ይፈልጋል. እነሱ ፈጽሞ እንደማይሳካላቸው አለመረዳታቸው አይደለም, ነገር ግን በእርግጥ ይፈልጋሉ. ማብሪያው እንደ አንድ ደንብ ለፖለቲካዊ ዓላማዎች ጥቅም ላይ ይውላል - የፖለቲካ ተፎካካሪዎችን ለማስወገድ ወይም ምርጫዎች እየቀረበ ነው, ወይም የሩሲያ ጠላፊዎች እንደገና አንድ ነገር ሰብረዋል.

DDoS ጥቃቶች

ከጓደኞቼ ከ Qrator Labs ዳቦ አልወስድም, ከእኔ በተሻለ ሁኔታ ያደርጉታል. አላቸው ዓመታዊ ሪፖርት በበይነመረብ መረጋጋት ላይ. እና ይህ በ 2018 ሪፖርት ላይ የጻፉት ነው.

የ DDoS ጥቃቶች አማካይ ቆይታ ወደ 2.5 ሰአታት ይቀንሳል. አጥቂዎቹም ገንዘብ መቁጠር ይጀምራሉ, እና ሀብቱ ወዲያውኑ ካልተገኘ, ከዚያም በፍጥነት ብቻውን ይተዋሉ.

የጥቃቱ መጠን እየጨመረ ነው።. እ.ኤ.አ. በ 2018 በአካማይ አውታረመረብ ላይ 1.7 Tb / ሰ አየን ፣ እና ይህ ወሰን አይደለም።

አዳዲስ የጥቃት ቫይረሶች እየታዩ እና አሮጌዎቹ እየተጠናከሩ ነው።. ለማጉላት የሚጋለጡ አዳዲስ ፕሮቶኮሎች እየመጡ ነው፣ እና በነባር ፕሮቶኮሎች ላይ በተለይም በTLS እና በመሳሰሉት ላይ አዳዲስ ጥቃቶች እየታዩ ነው።

አብዛኛው ትራፊክ ከተንቀሳቃሽ መሳሪያዎች ነው።. በተመሳሳይ ጊዜ የበይነመረብ ትራፊክ ወደ ሞባይል ደንበኞች ይቀየራል. የሚያጠቁትም ሆነ የሚከላከሉት ከዚህ ጋር መስራት መቻል አለባቸው።

የማይበገር - አይ. ይህ ዋናው ሃሳብ ነው - በእርግጠኝነት ከማንኛውም DDoS የሚከላከል ምንም አይነት ሁለንተናዊ ጥበቃ የለም.

ከበይነመረቡ ጋር ካልተገናኘ በስተቀር ስርዓቱ መጫን አይቻልም.

በቂ ፈርቼህ እንደሆነ ተስፋ አደርጋለሁ። አሁን ስለ እሱ ምን ማድረግ እንዳለብን እናስብ.

ምን ለማድረግ?!

ነፃ ጊዜ፣ ፍላጎት እና የእንግሊዝኛ እውቀት ካሎት፣ በስራ ቡድኖች ውስጥ ይሳተፉ፡ IETF፣ RIPE WG። እነዚህ ክፍት የመልእክት ዝርዝሮች ናቸው ፣ ለደብዳቤ መላኪያ ዝርዝሮች ደንበኝነት ይመዝገቡ ፣ በውይይት ይሳተፉ ፣ ወደ ኮንፈረንስ ይምጡ። የLIR ደረጃ ካለህ፣ ለምሳሌ በRIPE ለተለያዩ ተነሳሽነቶች ድምጽ መስጠት ትችላለህ።

ለሟች ሰዎች ይህ ነው። ክትትል. የተበላሸውን ለማወቅ።

ክትትል: ምን ማረጋገጥ?

መደበኛ ፒንግ, እና ሁለትዮሽ ቼክ ብቻ አይደለም - ይሰራል ወይም አይሰራም. በኋላ ላይ ያልተለመዱ ነገሮችን እንዲመለከቱ RTTን በታሪክ ይቅረጹ።

ተራኪ. ይህ በTCP/IP አውታረ መረቦች ላይ የውሂብ መስመሮችን ለመወሰን የመገልገያ ፕሮግራም ነው. ያልተለመዱ ነገሮችን እና እገዳዎችን ለመለየት ይረዳል.

HTTP ብጁ ዩአርኤሎችን እና የTLS የምስክር ወረቀቶችን ይፈትሻል ለጥቃቱ ማገድን ወይም የዲ ኤን ኤስ መጨናነቅን ለመለየት ይረዳል፣ ይህም በተግባር ተመሳሳይ ነው። ማገድ ብዙውን ጊዜ የሚከናወነው በዲ ኤን ኤስ ማጭበርበር እና ትራፊክን ወደ ግትር ገጽ በማዞር ነው።

ከተቻለ፣ ማመልከቻ ካለዎት የደንበኞችዎን አመጣጥ ከተለያዩ ቦታዎች የመጡበትን ሁኔታ ያረጋግጡ። ይህ የዲ ኤን ኤስ ጠለፋ ያልተለመዱ ነገሮችን እንድታገኝ ያግዝሃል፣ ይህም አቅራቢዎች አንዳንድ ጊዜ የሚያደርጉትን ነው።

ክትትል: የት ማረጋገጥ?

ምንም ሁለንተናዊ መልስ የለም. ተጠቃሚው ከየት እንደመጣ ያረጋግጡ። ተጠቃሚዎች በሩሲያ ውስጥ ከሆኑ ከሩሲያ ይፈትሹ, ነገር ግን እራስዎን በእሱ ላይ አይገድቡ. የእርስዎ ተጠቃሚዎች በተለያዩ ክልሎች የሚኖሩ ከሆነ፣ ከእነዚህ ክልሎች ይመልከቱ። ግን ከመላው ዓለም የተሻለ።

ክትትል: ምን ማረጋገጥ?

ሶስት መንገዶችን አመጣሁ። የበለጠ የሚያውቁ ከሆነ በአስተያየቶቹ ውስጥ ይፃፉ.

• RIPE አትላስ
• የንግድ ክትትል.
• የእራስዎ ምናባዊ ማሽኖች አውታረ መረብ።

ስለ እያንዳንዳቸው እንነጋገር.

RIPE አትላስ - እንደዚህ ያለ ትንሽ ሳጥን ነው. የአገር ውስጥ "ኢንስፔክተር" ለሚያውቁ - ይህ ተመሳሳይ ሳጥን ነው, ግን በተለየ ተለጣፊ.

RIPE Atlas ነፃ ፕሮግራም ነው።. ተመዝግበዋል, ራውተር በፖስታ ይቀበሉ እና ወደ አውታረ መረቡ ይሰኩት. ሌላ ሰው የእርስዎን ናሙና ስለሚጠቀም፣ አንዳንድ ክሬዲቶች ያገኛሉ። በእነዚህ ብድሮች እራስዎ አንዳንድ ምርምር ማድረግ ይችላሉ. በተለያዩ መንገዶች መሞከር ይችላሉ-ፒንግ ፣ ትራክሮውት ፣ የምስክር ወረቀቶችን ያረጋግጡ። ሽፋኑ በጣም ትልቅ ነው, ብዙ አንጓዎች አሉ. ግን ልዩነቶች አሉ.

የብድር ስርዓቱ የምርት መፍትሄዎችን መገንባት አይፈቅድም. ለቀጣይ ምርምር ወይም የንግድ ክትትል በቂ ክሬዲቶች አይኖሩም። ክሬዲቶቹ ለአጭር ጊዜ ጥናት ወይም የአንድ ጊዜ ቼክ በቂ ናቸው። የአንድ ናሙና ዕለታዊ ደንብ በ1-2 ቼኮች ይበላል.

ሽፋን ያልተስተካከለ ነው።. መርሃግብሩ በሁለቱም አቅጣጫዎች ነፃ ስለሆነ በአውሮፓ, በአውሮፓ ሩሲያ እና በአንዳንድ ክልሎች ሽፋኑ ጥሩ ነው. ግን ኢንዶኔዥያ ወይም ኒውዚላንድ ከፈለጉ ፣ ከዚያ ሁሉም ነገር በጣም የከፋ ነው - በአንድ ሀገር 50 ናሙናዎች ላይኖርዎት ይችላል።

httpን ከናሙና ማየት አይችሉም. ይህ በቴክኒካዊ ጥቃቅን ነገሮች ምክንያት ነው. በአዲሱ ስሪት ውስጥ ለማስተካከል ቃል ገብተዋል, አሁን ግን http ሊረጋገጥ አይችልም. የምስክር ወረቀቱ ብቻ ነው ሊረጋገጥ የሚችለው. አንዳንድ አይነት http ቼክ ሊደረግ የሚችለው መልህቅ በተባለ ልዩ RIPE Atlas መሳሪያ ላይ ብቻ ነው።

ሁለተኛው ዘዴ የንግድ ክትትል ነው. ከእሱ ጋር ሁሉም ነገር ጥሩ ነው, ገንዘብ እየከፈሉ ነው, አይደል? በአለም ዙሪያ በርካታ ደርዘን ወይም በመቶዎች የሚቆጠሩ የክትትል ነጥቦችን ቃል ገብተውልዎታል እና ከሳጥኑ ውስጥ የሚያምሩ ዳሽቦርዶችን ይሳሉ። ግን, እንደገና, ችግሮች አሉ.

ተከፍሏል፣ በአንዳንድ ቦታዎች በጣም ነው።. የፒንግ ክትትል፣ አለምአቀፍ ቼኮች እና ብዙ የ http ቼኮች በዓመት ብዙ ሺህ ዶላር ያስወጣሉ። ፋይናንስ የሚፈቅድ ከሆነ እና ይህን መፍትሄ ከወደዱት ይቀጥሉ።

በፍላጎት ክልል ውስጥ ሽፋን በቂ ላይሆን ይችላል. በተመሳሳዩ ፒንግ ፣ ከፍተኛው የአብስትራክት የዓለም ክፍል ተለይቷል - እስያ ፣ አውሮፓ ፣ ሰሜን አሜሪካ። ብርቅዬ የክትትል ስርዓቶች ወደ አንድ የተወሰነ ሀገር ወይም ክልል ሊገቡ ይችላሉ።

ለብጁ ሙከራዎች ደካማ ድጋፍ. በዩአርኤል ላይ “ጥምዝ” ብቻ ሳይሆን ብጁ የሆነ ነገር ካስፈለገዎት በዚያ ላይ ችግሮችም አሉ።

ሦስተኛው መንገድ የእርስዎ ክትትል ነው. ይህ ክላሲክ ነው፡ "የራሳችንን እንፃፍ!"

የእርስዎ ክትትል ወደ የሶፍትዌር ምርት ልማት እና ወደ ተሰራጭነት ይለወጣል። የመሠረተ ልማት አቅራቢዎችን እየፈለጉ ነው ፣ እንዴት ማሰማራት እና መከታተል እንደሚችሉ ይመልከቱ - ቁጥጥር ክትትል ሊደረግበት ይገባል ፣ አይደል? ድጋፍም ያስፈልጋል። ይህንን ከመውሰድዎ በፊት አሥር ጊዜ ያስቡ. አንድ ሰው እንዲያደርግልዎ መክፈል ቀላል ሊሆን ይችላል።

የBGP anomalies እና DDoS ጥቃቶችን መከታተል

እዚህ, በሚገኙ ሀብቶች ላይ በመመስረት, ሁሉም ነገር የበለጠ ቀላል ነው. እንደ QRadar፣ BGPmon ያሉ ልዩ አገልግሎቶችን በመጠቀም የBGP ያልተለመዱ ነገሮች ተገኝተዋል. ከብዙ ኦፕሬተሮች የሙሉ እይታ ሰንጠረዥ ይቀበላሉ. ከተለያዩ ኦፕሬተሮች በሚያዩት ነገር ላይ በመመርኮዝ ያልተለመዱ ነገሮችን መለየት, ማጉያዎችን መፈለግ, ወዘተ. መመዝገብ ብዙውን ጊዜ ነፃ ነው - ስልክ ቁጥርዎን ያስገቡ ፣ ለኢሜል ማሳወቂያዎች ይመዝገቡ ፣ እና አገልግሎቱ ለችግሮችዎ ያሳውቅዎታል።

የ DDoS ጥቃቶችን መከታተልም ቀላል ነው። በተለምዶ ይህ ነው። NetFlow ላይ የተመሠረተ እና ምዝግብ ማስታወሻዎች. እንደ ልዩ ስርዓቶች አሉ FastNetMon, ሞጁሎች ለ Splunk. እንደ የመጨረሻ አማራጭ፣ የእርስዎ DDoS ጥበቃ አቅራቢ አለ። እንዲሁም NetFlowን ሊያፈስ ይችላል እና በእሱ ላይ በመመስረት በአቅጣጫዎ የሚደርሱ ጥቃቶችን ያሳውቅዎታል።

ግኝቶች

ምንም ቅዠቶች አይኑሩ - በይነመረቡ በእርግጠኝነት ይቋረጣል. ሁሉም ነገር እና ሁሉም ሰው አይሰበሩም, ነገር ግን በ 14 2017 ሺህ ክስተቶች ክስተቶች እንደሚኖሩ ይጠቁማሉ.

የእርስዎ ተግባር በተቻለ ፍጥነት ችግሮችን ማስተዋል ነው።. ቢያንስ፣ ከተጠቃሚዎ በኋላ አይዘገይም። ማስታወሱ ብቻ ሳይሆን ሁል ጊዜም "ፕላን B" በመጠባበቂያ ያስቀምጡ። እቅድ ሁሉም ነገር ሲበላሽ ለሚያደርጉት ነገር ስልት ነው።የመጠባበቂያ ኦፕሬተሮች, ዲሲ, ሲዲኤን. እቅድ የሁሉንም ነገር ስራ የሚፈትሹበት የተለየ የፍተሻ ዝርዝር ነው። እቅዱ ያለ የኔትወርክ መሐንዲሶች ተሳትፎ መስራት አለበት, ምክንያቱም አብዛኛውን ጊዜ ጥቂቶቹ ናቸው እና መተኛት ይፈልጋሉ.

ይኼው ነው. ከፍተኛ ተገኝነት እና አረንጓዴ ክትትል እመኛለሁ.

በሚቀጥለው ሳምንት በኖቮሲቢሪስክ የፀሐይ ብርሃን, ከፍተኛ ጭነት እና ከፍተኛ የገንቢዎች ስብስብ ይጠበቃል ሃይሎድ++ ሳይቤሪያ 2019. በሳይቤሪያ, ክትትል, ተደራሽነት እና ሙከራ, ደህንነት እና አስተዳደር ላይ ሪፖርቶች ፊት ለፊት ተንብየዋል. ዝናብ በማህበራዊ አውታረመረቦች ላይ በተፃፉ ማስታወሻዎች ፣ አውታረ መረቦች ፣ ፎቶግራፎች እና ልጥፎች መልክ ይጠበቃል። በጁን 24 እና 25 እና ሁሉንም እንቅስቃሴዎች ለሌላ ጊዜ ማስተላለፍ እንመክራለን ትኬቶችን ለማስያዝ. በሳይቤሪያ ውስጥ እየጠበቅንህ ነው!

ምንጭ: hab.com