İnternet güclü, müstəqil və sarsılmaz bir quruluş kimi görünür. Nəzəri olaraq, şəbəkə nüvə partlayışından sağ çıxa biləcək qədər güclüdür. Əslində, İnternet kiçik bir marşrutlaşdırıcını buraxa bilər. Hamısı ona görə ki, İnternet ziddiyyətlər, zəifliklər, səhvlər və pişiklər haqqında videolar yığınıdır. İnternetin onurğa sütunu olan BGP problemlərlə doludur. Onun hələ də nəfəs alması təəccüblüdür. İnternetin özündəki səhvlərə əlavə olaraq, o, hər kəs tərəfindən pozulur: böyük İnternet provayderləri, korporasiyalar, dövlətlər və DDoS hücumları. Bununla nə etməli və bununla necə yaşamaq olar?
Cavabı bilir Aleksey Uçakin () IQ Option-da şəbəkə mühəndisləri qrupunun lideridir. Onun əsas vəzifəsi platformanın istifadəçilər üçün əlçatanlığıdır. Alekseyin məruzəsinin stenoqramında BGP, DDOS hücumları, İnternet keçidləri, provayder səhvləri, mərkəzsizləşdirmə və kiçik bir marşrutlaşdırıcının İnterneti yuxuya göndərdiyi hallar haqqında danışaq. Sonda - bütün bunlardan necə sağ çıxmaq barədə bir neçə məsləhət.
İnternetin qırıldığı gün
İnternet bağlantısının kəsildiyi bir neçə hadisəni qeyd edəcəm. Bu tam şəkil üçün kifayət edəcəkdir.
"AS7007 Hadisəsi". İlk dəfə İnternet 1997-ci ilin aprelində pozulub. 7007 avtonom sistemindən bir marşrutlaşdırıcının proqram təminatında xəta baş verib. Bir nöqtədə, marşrutlaşdırıcı daxili marşrutlaşdırma cədvəlini qonşularına elan etdi və şəbəkənin yarısını qara dəliyə göndərdi.
"Pakistan YouTube-a qarşı". 2008-ci ildə Pakistandan olan cəsur uşaqlar YouTube-u bloklamaq qərarına gəldilər. Bunu o qədər yaxşı bacardılar ki, dünyanın yarısı pişiksiz qaldı.
“VISA, MasterCard və Symantec prefikslərinin Rostelecom tərəfindən tutulması”. 2017-ci ildə Rostelecom səhvən VISA, MasterCard və Symantec prefikslərini elan etməyə başladı. Nəticədə, maliyyə trafiki provayder tərəfindən idarə olunan kanallar vasitəsilə həyata keçirilirdi. Sızıntı uzun sürmədi, lakin maliyyə şirkətləri üçün xoşagəlməz oldu.
Google Yaponiyaya qarşı. 2017-ci ilin avqustunda Google, bəzi yuxarı keçidlərində əsas Yapon provayderləri NTT və KDDI-nin prefikslərini elan etməyə başladı. Trafik Google-a tranzit kimi göndərilib, çox güman ki, səhvən. Google provayder olmadığından və tranzit trafikə icazə vermədiyindən Yaponiyanın əhəmiyyətli bir hissəsi internetsiz qalıb.
“DV LINK Google, Apple, Facebook, Microsoft-un prefikslərini ələ keçirdi”. Həmçinin 2017-ci ildə Rusiyanın DV LINK provayderi nədənsə Google, Apple, Facebook, Microsoft və bəzi digər əsas oyunçuların şəbəkələrini elan etməyə başladı.
“ABŞ-dan eNet AWS Route53 və MyEtherwallet prefikslərini ələ keçirdi”. 2018-ci ildə Ohayo provayderi və ya müştərilərindən biri Amazon Route53 və MyEtherwallet kripto pul kisəsi şəbəkələrini elan etdi. Hücum uğurlu oldu: hətta MyEtherwallet veb saytına daxil olan zaman istifadəçiyə xəbərdarlıq görünən özünü imzalayan sertifikata baxmayaraq, bir çox pul kisəsi qaçırıldı və kriptovalyutanın bir hissəsi oğurlandı.
Təkcə 2017-ci ildə 14-dən çox belə hadisə baş verib! Şəbəkə hələ də mərkəzləşdirilməmişdir, buna görə də hər şey və hamı pozulmur. Ancaq hamısı İnterneti gücləndirən BGP protokolu ilə əlaqəli minlərlə insident var.
BGP və onun problemləri
Protokol BGP - Border Gateway Protocol, ilk dəfə 1989-cu ildə IBM və Cisco Systems-dən iki mühəndis tərəfindən üç "salfet" - A4 vərəqlərində təsvir edilmişdir. Bunlar hələ də şəbəkə dünyasının qalığı kimi Cisco Systems-in San-Fransiskodakı baş qərargahında oturur.
Protokol avtonom sistemlərin qarşılıqlı əlaqəsinə əsaslanır - Avtonom Sistemlər və ya qısaca AS. Avtonom sistem sadəcə olaraq ictimai reyestrdə IP şəbəkələrinin təyin olunduğu identifikatordur. Bu identifikatoru olan marşrutlaşdırıcı bu şəbəkələri dünyaya elan edə bilər. Müvafiq olaraq, İnternetdə hər hansı bir marşrut adlandırılan vektor kimi təqdim edilə bilər AS Yol. Vektor təyinat şəbəkəsinə çatmaq üçün keçməli olan avtonom sistemlərin nömrələrindən ibarətdir.
Məsələn, bir sıra muxtar sistemlərin şəbəkəsi mövcuddur. AS65001 sistemindən AS65003 sisteminə keçməlisiniz. Bir sistemdən gələn yol diaqramda AS Path ilə təmsil olunur. O, iki avtonom sistemdən ibarətdir: 65002 və 65003. Hər təyinat ünvanı üçün keçməli olduğumuz avtonom sistemlərin saylarından ibarət AS Path vektoru var.
Beləliklə, BGP ilə bağlı problemlər nələrdir?
BGP etibar protokoludur
BGP protokolu etibara əsaslanır. Bu o deməkdir ki, biz standart olaraq qonşumuza güvənirik. Bu, İnternetin başlanğıcında hazırlanmış bir çox protokolun xüsusiyyətidir. Gəlin “etibar”ın nə demək olduğunu anlayaq.
Qonşu identifikasiyası yoxdur. Formal olaraq, MD5 var, lakin 5-cu ildə MD2019 məhz budur...
Filtrləmə yoxdur. BGP-də filtrlər var və onlar təsvir olunub, lakin onlar istifadə edilmir və ya səhv istifadə olunmur. Səbəbini sonra izah edəcəyəm.
Məhəllə qurmaq çox asandır. Demək olar ki, hər hansı bir marşrutlaşdırıcıda BGP protokolunda bir qonşuluq qurmaq konfiqurasiyanın bir neçə xəttidir.
BGP idarəetmə hüququ tələb olunmur. İxtisaslarınızı sübut etmək üçün imtahan vermək lazım deyil. Sərxoş halda BGP-ni konfiqurasiya etmək hüquqlarınızı heç kim əlindən almayacaq.
İki əsas problem
Prefiks qaçırmaları. Prefiks qaçırma MyEtherwallet-də olduğu kimi sizə aid olmayan şəbəkənin reklamıdır. Bəzi prefiksləri götürdük, provayderlə razılaşdıq və ya onu sındırdıq və onun vasitəsilə bu şəbəkələri elan edirik.
Marşrut sızması. Sızıntılar bir az daha mürəkkəbdir. Sızma AS yolunda dəyişiklikdir. Ən yaxşı halda dəyişiklik daha çox gecikmə ilə nəticələnəcək, çünki siz daha uzun marşrut və ya daha az tutumlu keçidlə səyahət etməlisiniz. Ən pis halda, Google və Yaponiya ilə vəziyyət təkrarlanacaq.
Google özü operator və ya tranzit avtonom sistem deyil. Lakin o, Yapon operatorlarının şəbəkələrini provayderinə elan etdikdə, AS Path vasitəsilə Google vasitəsilə trafik daha yüksək prioritet kimi qəbul edildi. Trafik ora getdi və sadəcə olaraq azaldı, çünki Google daxilində marşrutlaşdırma parametrləri sərhəddəki filtrlərdən daha mürəkkəbdir.
Niyə filtrlər işləmir?
Heç kimin vecinə deyil. Əsas səbəb budur - heç kimin vecinə deyil. BGP vasitəsilə provayderə qoşulan kiçik bir provayderin və ya şirkətin administratoru MikroTik-i götürdü, onun üzərində BGP-ni konfiqurasiya etdi və orada filtrlərin konfiqurasiya edilə biləcəyini belə bilmir.
Konfiqurasiya xətaları. Nəyisə qarışdırdılar, maskada səhv etdilər, səhv mesh taxdılar - indi yenə səhv var.
Texniki imkan yoxdur. Məsələn, telekommunikasiya provayderlərinin çoxlu müştəriləri var. Ağıllı iş, hər bir müştəri üçün filtrləri avtomatik yeniləməkdir - onun yeni şəbəkəsi olduğunu, şəbəkəsini kiməsə icarəyə verdiyini izləməkdir. Bunu izləmək çətindir və əllərinizlə daha da çətindir. Buna görə də, onlar sadəcə olaraq rahat filtrlər quraşdırırlar və ya ümumiyyətlə filtrlər quraşdırmırlar.
İstisnalar. Sevimli və böyük müştərilər üçün istisnalar var. Xüsusilə operatorlararası interfeyslər vəziyyətində. Məsələn, TransTeleCom və Rostelecom bir dəstə şəbəkəyə malikdir və onlar arasında bir interfeys var. Birgə düşərsə, heç kim üçün yaxşı olmayacaq, buna görə də filtrlər rahatlaşır və ya tamamilə çıxarılır.
IRR-də köhnəlmiş və ya uyğun olmayan məlumatlar. Filtrlər qeyd olunan məlumatlar əsasında qurulur IRR - İnternet marşrutlaşdırma reyestri. Bunlar regional internet registratorlarının reyestrləridir. Çox vaxt reyestrlərdə köhnəlmiş və ya aidiyyəti olmayan məlumatlar və ya hər ikisi olur.
Bu qeydiyyatçılar kimlərdir?
Bütün internet ünvanları təşkilata məxsusdur IANA - İnternet Təyin edilmiş Nömrələr Təşkilatı. Kimdənsə İP şəbəkəsini satın aldığınız zaman siz ünvanları deyil, onlardan istifadə hüququnu alırsınız. Ünvanlar qeyri-maddi resursdur və ümumi razılığa əsasən onların hamısı IANA-ya məxsusdur.
Sistem belə işləyir. IANA IP ünvanlarının və avtonom sistem nömrələrinin idarə edilməsini beş regional qeydiyyatçıya həvalə edir. Onlar avtonom sistemlər verirlər LIR - yerli internet registratorları. LIR-lər daha sonra son istifadəçilərə IP ünvanlarını ayırır.
Sistemin dezavantajı ondan ibarətdir ki, regional qeydiyyatçıların hər biri öz reyestrlərini özünəməxsus şəkildə aparır. Hər kəsin reyestrlərdə hansı məlumatların olması, kimin yoxlamalı olub-olmaması barədə öz fikirləri var. Nəticə indiki qarışıqlıqdır.
Bu problemlərlə başqa necə mübarizə apara bilərsiniz?
IRR - orta keyfiyyət. IRR ilə aydındır - orada hər şey pisdir.
BGP icmaları. Bu, protokolda təsvir olunan bəzi atributdur. Biz, məsələn, elanımıza xüsusi bir icma əlavə edə bilərik ki, qonşu bizim şəbəkələrimizi qonşularına göndərməsin. P2P linkimiz olduqda, biz yalnız şəbəkələrimizi mübadilə edirik. Marşrutun təsadüfən başqa şəbəkələrə keçməsinin qarşısını almaq üçün icma əlavə edirik.
İcmalar keçidli deyil. Həmişə iki nəfərlik müqavilədir və bu, onların çatışmazlığıdır. Hər kəs tərəfindən defolt olaraq qəbul edilən biri istisna olmaqla, heç bir icma təyin edə bilmərik. Biz əmin ola bilmərik ki, hər kəs bu camaatı qəbul edəcək və onu düzgün şərh edəcək. Buna görə də, ən yaxşı halda, yuxarı bağlantınızla razılaşsanız, cəmiyyət baxımından ondan nə istədiyinizi başa düşəcəkdir. Ancaq qonşunuz başa düşməyə bilər və ya operator sadəcə etiketinizi sıfırlayacaq və istədiyinizə nail olmayacaqsınız.
RPKI + ROA problemlərin yalnız kiçik bir hissəsini həll edir. RPKI edir Resurs Açıq Açar İnfrastruktur — marşrut məlumatlarının imzalanması üçün xüsusi çərçivə. LIR-ləri və onların müştərilərini müasir ünvan məkanı verilənlər bazasını saxlamağa məcbur etmək yaxşı fikirdir. Amma bununla bağlı bir problem var.
RPKI həm də iyerarxik açıq açar sistemidir. IANA-nın hansı RIR açarlarının yaradıldığı və hansı LIR açarlarının yaradıldığı açarı var? ROA-lardan istifadə edərək ünvan sahəsini imzaladıqları - Route Origin Authorisations:
— Sizi əmin edirəm ki, bu prefiks bu muxtar vilayət adından elan olunacaq.
ROA-dan əlavə, başqa obyektlər də var, lakin onlar haqqında daha sonra. Yaxşı və faydalı bir şey kimi görünür. Ancaq bu, bizi "ümumiyyətlə" sözündən sızmalardan qorumur və prefiksin qaçırılması ilə bağlı bütün problemləri həll etmir. Buna görə də oyunçular bunu həyata keçirməyə tələsmirlər. Baxmayaraq ki, AT&T kimi böyük oyunçular və böyük IX şirkətləri etibarsız ROA rekordu olan prefikslərin ləğv ediləcəyinə dair artıq zəmanətlər var.
Bəlkə də bunu edəcəklər, amma indiyə qədər heç bir şəkildə imzalanmayan çoxlu sayda prefikslərimiz var. Bir tərəfdən, onların etibarlı şəkildə elan edilib-edilməməsi aydın deyil. Digər tərəfdən, biz onları standart olaraq buraxa bilmərik, çünki bunun düzgün olub-olmadığına əmin deyilik.
Başqa nə var?
BGPSec. Bu, akademiklərin çəhrayı ponilər şəbəkəsi üçün hazırladıqları gözəl bir şeydir. Onlar dedilər:
- Bizdə RPKI + ROA var - ünvan məkanı imzalarının yoxlanılması mexanizmi. Gəlin ayrıca BGP atributunu yaradaq və onu BGPSec Path adlandıraq. Hər bir marşrutlaşdırıcı qonşularına elan etdiyi elanları öz imzası ilə imzalayacaq. Beləliklə, imzalanmış elanlar zəncirindən etibarlı bir yol əldə edəcəyik və onu yoxlaya biləcəyik.
Nəzəri cəhətdən yaxşıdır, amma praktikada çoxlu problemlər var. BGPSec, növbəti atlamaları seçmək və birbaşa marşrutlaşdırıcıda daxil olan/çıxan trafiki idarə etmək üçün bir çox mövcud BGP mexanikasını pozur. BGPSec, bütün bazarın 95% -i onu həyata keçirməyincə işləmir, bu da bir utopiyadır.
BGPSec-in böyük performans problemləri var. Cari avadanlıqda elanların yoxlanılması sürəti saniyədə təxminən 50 prefiks təşkil edir. Müqayisə üçün: 700 prefiksdən ibarət hazırkı İnternet cədvəli 000 saat ərzində yüklənəcək və bu müddət ərzində daha 5 dəfə dəyişəcək.
BGP Açıq Siyasəti (Rola əsaslanan BGP). Modelə əsaslanan təzə təklif Gao-Rexford. Bunlar BGP-ni araşdıran iki alimdir.
Gao-Rexford modeli aşağıdakı kimidir. Sadələşdirmək üçün BGP ilə az sayda qarşılıqlı əlaqə var:
- Təchizatçı Müştəri;
- P2P;
- daxili rabitə, iBGP deyin.
Routerin roluna əsasən, standart olaraq müəyyən idxal/ixrac siyasətlərini təyin etmək artıq mümkündür. Administratora prefiks siyahılarını konfiqurasiya etmək lazım deyil. Routerlərin öz aralarında razılaşdıqları və təyin edilə bilən rola əsasən, biz artıq bəzi standart filtrləri alırıq. Bu, hazırda IETF-də müzakirə olunan layihədir. Ümid edirəm ki, tezliklə biz bunu RFC və hardware üzərində tətbiq şəklində görəcəyik.
Böyük İnternet provayderləri
Bir provayderin nümunəsinə baxaq CenturyLink. O, 37 ştata xidmət göstərən və 15 məlumat mərkəzinə malik olan üçüncü ən böyük ABŞ provayderidir.
2018-ci ilin dekabr ayında CenturyLink ABŞ bazarında 50 saat idi. Hadisə zamanı iki ştatda bankomatların fəaliyyətində problemlər yaranıb, beş ştatda isə 911 nömrəsi bir neçə saat işləməyib. Aydahoda keçirilən lotereya tamamilə məhv olub. Hazırda insident ABŞ Telekommunikasiya Komissiyası tərəfindən araşdırılır.
Faciəyə səbəb bir məlumat mərkəzində bir şəbəkə kartı olub. Kart nasaz oldu, səhv paketlər göndərdi və provayderin 15 məlumat mərkəzinin hamısı sıradan çıxdı.
İdeya bu provayder üçün işləmədi "düşmək üçün çox böyük". Bu fikir heç işləmir. İstənilən əsas oyunçunu götürüb üstünə bəzi xırda şeylər qoya bilərsiniz. ABŞ hələ də əlaqə ilə yaxşı işləyir. Ehtiyatı olan CenturyLink müştəriləri dəstə-dəstə daxil oldular. Sonra alternativ operatorlar linklərinin həddən artıq yüklənməsindən şikayətləndilər.
Şərti Qazaxtelekom düşsə, bütün ölkə internetsiz qalacaq.
Korporasiyalar
Yəqin ki, Google, Amazon, FaceBook və digər korporasiyalar interneti dəstəkləyir? Yox, onu da pozurlar.
2017-ci ildə Sankt-Peterburqda ENOG13 konfransında Cef Hyuston haqqında APNİK təqdim etdi . Orada deyilir ki, biz qarşılıqlı əlaqəyə, pul axınına və İnternetdəki trafikin şaquli olmasına öyrəşmişik. Bizim kiçik provayderlərimiz var ki, daha böyük provayderlərə qoşulma haqqı ödəyir və onlar artıq qlobal tranzitə qoşulma üçün pul ödəyirlər.
İndi belə bir şaquli yönümlü strukturumuz var. Hər şey yaxşı olardı, amma dünya dəyişir - əsas oyunçular öz magistrallarını qurmaq üçün transokeanik kabellərini tikirlər.
CDN kabeli haqqında xəbərlər.
2018-ci ildə TeleGeography bir araşdırma yayımladı ki, İnternetdəki trafikin yarıdan çoxu artıq İnternet deyil, böyük oyunçuların əsas CDN-ləridir. Bu İnternetlə əlaqəli olan trafikdir, lakin bu artıq danışdığımız şəbəkə deyil.
İnternet sərbəst şəkildə bağlanmış şəbəkələrin böyük dəstinə parçalanır.
Microsoftun öz şəbəkəsi var, Google-un öz şəbəkəsi var və onların bir-biri ilə çox az üst-üstə düşür. ABŞ-ın bir yerində yaranan trafik Microsoft kanalları vasitəsilə okeanın o tayından Avropaya CDN-də harasa gedir, sonra CDN və ya IX vasitəsilə provayderinizlə əlaqə qurur və marşrutlaşdırıcınıza daxil olur.
Mərkəzsizləşdirmə yoxa çıxır.
İnternetin nüvə partlayışından sağ çıxmasına kömək edəcək bu gücü itirilir. İstifadəçilərin və trafikin cəmləşdiyi yerlər görünür. Şərti Google Cloud düşərsə, bir anda çoxlu qurbanlar olacaq. Biz bunu qismən Roskomnadzor AWS-ni bloklayanda hiss etdik. CenturyLink nümunəsi bunun üçün hətta kiçik şeylərin də kifayət etdiyini göstərir.
Əvvəllər hər şey və hər kəs qırılmadı. Gələcəkdə belə bir nəticəyə gələ bilərik ki, bir əsas oyunçuya təsir göstərməklə biz bir çox yerdə və bir çox insanda çox şeyi poza bilərik.
dövlətlər
Növbəti sırada dövlətlər durur və adətən onların başına gələn belə olur.
Burada bizim Roskomnadzor heç də pioner deyil. İnternetin bağlanması ilə bağlı oxşar təcrübə İran, Hindistan və Pakistanda da mövcuddur. İngiltərədə internetin bağlanması ilə bağlı qanun layihəsi hazırlanıb.
İstənilən böyük dövlət interneti tamamilə və ya hissə-hissə söndürmək üçün keçid almaq istəyir: Twitter, Telegram, Facebook. Bu, heç vaxt uğur qazana bilməyəcəklərini başa düşməmələri deyil, amma həqiqətən bunu istəyirlər. Dəyişdirici, bir qayda olaraq, siyasi məqsədlər üçün istifadə olunur - siyasi rəqibləri aradan qaldırmaq üçün, ya seçkilər yaxınlaşır, ya da rus hakerləri yenidən nəyisə sındırıblar.
DDoS hücumları
Qrator Laboratoriyasından olan yoldaşlarımdan çörəyi götürməyəcəyəm, onlar bunu məndən daha yaxşı edirlər. Onların var İnternet sabitliyi haqqında. Bu, 2018-ci il hesabatında yazdıqlarıdır.
DDoS hücumlarının orta müddəti 2.5 saata qədər azalır. Təcavüzkarlar da pul saymağa başlayırlar və əgər resurs dərhal mövcud deyilsə, onu tez buraxırlar.
Hücumların intensivliyi artır. 2018-ci ildə biz Akamai şəbəkəsində 1.7 Tb/s gördük və bu hədd deyil.
Yeni hücum vektorları yaranır, köhnələri isə güclənir. Gücləndirməyə həssas olan yeni protokollar yaranır və mövcud protokollara, xüsusən TLS və s. yeni hücumlar yaranır.
Trafikin böyük hissəsi mobil cihazlardandır. Eyni zamanda, internet trafiki mobil müştərilərə keçir. Hücum edənlər də, müdafiə edənlər də bununla işləməyi bacarmalıdırlar.
Dözülməz - yox. Əsas ideya budur - hər hansı bir DDoS-dan mütləq qoruyacaq universal müdafiə yoxdur.
Sistem İnternetə qoşulmadıqca quraşdırıla bilməz.
Ümid edirəm sizi kifayət qədər qorxutdum. İndi bununla bağlı nə edəcəyimizi düşünək.
Nə etməli?!
Boş vaxtınız, istəyiniz və ingilis dili biliyiniz varsa, işçi qruplarda iştirak edin: IETF, RIPE WG. Bunlar açıq poçt siyahıları, poçt siyahılarına abunə olmaq, müzakirələrdə iştirak etmək, konfranslara gəlməkdir. LIR statusunuz varsa, məsələn, RIPE-də müxtəlif təşəbbüslərə səs verə bilərsiniz.
Sadəcə ölümlülər üçün bu belədir monitorinqi. Nəyin qırıldığını bilmək üçün.
Monitorinq: nəyi yoxlamaq lazımdır?
Normal Ping, və yalnız ikili yoxlama deyil - işləyir və ya yox. RTT-ni tarixə yazın ki, anomaliyalara daha sonra baxa biləsiniz.
Traceroute. Bu, TCP/IP şəbəkələrində məlumat marşrutlarını təyin etmək üçün köməkçi proqramdır. Anomaliyaları və tıxanmaları müəyyən etməyə kömək edir.
HTTP fərdi URL-ləri və TLS sertifikatlarını yoxlayır hücum üçün bloklanmağı və ya DNS saxtakarlığını aşkar etməyə kömək edəcək, bu da praktiki olaraq eyni şeydir. Bloklama çox vaxt DNS saxtakarlığı və trafiki qaralama səhifəsinə çevirməklə həyata keçirilir.
Mümkünsə, ərizəniz varsa, müştərilərinizin fərqli yerlərdən mənşəyinizlə bağlı qərarını yoxlayın. Bu, DNS oğurluğu anomaliyalarını aşkar etməyə kömək edəcək, bu ISP-lərin bəzən etdiyi bir şeydir.
Monitorinq: harada yoxlamaq lazımdır?
Universal cavab yoxdur. İstifadəçinin haradan gəldiyini yoxlayın. İstifadəçilər Rusiyadadırsa, Rusiyadan yoxlayın, ancaq bununla məhdudlaşmayın. İstifadəçiləriniz müxtəlif bölgələrdə yaşayırsa, bu bölgələrdən yoxlayın. Ancaq dünyanın hər yerindən daha yaxşı.
Monitorinq: nəyi yoxlamaq lazımdır?
Mən üç yol tapdım. Daha çox bilirsinizsə, şərhlərdə yazın.
- RIPE Atlas.
- Kommersiya monitorinqi.
- Öz virtual maşın şəbəkəniz.
Gəlin onların hər biri haqqında danışaq.
RIPE Atlas - belə kiçik qutudur. Yerli "Müfəttiş" i tanıyanlar üçün - bu eyni qutudur, lakin fərqli bir stiker ilə.
RIPE Atlas pulsuz proqramdır. Siz qeydiyyatdan keçirsiniz, poçtla marşrutlaşdırıcı qəbul edirsiniz və onu şəbəkəyə qoşursunuz. Başqasının nümunənizdən istifadə etməsinə görə siz bəzi kreditlər alırsınız. Bu kreditlərlə siz özünüz bəzi araşdırmalar apara bilərsiniz. Siz müxtəlif yollarla test edə bilərsiniz: ping, traceroute, sertifikatları yoxlayın. Əhatə dairəsi olduqca böyükdür, çoxlu qovşaqlar var. Ancaq nüanslar var.
Kredit sistemi istehsal həllərinin qurulmasına imkan vermir. Davam edən tədqiqat və ya kommersiya monitorinqi üçün kifayət qədər kredit olmayacaq. Kreditlər qısa təhsil və ya birdəfəlik yoxlama üçün kifayətdir. Bir nümunədən gündəlik norma 1-2 çeklə istehlak edilir.
Əhatə qeyri-bərabərdir. Proqram hər iki istiqamətdə pulsuz olduğundan, əhatə dairəsi Avropada, Rusiyanın Avropa hissəsində və bəzi regionlarda yaxşıdır. Ancaq İndoneziya və ya Yeni Zelandiyaya ehtiyacınız varsa, hər şey daha pisdir - hər ölkədə 50 nümunəniz olmaya bilər.
Siz nümunədən http yoxlaya bilməzsiniz. Bu, texniki nüanslarla bağlıdır. Onlar onu yeni versiyada düzəltməyə söz verirlər, lakin hələlik http yoxlanıla bilməz. Yalnız sertifikat yoxlanıla bilər. Bir növ http yoxlaması yalnız Anchor adlı xüsusi RIPE Atlas cihazına edilə bilər.
İkinci üsul kommersiya monitorinqidir. Onunla hər şey yaxşıdır, pul ödəyirsən, elə deyilmi? Onlar sizə dünya üzrə bir neçə onlarla və ya yüzlərlə monitorinq nöqtəsi vəd edir və qutudan gözəl tablolar çəkirlər. Ancaq yenə də problemlər var.
Ödənişlidir, bəzi yerlərdə çox olur. Ping monitorinqi, dünya üzrə çeklər və çoxlu http çekləri ildə bir neçə min dollara başa gələ bilər. Əgər maliyyə imkan verirsə və bu həlli bəyənirsinizsə, davam edin.
Maraq bölgəsində əhatə dairəsi kifayət olmaya bilər. Eyni ping ilə dünyanın ən çox mücərrəd hissəsi göstərilir - Asiya, Avropa, Şimali Amerika. Nadir monitorinq sistemləri müəyyən bir ölkə və ya regiona aid ola bilər.
Xüsusi testlər üçün zəif dəstək. Əgər url-də sadəcə “buruq” yox, xüsusi bir şeyə ehtiyacınız varsa, bununla da problemlər var.
Üçüncü yol sizin monitorinqinizdir. Bu klassikdir: "Gəlin özümüzü yazaq!"
Monitorinqiniz həm proqram məhsulunun, həm də paylanmış məhsulun inkişafına çevrilir. İnfrastruktur provayderi axtarırsınız, onu necə yerləşdirməyə və nəzarət etməyə baxın - monitorinqi izləmək lazımdır, elə deyilmi? Və dəstək də lazımdır. Bunu qəbul etməzdən əvvəl on dəfə düşünün. Bunu sizin üçün etmək üçün kiməsə pul vermək daha asan ola bilər.
BGP anomaliyalarının və DDoS hücumlarının monitorinqi
Burada, mövcud resurslara əsaslanaraq, hər şey daha sadədir. BGP anomaliyaları QRadar, BGPmon kimi ixtisaslaşmış xidmətlərdən istifadə etməklə aşkar edilir. Onlar bir çox operatordan tam görünüş cədvəlini qəbul edirlər. Müxtəlif operatorlardan gördüklərinə əsasən, onlar anomaliyaları aşkar edə, gücləndiriciləri axtara və s. Qeydiyyat adətən pulsuzdur - siz telefon nömrənizi daxil edirsiniz, e-poçt bildirişlərinə abunə olursunuz və xidmət sizi problemləriniz barədə xəbərdar edəcək.
DDoS hücumlarının monitorinqi də sadədir. Tipik olaraq bu NetFlow əsaslı və qeydlər. kimi xüsusi sistemlər var FastNetMon, üçün modullar Boşalmaq. Son çarə olaraq DDoS mühafizə provayderiniz var. O, həmçinin NetFlow-u sızdıra bilər və buna əsaslanaraq, sizə istiqamətinizə hücumlar barədə məlumat verəcəkdir.
Tapıntılar
İllüziyalara qapılmayın - İnternet mütləq qırılacaq. Hər şey və hər kəs qırılmayacaq, lakin 14-ci ildə 2017 min hadisə hadisələrin olacağına işarə edir.
Sizin vəzifəniz problemləri mümkün qədər tez aşkar etməkdir. Ən azı, istifadəçinizdən gec olmayaraq. Nəinki qeyd etmək vacibdir, həmişə ehtiyatda “B Planı” saxlayın. Plan hər şey pozulduqda nə edəcəyiniz üçün bir strategiyadır.: ehtiyat operatorlar, DC, CDN. Plan, hər şeyin işini yoxladığınız ayrıca bir yoxlama siyahısıdır. Plan şəbəkə mühəndislərinin iştirakı olmadan işləməlidir, çünki adətən onların sayı azdır və onlar yatmaq istəyirlər.
Hamısı budur. Sizə yüksək əlçatanlıq və yaşıl monitorinq arzulayıram.
Gələn həftə Novosibirskdə günəş işığı, yüksək yüklənmə və inkişaf etdiricilərin yüksək konsentrasiyası gözlənilir . Sibirdə monitorinq, əlçatanlıq və sınaq, təhlükəsizlik və idarəetmə ilə bağlı hesabatların cəbhəsi proqnozlaşdırılır. Yağıntının cızılmış qeydlər, şəbəkələşmə, fotoşəkillər və sosial şəbəkələrdə yazılar şəklində olacağı gözlənilir. İyunun 24 və 25-nə olan bütün tədbirləri təxirə salmağı tövsiyə edirik və . Sizi Sibirdə gözləyirik!
Mənbə: www.habr.com