Інтэрнэт здаецца моцнай, незалежнай і непарушнай структурай. У тэорыі, трываласці сеткі хопіць, каб перажыць ядзерны выбух. У рэальнасці, інтэрнэт можа выпусціць адзін маленькі роўтэр. Усё з-за таго, што інтэрнэт - гэта нагрувашчванне супярэчнасцяў, уразлівасцяў, памылак і ролікаў пра коцікаў. Аснова інтэрнэту – пратакол BGP – утрымлівае кучу праблем. Дзіўна, што ён яшчэ дыхае. Акрамя памылак у самім інтэрнэце, яго яшчэ ламаюць усё каму не лянота: буйныя інтэрнэт-правайдэры, карпарацыі, дзяржавы і DDoS-напады. Што з гэтым рабіць і як з гэтым жыць?
Адказ ведае Аляксей Учакін () - Лідэр каманды сеткавых інжынераў у кампаніі IQ Option. Галоўная яго задача - даступнасць платформы для карыстальнікаў. У расшыфроўцы даклада Аляксея на пагаворым пра BGP, DDOS-напады, рубільнік ад інтэрнэту, памылкі правайдэраў, дэцэнтралізацыю і выпадкі, калі маленькі роўтэр адправіў інтэрнэт паспаць. У канцы - пара парад, як усё гэта перажыць.
Дзень, калі Інтэрнэт зламаўся
Я прывяду толькі некалькі інцыдэнтаў, калі ў Інтэрнэце ламалася складнасць. Гэтага будзе дастаткова для поўнай карціны.
"Інцыдэнт з AS7007". Першы раз інтэрнэт зламаўся ў красавіку 1997. У ПЗ аднаго роўтара з аўтаномнай сістэмы 7007 была памылка. У нейкі момант роўтэр праанансаваў суседзям сваю ўнутраную табліцу маршрутызацыі і адправіў палову сеткі ў black hole.
"Пакістан супраць YouTube". У 2008 годзе бравыя хлопцы з Пакістана вырашылі заблакаваць у сябе YouTube. Зрабілі яны гэта настолькі добра, што без коцікаў засталося паўсвету.
"Захоп прэфіксаў VISA, MasterCard і Symantec кампаніяй Ростелеком". У 2017 годзе Растэлекам памылкова пачаў анансаваць прэфіксы VISA, MasterCard і Symantec. У выніку фінансавы трафік накіраваўся праз каналы, якія кантралюе правайдэр. Уцечка працягвалася нядоўга, але фінансавым кампаніям было непрыемна.
"Google супраць Японіі". У жніўні 2017 года Google пачаў анансаваць у частцы сваіх аплінкаў прэфіксы буйных японскіх правайдэраў NTT і KDDI. Трафік адправіўся ў Google як транзітны, хутчэй за ўсё, па памылцы. Бо Google гэта не правайдэр і транзітны трафік не прапускае, то значная частка Японіі засталася без Інтэрнэта.
"DV LINK захапіў прэфіксы Google, Apple, Facebook, Microsoft". У тым жа 2017 г. расійскі правайдэр DV LINK пачаў навошта-то анансаваць сеткі Google, Apple, Facebook, Microsoft і некаторых іншых буйных гульцоў.
"eNet з ЗША захапіў прэфіксы AWS Route53 і MyEtherwallet". У 2018 годзе правайдэр з Агаё ці хтосьці з яго кліентаў праанансаваў сеткі Amazon Route53 і криптокошелька MyEtherwallet. Атака прайшла паспяхова: нават нягледзячы на самападпісаны сертыфікат, папярэджанне аб якім з'яўлялася карыстачу пры заходзе на сайт MyEtherwallet, шматлікія кашалькі сагналі і скралі частку криптовалюты.
Падобных інцыдэнтаў толькі за 2017 год было больш за 14 000! Сетка ўсё яшчэ дэцэнтралізаваная, таму ламаецца не ўсё і не ва ўсіх. Але інцыдэнты адбываюцца тысячамі, і ўсе яны зьвязаныя з пратаколам BGP, на якім працуе інтэрнэт.
BGP і яго праблемы
пратакол BGP – Border Gateway Protocol, упершыню быў апісаны ў 1989 годзе двума інжынерамі з IBM і Cisco Systems на трох "сурвэтках" – лістах фармату А4. Гэтыя да гэтага часу ляжаць у галоўным офісе Cisco Systems у Сан-Францыска як рэліквія сеткавага свету.
У аснове пратакола ўзаемадзеянне аўтаномных сістэм - Autonomous Systems або скарочана - AS. Аўтаномная сістэма - гэта проста некаторы ID, за якім у публічным рэестры замацаваны сеткі IP. Роўтар з такім ID можа анансаваць у свет гэтыя сеткі. Адпаведна, любы маршрут у інтэрнэце можна ўявіць у выглядзе вектара, які называюць AS Path. Вектар складаецца з нумароў аўтаномных сістэм, якія трэба прайсці, каб дасягнуць сеткі прызначэння.
Напрыклад, ёсць сетка з некаторай колькасці аўтаномных сістэм. Трэба патрапіць з сістэмы AS65001 у сістэму AS65003. Шлях ад адной сістэмы прадстаўлены AS Path на схеме. Ён складаецца з двух аўтаномак: 65002 і 65003. Для кожнага адраса прызначэння ёсць вектар AS Path, які складаецца з нумароў аўтаномных сістэм, якія нам трэба прайсці.
Дык якія ў BGP праблемы?
BGP - гэта пратакол даверу
Пратакол BGP - trust based. Гэта значыць, што мы па змаўчанні давяраем нашаму суседу. Гэта асаблівасць шматлікіх пратаколаў, якія распрацоўваліся на самай світанку інтэрнэту. Разбярэмся, што значыць "давяраем".
Няма аўтэнтыфікацыі суседа. Фармальна ёсць MD5, але MD5 у 2019 годзе – ну такое…
Няма фільтрацыі. У BGP ёсць фільтры і яны апісаны, але імі не карыстаюцца, альбо карыстаюцца няправільна. Пазней растлумачу, чаму.
Вельмі проста ўсталяваць суседства. Настройка суседства ў пратаколе BGP амаль на любым роўтары – пара радкоў канфігу.
Не патрабуюцца правы на кіраванне BGP. Ня трэба здаваць іспыты, якія пацвердзяць вашу кваліфікацыю. Ніхто не адбярэ правы за настройку BGP у п'яным выглядзе.
Дзве асноўныя праблемы
Згоны прэфіксаў - prefix hijacks. Выкраданне прэфікса - анансаванне сеткі, якая вам не належыць, як у выпадку з MyEtherwallet. Мы ўзялі некаторыя прэфіксы, дамовіліся з правайдэрам ці ўзламалі яго, і праз яго анансуем гэтыя сеткі.
Уцечкі маршрутаў - route leaks. З уцечкамі крыху больш складана. Уцечка - гэта змена AS Path. У лепшым выпадку змена прывядзе да большай затрымкі, таму што трэба прайсці маршрут даўжэй або па менш ёмістым лінку. У горшым - паўторыцца выпадак з Google і Японіяй.
Сам Google не аператар і не транзітная аўтаномная сістэма. Але калі ён праанансаваў свайму правайдэру сеткі японскіх аператараў, то трафік праз Google па AS Path бачыўся як больш прыярытэтны. Трафік пайшоў туды і трапіў проста таму, што налады маршрутызацыі ўнутры Google складаней, чым проста фільтры на мяжы.
Чаму не працуюць фільтры?
Нікога не хвалюе. Гэта галоўная прычына - усім усё роўна. Адмін маленькага правайдэра ці кампаніі, якая падключылася да правайдэра па BGP, узяў MikroTik, наладзіў на ім BGP і нават не ведае, што тамака можна наладжваць фільтры.
Памылкі канфігурацыі. Нешта дэбажылі, памыліліся ў масцы, паставілі не тую сетачку - і вось, зноў памылка.
Няма тэхнічнай магчымасці. Напрыклад, у правайдэраў сувязі шмат кліентаў. Па-разумнаму варта аўтаматычна абнаўляць фільтры для кожнага кліента - сачыць, што ў яго з'яўляецца новая сетка, што ён здаў сваю сетку камусьці ў арэнду. Сачыць за гэтым складана, рукамі - яшчэ складаней. Таму ставяць проста паралізаваныя фільтры альбо не ставяць фільтры наогул.
выключэння. Бываюць выключэнні для каханых і вялікіх кліентаў. Асабліва ў выпадку з міжаператарскай стыкамі. Напрыклад, у Транстэлекам і Растэлекам куча сетак і паміж імі стык. Калі стык ляжа - добра нікому не будзе, таму фільтры паслабляюць або прыбіраюць зусім.
Састарэлая ці неактуальная інфармацыя ў IRR. Фільтры будуюцца на аснове інфармацыі, якая запісана ў IRR – Internet Routing Registry. Гэта рэестры рэгіянальных інтэрнэт-рэгістратараў. Часта ў рэестрах састарэлая ці неактуальная інфармацыя, альбо ўсё разам.
Хто такія гэтыя рэгістратары?
Усе адрасы ў інтэрнэце належаць арганізацыі IANA - Internet Assigned Numbers Authority. Калі вы купляеце ў кагосьці сетку IP, то купляеце не адрасы, а права іх выкарыстання. Адрасы - гэта нематэрыяльны рэсурс, і па агульнай дамоўленасці ўсе яны належаць агенцтву IANA.
Сістэма працуе так. IANA дэлегуе кіраванне IP-адрасамі і нумарамі аўтаномных сістэм пяці рэгіянальным рэгістратарам. Тыя выдаюць аўтаномныя сістэмы LIR – лакальным інтэрнэт-рэгістратарам. Далей LIR вылучаюць IP-адрасы канчатковым карыстачам.
Недахоп сістэмы ў тым, што кожны з рэгіянальных рэгістратараў вядзе свае рэестры па-свойму. У кожнага свае погляды на тое, якая інфармацыя павінна змяшчацца ў рэестрах, хто яе павінен ці не павінен правяраць. У выніку атрымліваецца бардак, які ёсць зараз.
Як яшчэ можна дужацца з гэтымі праблемамі?
IRR - пасрэдная якасць. З IRR зразумела - там усё дрэнна.
BGP-communities. Гэта некаторы атрыбут, які апісаны ў пратаколе. Мы можам навесіць, напрыклад, спецыяльнае community на наш анонс, каб сусед не адпраўляў нашы сеткі сваім суседзям. Калі ў нас лінк P2P, мы абменьваемся толькі сваімі сеткамі. Каб выпадкова маршрут не сышоў у іншыя сеткі, мы наважваем community.
Community не транзітыўныя. Гэта заўсёды дамова на дваіх, і гэта іх недахоп. Мы не можам навесіць якое-небудзь community, за выключэннем аднаго, якое прымаецца па змаўчанні ўсімі. Мы не можам быць упэўненыя, што гэта community усё прымуць і правільна інтэрпрэтуюць. Таму, у лепшым выпадку, калі вы дамовіцеся са сваім uplink, ён зразумее, што вы ад яго хочаце па community. Але можа не зразумець яго сусед, альбо аператар проста скіне вашу пазнаку, і вы не дасягне таго, чаго хацелі.
RPKI + ROA вырашае толькі малую частку праблем. RPKI - гэта Resource Public Key Infrastructure — спецыяльны фрэймворк для падпісвання маршрутнай інфармацыі. Добрая ідэя, каб прымусіць LIR-ов і іх кліентаў весці актуальную базу адраснай прасторы. Але з ім ёсць адна праблема.
RPKI гэта яшчэ і іерархічная сістэма адчыненых ключоў. У IANA ёсць ключ, ад якога ствараюцца ключы RIR, а ад іх ключы LIR? якімі яны падпісваюць сваю адрасную прастору з дапамогай ROAs — Route Origin Authorisations:
- Я запэўніваю, што гэты прэфікс будзе анансавацца ад імя вось гэтай аўтаномкі.
Акрамя ROA ёсць і іншыя аб'екты, але аб іх як-небудзь потым. Здаецца, што штука добрая і карысная. Але яна не абараняе нас ад уцечак ад слова "зусім" і не вырашае ўсе праблемы з згонамі прэфіксаў. Таму гульцы не вельмі спяшаюцца яе ўкараняць. Хоць ужо ад буйных гульцоў тыпу AT&T і буйных IX-ов ёсць запэўненні, што прэфіксы з invalid-запісам ROA будуць драпацца.
Магчыма яны будуць гэта рабіць, але пакуль у нас вялізная колькасць прэфіксаў, якія ніяк не падпісаныя. З аднаго боку, незразумела, ці валідна яны анансуюцца. З іншага - мы не можам іх дрыпаць па змаўчанні, таму што не ўпэўненыя ў тым, правільна гэта ці не.
Што яшчэ ёсць?
BGPSec. Гэта зэбая штука, якую прыдумалі акадэмікі для сеткі ружовых поні. Яны сказалі:
- У нас ёсць RPKI + ROA - механізм запэўнення подпісы адраснай прасторы. Давайце завядзем асобны BGP-атрыбут і назавем яго BGPSec Path. Кожны роўтэр будзе падпісваць сваім подпісам анонсы, якія ён анансуе суседзям. Так мы атрымаем давераны шлях з ланцужка падпісаных анонсаў і зможам яго праверыць.
У тэорыі добра, а на практыцы шмат праблем. BGPSec ламае шмат існых механік BGP па выбары next-hop і кіраванню ўваходным/выходным трафікам непасрэдна на маршрутызатары. BGPSec не працуе, пакуль яго не ўкарэняць 95% удзельнікаў усяго рынку, што само па сабе ўтопія.
У BGPSec вялізныя праблемы з прадукцыйнасцю. На бягучым жалезе хуткасць праверкі анонсаў прыкладна 50 прэфіксаў за секунду. Для параўнання: бягучая табліца інтэрнэту ў 700 000 прэфіксаў будзе залівацца 5 гадзін, за якія яшчэ 10 разоў памяняецца.
BGP Open Policy (Рале-базаваны BGP). Свежая прапанова на аснове мадэлі Гао-Рэксфарда. Гэта два вучоныя, якія займаюцца даследаваннем BGP.
Мадэль Гао-Рэксфарда заключаецца ў наступным. Калі спрашчаць, у выпадку з BGP ёсць невялікі лік тыпаў узаемадзеянняў:
- Provider Customer;
- P2P;
- ўнутранае ўзаемадзеянне, дапусцім, iBGP.
На падставе ролі маршрутызатара ўжо можна па змаўчанні наважваць нейкія палітыкі імпарту/экспарту. Адміністратару не трэба канфігураваць прэфікс-лісты. На падставе ролі, аб якой дамовяцца паміж сабой маршрутызатары і якую можна выставіць, мы ўжо атрымліваем некаторыя дэфолтныя фільтры. Цяпер гэта draft, які абмяркоўваецца ў IETF. Спадзяюся, што хутка мы ўбачым гэта ў выглядзе RFC і імплементацыі на жалезе.
Буйныя Інтэрнэт-правайдэры
Разгледзім на прыкладзе правайдэра CenturyLink. Гэта трэці па велічыні правайдэр ЗША, які абслугоўвае 37 штатаў і мае 15 дата-цэнтраў.
У снежні 2018 года CenturyLink ляжаў на рынку ЗША 50 гадзін. Падчас інцыдэнту былі праблемы з працай банкаматаў у двух штатах, некалькі гадзін не працаваў нумар 911 у пяці штатах. Да кучы сарвалі латарэю ў Айдаха. Па гэтым інцыдэнце камісія па электрасувязі ЗША зараз вядзе расследаванне.
Прычына трагедыі ў адной сеткавай картцы ў адным дата-цэнтры. Картка выйшла са строю, адпраўляла некарэктныя пакеты і ўсе 15 дата-цэнтраў правайдэра ляглі.
Для гэтага правайдэра не спрацавала ідэя «занадта вялікі, каб упасці». Гэтая ідэя ўвогуле не працуе. Можна ўзяць любога буйнага гульца і пакласці нейкай дробяззю. У ЗША яшчэ ўсё добра са злучанасцю. Кліенты CenturyLink, у якіх быў рэзерв, масава сышлі ў яго. Потым альтэрнатыўныя аператары скардзіліся на перагрузку сваіх лінкаў.
Калі ляжа ўмоўны «Казахтэлекам» - уся краіна застанецца без інтэрнэту.
Карпарацыі
Мусіць на Google, Amazon, FaceBook і іншых карпарацыях трымаецца інтэрнэт? Не, яны яго таксама ламаюць.
У 2017 годзе ў Санкт-Пецярбургу на канферэнцыі ENOG13 Джэф Х'юстан з АПНІК прадставіў . У ім гаворыцца, што мы прывыклі, што ўзаемадзеянне, плыні грошай і трафік у інтэрнэце вертыкальныя. У нас ёсць маленькія правайдэры, якія плацяць за звязанасць буйнейшым, а тыя ўжо плацяць за звязанасць глабальнаму транзіту.
Цяпер у нас такая вертыкальна-арыентаваная структура. Усё б добра, але свет мяняецца – буйныя гульцы будуюць свае трансакіянскія кабелі для пабудовы ўласных backbones.
Навіна аб CDN-кабелі.
У 2018 годзе TeleGeography выпусціў даследаванне, што больш за палову трафіку ў інтэрнэце – гэта ўжо не інтэрнэт, а backbones CDN буйных гульцоў. Гэта трафік, які мае дачыненне да інтэрнэту, але гэта ўжо не тая сетка, пра якую мы казалі.
Інтэрнэт распадаецца на вялікі набор слабазлучаных сябар з сябрам сетак.
У Microsoft ёсць свая сетка, у Google – свая, і сябар з сябрам яны слаба перасякаюцца. Трафік, які зарадзіўся дзесьці ў ЗША, ідзе па каналах Microsoft праз акіян у Еўропу дзесьці на CDN, далей праз CDN ці IX стыкуецца з вашым правайдэрам і пападае да вас у роўтэр.
Дэцэнтралізацыя знікае.
Гэты моцны бок інтэрнэту, які дапаможа яму выжыць пасля ядзернага выбуху, губляецца. З'яўляюцца месцы канцэнтрацыі карыстальнікаў і трафіку. Калі ляжа ўмоўны Google Cloud - будзе шмат пацярпелых зараз. Часткова мы гэта адчулі, калі Роскомнадзор заблакаваў AWS. А на прыкладзе CenturyLink бачна, што для гэтага хопіць і дробязі.
Раней ламалася не ўсё і не ва ўсіх. У будучыні мы можам прыйсці да таго, што, паўплываўшы на аднаго буйнага гульца, можна паламаць шмат чаго, шмат дзе і шмат у каго.
дзяржавы
Наступныя на чарзе дзяржавы і з імі адбываецца звычайна так.
Тут наш Раскамнагляд наогул нават ні разу не піянер. Падобная практыка Internet shutdown ёсць у Іране, Індыі, Пакістане. У Англіі ёсць законапраект аб магчымасці адключэння інтэрнета.
Любая буйная дзяржава жадае атрымаць рубільнік для адключэння інтэрнэту альбо поўнасцю, альбо часткамі: Twitter, Telegram, Facebook. Яны не тое, каб не разумеюць, што ў іх гэта ніколі не атрымаецца, але вельмі гэтага жадаюць. Ужываюць рубільнік, як правіла, у палітычных мэтах - для ўхілення палітычных канкурэнтаў, або выбары на носе, або рускія хакеры зноў што-небудзь зламалі.
DDoS-атакі
Не буду адбіраць хлеб у таварышаў з Qrator Labs, яны гэта робяць значна лепш за мяне. У іх ёсць па стабільнасці інтэрнэту. І вось, што яны напісалі ў справаздачы за 2018 год.
Сярэдняя працягласць DDoS-нападаў падае да 2.5 гадзін. Атакуючыя таксама пачынаюць лічыць грошы, і калі рэсурс не лёг адразу, тое яго хутка пакідаюць у спакоі.
Расце інтэнсіўнасць нападаў. У 2018 годзе мы бачылі 1.7 Тб/с на сетцы Akamai, і гэта не мяжа.
З'яўляюцца новыя вектары нападаў і ўзмацняюцца старыя. З'яўляюцца новыя пратаколы, схільныя ампліфікацыі, з'яўляюцца новыя напады на існуючыя пратаколы, асабліва на TLS і падобныя.
Вялікая частка трафіку - мабільныя прылады. Пры гэтым інтэрнэт-трафік пераходзіць на мабільных кліентаў. З гэтым трэба ўмець працаваць як тым, хто атакуе, так і тым, хто абараняецца.
Непаражальных - не. Гэта галоўная думка - не існуе і не з'явіцца ўніверсальнай абароны, якая сапраўды абароніць ад любога DDoS.
Сістэму нельга пакласці, толькі калі яна не падключана да інтэрнэту.
Спадзяюся, я вас дастаткова напалохаў. Давайце зараз падумаем, што з гэтым рабіць.
Што рабіць?!
Калі ў вас ёсць вольны час, жаданне і веданне англійскай - удзельнічайце ў працоўных групах: IETF, RIPE WG. Гэта адкрытыя mail-лісты, падпісвайцеся на рассылкі, удзельнічайце ў абмеркаваннях, прыязджайце на канферэнцыі. Калі ў вас ёсць статус LIR, то можаце галасаваць, напрыклад, у RIPE за розныя ініцыятывы.
Для простых смяротных - гэта маніторынг. Каб ведаць, што зламалася.
Маніторынг: што правяраць?
Звычайны Ping, прычым не толькі бінарная праверка - працуе ці не. Запісвайце RTT у гісторыю, каб потым глядзець анамаліі.
Трасіроўка. Гэта службовая праграма для вызначэння маршрутаў прытрымлівання дадзеных у сетках TCP/IP. Дапамагае выяўляць анамаліі і блакіроўкі.
HTTP checks-праверкі custom URL і TLS certificates дапамогуць выявіць блакаванні або падмену DNS для нападу, што практычна адно і тое ж. Блакіроўкі часта выконваюцца падменай DNS і з заварочваннем трафіку на старонку заглушкі.
Калі ёсць магчымасць, то з вашых кліентаў правярайце resolve вашага origin з розных месцаў, калі ў вас дадатак. Дык вы выявіце анамаліі перахопу DNS, чым часам грашаць правайдэры.
Маніторынг: адкуль правяраць?
Універсальнага адказу няма. Правярайце там, адкуль прыходзіць карыстач. Калі карыстальнікі сядзяць у Расіі - правярайце з Расіі, але не абмяжоўвайцеся ёй. Калі вашы карыстальнікі жывуць у розных рэгіёнах - правярайце з гэтых рэгіёнаў. Але лепш з усяго свету.
Маніторынг: чым правяраць?
Я прыдумаў тры спосабы. Калі ведаеце больш - напішыце ў каментарах.
- RIPE Atlas.
- Камерцыйны маніторынг.
- Свая сетка віртуалак.
Пагаворым аб кожным з іх.
RIPE Atlas - гэта такая маленькая скрыначка. Для тых, хто ведае айчынны «Рэвізор» - гэта такая ж скрыначка, але з іншай налепкай.
RIPE Atlas - бясплатная праграма. Вы рэгіструецеся, атрымліваеце па пошце роўтэр і ўключаеце яго ў сетку. За тое, што нехта іншы карыстаецца вашай пробай вам капаюць некаторыя крэдыты. На гэтыя крэдыты вы можаце самі праводзіць нейкія даследванні. Можна тэсціраваць па-рознаму: ping, traceroute, правяраць сертыфікаты. Пакрыццё даволі вялікае, шмат нод. Але ёсць нюансы.
Сістэма крэдытаў не дазваляе будаваць прадакшн-рашэнні. Крэдытаў на пастаяннае даследаванне або камерцыйны маніторынг не хопіць. Крэдытаў хапае на кароткае даследаванне або one-time праверку. Дзённая норма з адной пробы з'ядаецца 1-2 праверкамі.
Пакрыццё нераўнамерна. Так як праграма бясплатная ў абодва бакі, тое пакрыццё добрае ў Еўропе, у еўрапейскай частцы Расіі і некаторых рэгіёнах. Але калі вам патрэбна Інданезія ці Новая Зеландыя, то ўсё моцна горш - 50 спроб на краіну можа не набрацца.
Нельга правяраць http з пробы. Гэта выклікана тэхнічнымі нюансамі. Абяцаюць пафіксіць у новай версіі, але пакуль http правяраць нельга. Можна праверыць толькі сертыфікат. Нейкі http check можна зрабіць толькі да спецыяльнай прылады RIPE Atlas, якая называецца Anchor.
Другі спосаб - камерцыйны маніторынг. З ім жа ўсё добра, вы ж грошы плаціце? Вам абяцаюць некалькі дзясяткаў або сотняў кропак маніторынгу па ўсім свеце, малююць прыгожыя дашборды "са скрынкі". Але, зноў жа, ёсць праблемы.
Гэта платна, месцамі вельмі. Маніторынг пінгам, праверкі з усяго свету і мноства http-праверак могуць каштаваць некалькі тысяч долараў за год. Калі фінансы дазваляюць і вам падабаецца гэтае рашэнне - калі ласка.
Пакрыцці можа не хапаць у які цікавіць рэгіёне. Тым жа пінгам удакладняюць максімум абстрактную частку свету - Азію, Еўропу, Паўночную Амерыку. Рэдкія сістэмы маніторынгу могуць дэталізаваць спробу да канкрэтнай краіны ці рэгіёна.
Слабая падтрымка custom-тэстаў. Калі вам трэба нешта кастамнае, а не проста "курлык" на url, то з гэтым таксама праблемы.
Трэці спосаб - свой маніторынг. Гэта класіка: "А давайце напішам сваё!"
Свой маніторынг ператвараецца ў распрацоўку праграмнага прадукта, прычым размеркаванага. Вы шукаеце правайдэра інфраструктуры, глядзіце, як гэта дэплоіць і маніторыць - маніторынг жа трэба маніторыць, правільна? А яшчэ патрэбна падтрымка. Дзесяць разоў падумайце, перш чым за гэта возьмецеся. Магчыма, прасцей заплаціць каму-небудзь, хто гэта зробіць за вас.
Маніторынг BGP-анамалій і DDoS-атак
Тут па даступных рэсурсах усё яшчэ прасцей. BGP-анамаліі выяўляюцца з дапамогай спецыялізаваных сэрвісаў тыпу QRadar, BGPmon.. Яны прымаюць full view-табліцу ад мноства аператараў. На падставе таго, што яны бачаць ад розных аператараў, могуць выявіць анамаліі, шукаць ампліфікатары і іншае. Звычайна рэгістрацыя бясплатная — забіваеце нумар сваёй аўтаномкі, падпісваецеся на апавяшчэнні на пошту, і сэрвіс алерціць вашы праблемы.
У маніторынгу DDoS-напад таксама ўсё проста. Як правіла, гэта NetFlow-based і логі. Ёсць спецыялізаваныя сістэмы тыпу FastNetMon, модулі для Splunk. На крайні выпадак ёсць ваш пастаўшчык DDoS-абароны. Яму таксама можна зліваць NetFlow і на яго падставе ён будзе апавяшчаць вас аб нападах у ваш бок.
Высновы
Не майце ілюзій — інтэрнэт абавязкова зламаецца. Зламаецца не ўсё і не ва ўсіх, але 14 тысяч інцыдэнтаў за 2017 год намякаюць, што інцыдэнты будуць.
Ваша задача - заўважыць праблемы як мага раней. Як мінімум, не пазней, чым ваш карыстач. Мала таго, што неабходна заўважыць, заўсёды трымаеце ў запасе "план Б". План - гэта стратэгія, што вы будзеце рабіць, калі ўсё зламаецца: рэзервовыя аператары, ДЦ, CDN. План - гэта асобны чэк-ліст, па якім правяраеце працу за ўсё. План павінен працаваць без прыцягнення сеткавых інжынераў, таму што іх звычайна мала, і яны жадаюць спаць.
На гэтым усё. Жадаю вам высокай даступнасці і зялёнага маніторынгу.
На наступным тыдні ў Новасібірску чакаецца сонца, хайлаад і высокая канцэнтрацыя распрацоўшчыкаў на . У Сібіры прагназуецца фронт дакладаў пра маніторынг, даступнасць і тэсціраванне, бяспеку і менеджмент. Чакаюцца ападкі ў выглядзе спісаных канспектаў, нетворкінга, фатаграфій і пастоў у сацсетках. Рэкамендуемы адкласці ўсе справы 24 і 25 чэрвеня і . Чакаем вас у Сібіры!
Крыніца: habr.com