Internet pare esse una struttura forte, indipendente è indestructible. In teoria, a reta hè abbastanza forte per sopravvive à una splusione nucleare. In realtà, Internet pò abbandunà un picculu router. Tuttu perchè Internet hè un munzeddu di cuntradizioni, vulnerabilità, errori è video nantu à i misgi. A spina di l'Internet, BGP, hè piena di prublemi. Hè maravigghiusu ch'ellu si respira sempre. In più di l'errori in l'Internet stessu, hè ancu rottu da tutti è tutti: grandi fornitori di Internet, corporazioni, stati è attacchi DDoS. Cosa da fà è cumu campà cun ellu?
Sapi a risposta Alexey Uchakin () hè u capu di una squadra di ingegneri di rete in IQ Option. U so compitu principale hè l'accessibilità di a piattaforma per l'utilizatori. In a trascrizione di u rapportu di Alexey Parlemu di BGP, attacchi DDOS, switch Internet, errori di u fornitore, decentralizazione è casi quandu un picculu router hà mandatu Internet per dorme. À a fine - un paru di cunsiglii nantu à cumu sopravvive à tuttu questu.
U ghjornu chì l'Internet Broke
Citeraghju solu uni pochi di incidenti induve a cunnessione di l'Internet s'hè rotta. Questu serà abbastanza per a stampa cumpleta.
"Incident AS7007". A prima volta chì l'Internet rumpiu era in April 1997. Ci era un bug in u software di un router da u sistema autònumu 7007. À un certu puntu, u router hà annunziatu a so tabella di routing internu à i so vicini è hà mandatu a mità di a reta in un pirtusu neru.
"Pakistan contr'à YouTube". In u 2008, i bravi di u Pakistan anu decisu di bluccà YouTube. L'anu fattu cusì bè chì a mità di u mondu hè stata senza misgi.
"Cattura di prefissi VISA, MasterCard è Symantec da Rostelecom". In 2017, Rostelecom hà cuminciatu à annunzià per errore i prefissi VISA, MasterCard è Symantec. Per via di u risultatu, u trafficu finanziariu hè statu instradatu attraversu canali cuntrullati da u fornitore. A fuga ùn durò tantu, ma era dispiacevule per e cumpagnie finanziarie.
Google vs Giappone. In l'aostu 2017, Google hà cuminciatu à annunzià i prefissi di i principali fornituri giapponesi NTT è KDDI in alcuni di i so uplinks. U trafficu hè statu mandatu à Google cum'è transitu, probabilmente per sbagliu. Siccomu Google ùn hè micca un fornitore è ùn permette micca u trafficu di transitu, una parte significativa di u Giappone hè stata lasciata senza Internet.
"DV LINK hà catturatu i prefissi di Google, Apple, Facebook, Microsoft". Ancu in u 2017, u fornitore russu DV LINK per qualchì mutivu hà cuminciatu à annunzià e rete di Google, Apple, Facebook, Microsoft è altri attori maiò.
"eNet da i Stati Uniti hà catturatu i prefissi AWS Route53 è MyEtherwallet". In 2018, u fornitore di l'Ohio o unu di i so clienti hà annunziatu a rete Amazon Route53 è MyEtherwallet crypto wallet. L'attaccu hè successu: ancu malgradu u certificatu autofirmatu, un avvertimentu chì apparsu à l'utilizatore quandu entra in u situ MyEtherwallet, assai portafogli sò stati rapiti è una parte di a criptografia hè stata arrubbata.
Ci era più di 2017 14 tali incidenti solu in 000! A reta hè sempre decentralizata, cusì micca tuttu è micca tutti i rutti. Ma ci sò millaie di incidenti, tutti ligati à u protocolu BGP chì alimenta l'Internet.
BGP è i so prublemi
Prutucollu BGP - Protokollu di Gateway Border, fù scrittu prima in 1989 da dui ingegneri da IBM è Cisco Systems nantu à trè "napkins" - fogli A4. Quessi Siate sempre à a sede di Cisco Systems in San Francisco cum'è una reliquia di u mondu di a rete.
U protocolu hè basatu annantu à l'interazzione di sistemi autonomi - Sistemi autonomi o AS per cortu. Un sistema autònumu hè solu un ID à quale e rete IP sò attribuite in u registru publicu. Un router cù questu ID pò annunzià queste rete à u mondu. Per quessa, ogni strada nantu à Internet pò esse rapprisintatu cum'è un vettore, chì hè chjamatu AS Path. U vettore hè custituitu da i numeri di sistemi autonomi chì deve esse attraversati per ghjunghje à a reta di destinazione.
Per esempiu, ci hè una reta di una quantità di sistemi autonomi. Avete bisognu di passà da u sistema AS65001 à u sistema AS65003. U percorsu da un sistema hè rapprisintatu da AS Path in u diagramma. Hè custituitu di dui sistemi autonomi: 65002 è 65003. Per ogni indirizzu di destinazione ci hè un vettore AS Path, chì hè custituitu da i numeri di sistemi autonomi chì avemu bisognu di passà.
Allora chì sò i prublemi cù BGP?
BGP hè un protocolu di fiducia
U protocolu BGP hè basatu nantu à a fiducia. Questu significa chì avemu fiducia in u nostru vicinu per difettu. Questa hè una caratteristica di parechji protokolli chì sò stati sviluppati à l'alba di l'Internet. Scupritemu ciò chì significa "fiducia".
Nisuna autentificazione vicinu. Formalmente, ci hè MD5, ma MD5 in 2019 hè solu questu ...
Nisun filtru. BGP hà filtri è sò descritti, ma ùn sò micca usati o usati incorrectamente. Spiegheraghju perchè dopu.
Hè assai faciule di creà un quartiere. Stallà un quartiere in u protocolu BGP in quasi ogni router hè un paru di linee di a cunfigurazione.
Ùn ci hè micca bisognu di diritti di gestione BGP. Ùn avete bisognu di piglià esami per pruvà e vostre qualificazioni. Nimu ùn vi toglierà i vostri diritti per a cunfigurazione di BGP mentre era ubriacu.
Dui prublemi principali
Prefix hijacks. Prefix hijacking hè publicità una reta chì ùn appartene micca à voi, cum'è u casu cù MyEtherwallet. Avemu pigliatu qualchi prefissi, accunsentutu cù u fornitore o pirate, è per mezu di questu annunziemu sti rete.
Perdite di strada. Leaks sò un pocu più cumplicati. Leak hè un cambiamentu in AS Path. In u megliu, u cambiamentu risultatu in un ritardu più grande perchè avete bisognu di viaghjà una strada più longa o nantu à un ligame menu capaci. À u peghju, u casu cù Google è u Giappone serà ripetutu.
Google stessu ùn hè micca un operatore o un sistema autònumu di transitu. Ma quandu hà annunziatu e rete di l'operatori giapponesi à u so fornitore, u trafficu attraversu Google via AS Path era vistu cum'è una priorità più alta. U trafficu hè andatu quì è hè cascatu solu perchè i paràmetri di routing in Google sò più cumplessi cà solu filtri à u cunfini.
Perchè i filtri ùn funzionanu micca?
Nimu ùn importa. Questu hè u mutivu principale - nimu ùn importa. L'amministratore di un picculu fornitore o cumpagnia chì hà cunnessu cù u fornitore via BGP hà pigliatu MikroTik, hà cunfiguratu BGP nantu à questu è ùn sapi mancu chì i filtri ponu esse cunfigurati quì.
Errori di cunfigurazione. Hanu sbagliatu qualcosa, anu fattu un sbagliu in a maschera, si mette nantu à a reta sbagliata - è avà ci hè un sbagliu di novu.
Nisuna pussibilità tecnica. Per esempiu, i fornituri di telecomunicazioni anu parechji clienti. A cosa intelligente per fà hè di aghjurnà automaticamente i filtri per ogni cliente - per monitorà chì hà una nova rete, chì hà allughjatu a so reta à qualchissia. Hè difficiule di seguità questu, è ancu più difficiule cù e vostre mani. Per quessa, solu installanu filtri rilassati o ùn installanu micca filtri in tuttu.
Eccezziune. Ci sò eccezzioni per i clienti amati è grandi. In particulare in u casu di interfacce inter-operatore. Per esempiu, TransTeleCom è Rostelecom anu una mansa di rete è ci hè una interfaccia trà elli. Se l'articulazione cade, ùn serà micca bonu per nimu, perchè i filtri sò rilassati o eliminati completamente.
Informazioni obsolete o irrilevanti in l'IRR. I filtri sò custruiti basatu annantu à l'infurmazioni chì sò arregistrati in IRR - Registru di Routing Internet. Quessi sò registri di registrazioni Internet regiunale. Spessu, i registri cuntenenu informazioni obsolete o irrilevanti, o i dui.
Quale sò questi registratori ?
Tutti l'indirizzi Internet appartenenu à l'urganizazione IANA - Internet Assigned Numbers Authority. Quandu cumprate una reta IP da qualchissia, ùn site micca cumprà indirizzi, ma u dirittu di usà. L'indirizzi sò una risorsa intangible è per un accordu cumunu sò tutti posseduti da l'IANA.
U sistema funziona cusì. IANA delegate a gestione di l'indirizzi IP è i numeri di u sistema autonomu à cinque registrazioni regiunale. Emettenu sistemi autonomi LIR - registratori di Internet lucali. LIR allora attribuisce l'indirizzi IP à l'utilizatori finali.
U svantaghju di u sistema hè chì ognunu di i registratori regiunale mantene i so registri in u so modu. Ognunu hà a so propria vista nantu à quale infurmazione deve esse cuntenuta in i registri, è quale deve o ùn deve micca verificà. U risultatu hè u mess chì avemu avà.
Cumu altrimenti pudete cumbatte questi prublemi?
IRR - qualità mediocre. Hè chjaru cù IRR - tuttu hè male quì.
BGP-cumunità. Questu hè un attributu chì hè descrittu in u protocolu. Pudemu attaccà, per esempiu, una cumunità speciale à u nostru annunziu per chì un vicinu ùn mandà micca e nostre rete à i so vicini. Quandu avemu un ligame P2P, scambiemu solu e nostre rete. Per prevene a strada da andà accidentalmente à altre rete, aghjunghjemu a cumunità.
E cumunità ùn sò micca transitive. Hè sempre un cuntrattu per dui, è questu hè u so inconveniente. Ùn pudemu micca assignà alcuna cumunità, cù l'eccezzioni di una, chì hè accettata per difettu da tutti. Ùn pudemu micca esse sicuru chì tutti accetteranu sta cumunità è l'interpretanu bè. Dunque, in u megliu casu, s'ellu accunsente cù u vostru uplink, ellu capisce ciò chì vulete da ellu in termini di cumunità. Ma u vostru vicinu ùn pò micca capisce, o l'operatore simpricimenti resettarà u vostru tag, è ùn uttene micca ciò chì vulete.
RPKI + ROA risolve solu una piccula parte di i prublemi. RPKI hè Risorse Infrastruttura Public Key - un framework speciale per firmà l'infurmazioni di routing. Hè una bona idea di furzà i LIR è i so clienti à mantene una basa di dati di spazii d'indirizzu aghjurnata. Ma ci hè un prublema cun ella.
RPKI hè ancu un sistema di chjave publica gerarchicu. IANA hà una chjave da quale sò generati e chjave RIR, è da quali chjave LIR sò generati? cù quale firmanu u so spaziu di indirizzu utilizendu ROA - Autorizzazioni d'Origine di Route:
— Vi assicuru chì stu prefissu serà annunziatu in nome di sta regione autònuma.
In più di ROA, ci sò altri oggetti, ma più nantu à elli dopu. Sembra una cosa bona è utile. Ma ùn ci prutegge micca da e fughe da a parolla "in tuttu" è ùn risolve micca tutti i prublemi cù u prefissu di u prefissu. Dunque, i ghjucatori ùn anu micca fretta di implementà. Ancu s'ellu ci sò digià assicurazioni da i grandi attori cum'è AT & T è e grande cumpagnie IX chì i prefissi cù un registru ROA invalidu seranu abbandunati.
Puderanu fà questu, ma per avà avemu un gran numaru di prefissi chì ùn sò micca firmati in ogni modu. Da una banda, ùn hè micca chjaru se sò annunziati validamente. Per d 'altra banda, ùn pudemu micca abbandunà per automaticamente, perchè ùn simu sicuru chì questu hè currettu o micca.
Chì ci hè altru ?
BGPSec. Questa hè una cosa fantastica chì l'accadèmici anu ghjuntu per una reta di poni rosa. Anu dettu:
- Avemu RPKI + ROA - un mecanismu per verificà e firme di u spaziu di indirizzu. Creemu un attributu BGP separatu è chjamate BGPSec Path. Ogni router firmarà cù a so propria firma l'annunzii chì annuncia à i so vicini. In questu modu, averemu una strada di fiducia da a catena di annunzii firmati è puderà verificà.
Bonu in teoria, ma in pratica ci sò parechji prublemi. BGPsec rompe parechje meccaniche BGP esistenti per selezziunà i prossimi salpi è gestisce u trafficu entrante / in uscita direttamente nantu à u router. BGPsec ùn funziona micca finu à chì u 95% di u mercatu tutale hà implementatu, chì in sè stessu hè una utopia.
BGPSec hà enormi prublemi di rendiment. In u hardware attuale, a velocità di cuntrollà l'annunzii hè di circa 50 prefissi per seconda. Per paragone: a tavula attuale di l'Internet di 700 prefissi serà caricata in 000 ore, durante u quale cambierà 5 volte più.
BGP Open Policy (BGP basatu à u rolu). Pruposta fresca basatu annantu à u mudellu Gao-Rexford. Quessi sò dui scientisti chì cercanu BGP.
U mudellu Gao-Rexford hè u seguitu. Per simplificà, cù BGP ci sò un picculu numeru di tipi di interazzione:
- Fornitore Cliente;
- P2P;
- cumunicazione interna, dì iBGP.
Basatu nantu à u rolu di u router, hè digià pussibule di assignà certe pulitiche d'importazione / esportazione per automaticamente. L'amministratore ùn hà micca bisognu di cunfigurà listi di prefissi. Basatu nantu à u rolu chì i routers accunsenu trà elli è chì ponu esse stabilitu, avemu digià ricevutu alcuni filtri predeterminati. Questu hè attualmente un prugettu chì hè discututu in l'IETF. Spergu chì prestu vedemu questu in forma di RFC è implementazione nantu à hardware.
Grandi fornitori di Internet
Fighjemu l'esempiu di un fornitore CenturyLink. Hè u terzu più grande fornitore di i Stati Uniti, serve 37 stati è avè 15 centri di dati.
In dicembre 2018, CenturyLink era nantu à u mercatu di i Stati Uniti per 50 ore. Duranti l'incidentu, ci sò stati prublemi cù l'operazione di l'ATM in dui stati, è u numeru 911 ùn hè micca travagliatu per parechje ore in cinque stati. A loteria in Idaho hè stata completamente arruvinata. L'incidentu hè attualmente sottu investigazione da a Cummissione di Telecomunicazioni di i Stati Uniti.
A causa di a tragedia era una carta di rete in un centru di dati. A carta hà malfunzionatu, hà mandatu pacchetti sbagliati, è tutti i 15 centri di dati di u fornitore anu falatu.
L'idea ùn hà micca travagliatu per questu fornitore "troppu grande per cascà". Questa idea ùn viaghja micca in tuttu. Pudete piglià qualsiasi ghjucadore maiò è mette alcune cose chjuche in cima. I Stati Uniti stanu sempre bè cù a cunnessione. I clienti di CenturyLink chì avianu una riserva si sò andati in massa. Allora l'operatori alternativi si lamentavanu di i so ligami chì sò stati sovraccaricati.
Se u Kazakhtelecom cundizionale casca, tuttu u paese serà lasciatu senza Internet.
Corporazioni
Probabilmente Google, Amazon, FaceBook è altre corporazioni supportanu Internet? Innò, a rompenu ancu.
In 2017 in San Petruburgu à a cunferenza ENOG13 Jeff Houston из APnic introduttu . Dice chì simu abituati à l'interazzione, i flussi di soldi è u trafficu in Internet esse verticale. Avemu picculi fornitori chì paganu per a cunnessione à i più grandi, è paganu digià per a cunnessione à u transitu globale.
Avà avemu una struttura cusì orientata verticalmente. Tuttu saria bè, ma u mondu hè cambiatu - i principali attori custruiscenu i so cavi transoceani per custruisce e so scheletri.
Notizie nantu à u cable CDN.
In 2018, TeleGeography hà publicatu un studiu chì più di a mità di u trafficu in Internet ùn hè più l'Internet, ma i spine CDN di i grandi attori. Questu hè u trafficu chì hè in relazione cù Internet, ma questu ùn hè più a reta chì avemu parlatu.
L'Internet si rompe in un grande settore di rete liberamente cunnessi.
Microsoft hà a so propria reta, Google hà a so propria, è anu pocu sovrappositu cù l'altri. U trafficu chì hè urigginatu in qualchì locu in i Stati Uniti passa per i canali Microsoft attraversu l'oceanu à l'Europa in un locu CDN, dopu attraversu CDN o IX cunnetta cù u vostru fornitore è ghjunghje à u vostru router.
A decentralizazione hè sparita.
Sta forza di l'Internet, chì l'aiuterà à sopravvive à una splusione nucleare, hè persa. I lochi di cuncentrazione di l'utilizatori è u trafficu appariscenu. Se u Google Cloud cundizionale casca, ci saranu parechje vittime à una volta. Avemu sentitu questu in parte quandu Roskomnadzor hà bluccatu AWS. È l'esempiu di CenturyLink mostra chì ancu i picculi cose sò abbastanza per questu.
Nanzu, micca tuttu è micca tutti i rumpiu. In u futuru, pudemu ghjunghje à a cunclusione chì influenzendu un attore maiò, pudemu rompe assai cose, in parechji lochi è in parechje persone.
Stati
I Stati sò i prossimi in linea, è questu hè ciò chì li succede di solitu.
Quì u nostru Roskomnadzor ùn hè mancu un pioniere à tuttu. Una pratica simile di chjude Internet esiste in Iran, India è Pakistan. In l'Inghilterra ci hè un prughjettu di legge nantu à a pussibilità di chjude l'Internet.
Qualchese grande statu vole ottene un cambiamentu per disattivà l'Internet, in tuttu o in parte: Twitter, Telegram, Facebook. Ùn hè micca ch'elli ùn capiscenu chì ùn anu mai successu, ma volenu veramente. U cambiamentu hè utilizatu, in regula, per scopi pulitichi - per eliminà i cuncurrenti pulitichi, o l'elezzioni si avvicinanu, o i pirate russi anu rottu qualcosa di novu.
Attacchi DDoS
Ùn piglieraghju micca u pane à i mo cumpagni di Qrator Labs, facenu assai megliu cà mè. Hanu nantu à a stabilità di Internet. È questu hè ciò chì anu scrittu in u rapportu 2018.
A durata media di l'attacchi DDoS cade à 2.5 ore. L'attaccanti cumincianu ancu à cuntà i soldi, è se a risorsa ùn hè micca immediatamente dispunibile, allora si lascianu rapidamente solu.
L'intensità di l'attacchi cresce. In 2018, avemu vistu 1.7 Tb / s nantu à a reta Akamai, è questu ùn hè micca u limitu.
Emergenu novi vettori di attaccu è i vechji si intensificanu. Emergenu novi protokolli chì sò suscettibili à l'amplificazione, è emergenu novi attacchi à i protokolli esistenti, in particulare TLS è simili.
A maiò parte di u trafficu hè da i dispositi mobile. À u listessu tempu, u trafficu di Internet cambia à i clienti mobili. Sia quelli chì attaccanu è quelli chì difendenu bisognu di pudè travaglià cun questu.
Invulnerable - no. Questa hè l'idea principale - ùn ci hè micca una prutezzione universale chì certamenti prutege contra qualsiasi DDoS.
U sistema ùn pò esse stallatu, salvu chì hè cunnessu à Internet.
Spergu chì ti aghju abbastanza paura. Pensemu avà ciò chì deve fà.
Chì fà ?!
Sì avete tempu liberu, desideriu è cunniscenza di l'inglese, participate à i gruppi di travagliu: IETF, RIPE WG. Quessi sò listi di mail aperti, abbonate à e mailing lists, participà à discussioni, vene à cunferenze. Sè vo avete u statutu LIR, pudete votà, per esempiu, in RIPE per diverse iniziative.
Per i semplici mortali questu hè surviglianza. Per sapè ciò chì hè rottu.
Monitoring: chì verificà?
Ping regulare, è micca solu un cuntrollu binariu - funziona o micca. Registra RTT in a storia per pudè guardà anomalie dopu.
Traceroute. Questu hè un prugramma di utilità per a determinazione di e rotte di dati nantu à e rete TCP / IP. Aiuta à identificà anomalie è blocchi.
Verificate HTTP per URL persunalizati è certificati TLS aiuterà à detect u bloccu o spoofing DNS per un attaccu, chì hè praticamente a stessa cosa. U bloccu hè spessu realizatu da u DNS spoofing è turnendu u trafficu à una pagina stub.
Sè pussibule, verificate a risoluzione di i vostri clienti di a vostra origine da diversi lochi se avete una applicazione. Questu vi aiuterà à detectà anomalie di dirottamentu di DNS, chì hè qualcosa chì l'ISP facenu qualchì volta.
Surviglianza: induve verificà?
Ùn ci hè micca risposta universale. Verificate da induve vene l'utilizatore. Se l'utilizatori sò in Russia, verificate da Russia, ma ùn vi limità micca. Se i vostri utilizatori campanu in diverse regioni, verificate da queste regioni. Ma megliu da tuttu u mondu.
Monitoring: chì verificà?
Aghju vinutu cù trè manere. Se ne sapete di più, scrivite in i cumenti.
- RIPE Atlas.
- Monitoraghju cummerciale.
- A vostra propria reta di macchine virtuali.
Parlemu di ognunu di elli.
RIPE Atlas - hè una scatula cusì chjuca. Per quelli chì cunnoscenu u "Inspector" domesticu - questu hè a stessa casella, ma cù un sticker differente.
RIPE Atlas hè un prugramma gratuitu. Ti registrate, riceve un router per mail è inserisci in a reta. Per u fattu chì qualchissia altru usa a vostra mostra, avete qualchì creditu. Cù questi prestiti pudete fà qualchì ricerca sè stessu. Pudete pruvà in diverse manere: ping, traceroute, verificate certificati. A cobertura hè abbastanza grande, ci sò parechji nodi. Ma ci sò sfumature.
U sistema di creditu ùn permette micca solu suluzione di produzzione. Ùn ci saranu abbastanza crediti per a ricerca in corso o u monitoraghju cummerciale. I crediti sò abbastanza per un studiu breve o un cuntrollu una volta. A norma di ogni ghjornu da una mostra hè cunsumata da 1-2 cuntrolli.
A cobertura hè irregolare. Siccomu u prugramma hè liberu in e duie direzzione, a cobertura hè bona in Europa, in a parte europea di Russia è in alcune regioni. Ma s'è avete bisognu di l'Indonesia o di a Nova Zelanda, allora tuttu hè assai peggiu - pudete micca avè 50 campioni per paese.
Ùn pudete micca verificà http da un sample. Questu hè duvuta à sfumature tecniche. Prumettenu di riparà in a nova versione, ma per avà http ùn pò micca esse verificatu. Solu u certificatu pò esse verificatu. Qualchì tipu di cuntrollu http pò esse fattu solu à un dispusitivu Atlas RIPE speciale chjamatu Anchor.
U sicondu mètudu hè u monitoraghju cummerciale. Tuttu hè bè cun ellu, paghete soldi, nò ? Vi prumettenu parechje decine o centinaie di punti di monitoraghju in u mondu è tiranu belli dashboards fora di a scatula. Ma, di novu, ci sò prublemi.
Hè pagatu, in certi lochi hè assai. U monitoraghju Ping, cuntrolli in u mondu sanu, è assai cuntrolli http ponu custà parechji millai di dollari annu. Se i finanzii permettenu è ti piace sta suluzione, vai avanti.
A cobertura pò esse micca abbastanza in a regione di interessu. Cù u listessu ping, un massimu di una parte astratta di u mondu hè specificatu - Asia, Europa, America di u Nordu. Sistemi di monitoraghju rari ponu drill down à un paese o regione specificu.
Supportu debule per i testi persunalizati. Sè avete bisognu di qualcosa persunalizatu, è micca solu un "curly" in l'url, allora ci sò ancu prublemi cù questu.
U terzu modu hè u vostru monitoraghju. Questu hè un classicu: "Scrivemu u nostru stessu!"
U vostru surviglianza si trasforma in u sviluppu di un pruduttu software, è un distribuitu. Avete cercatu un fornitore di infrastruttura, fighjate cumu implementà è monitorizà - u monitoraghju deve esse monitoratu, nò? È u sustegnu hè ancu necessariu. Pensate dece volte prima di piglià questu. Pò esse più faciule per pagà à qualchissia per fà per voi.
Monitoring anomalie BGP è attacchi DDoS
Quì, basatu nantu à e risorse dispunibili, tuttu hè ancu più simplice. L'anomali di BGP sò rilevati cù servizii specializati cum'è QRadar, BGPmon. Acceptanu una tabella di vista completa da parechji operatori. Basatu nantu à ciò chì vedenu da diversi operatori, ponu detect anomalie, cercate amplificatori, è cusì. A registrazione hè di solitu gratuitu - inserite u vostru numeru di telefunu, abbonate à e notificazioni per email, è u serviziu vi avviserà di i vostri prublemi.
U monitoraghju di l'attacchi DDoS hè ancu simplice. Di solitu questu hè Basatu in NetFlow è logs. Ci sò sistemi specializati cum'è FastNetMon, moduli per Splunk. Comu ultimu risorsu, ci hè u vostru fornitore di prutezzione DDoS. Puderà ancu filtrare NetFlow è, basatu annantu à questu, vi avviserà di attacchi in a vostra direzzione.
scuperti
Ùn avete micca illusioni - l'Internet si romperà definitivamente. Micca tuttu è micca tutti si romperanu, ma 14 mila incidenti in 2017 suggerisce chì ci saranu incidenti.
U vostru compitu hè di nutà i prublemi u più prestu pussibule. À u minimu, micca più tardi à u vostru utilizatore. Ùn hè solu impurtante di nutà, mantene sempre un "Plan B" in riserva. Un pianu hè una strategia per ciò chì fate quandu tuttu si rompe.: operatori di riserva, DC, CDN. Un pianu hè una lista di verificazione separata cù quale verificate u travagliu di tuttu. U pianu deve travaglià senza l'implicazione di l'ingegneri di a rete, perchè sò generalmente pocu di elli è volenu dorme.
Eccu tuttu. Vi pregu alta dispunibilità è monitoraghju verde.
A settimana prossima in Novosibirsk sunshine, highload è una alta cuncentrazione di sviluppatori sò previsti . In Siberia, un fronte di rapporti nantu à u monitoraghju, l'accessibilità è a prova, a sicurità è a gestione hè prevista. A precipitazione hè prevista in forma di note scribbled, networking, ritratti è posti nantu à e rete suciale. Si ricumandemu di posponà tutte l'attività u 24 è u 25 di ghjugnu è . Vi aspittemu in Siberia !
Source: www.habr.com