Mae'n ymddangos bod y Rhyngrwyd yn strwythur cryf, annibynnol ac annistrywiol. Mewn egwyddor, mae'r rhwydwaith yn ddigon cryf i oroesi ffrwydrad niwclear. Mewn gwirionedd, gall y Rhyngrwyd ollwng un llwybrydd bach. Y cyfan oherwydd bod y Rhyngrwyd yn domen o wrthddywediadau, gwendidau, gwallau a fideos am gathod. Mae asgwrn cefn y Rhyngrwyd, BGP, yn llawn problemau. Mae'n anhygoel ei fod yn dal i anadlu. Yn ogystal â gwallau yn y Rhyngrwyd ei hun, mae hefyd yn cael ei dorri gan bawb ac amrywiol: darparwyr Rhyngrwyd mawr, corfforaethau, gwladwriaethau ac ymosodiadau DDoS. Beth i'w wneud amdano a sut i fyw ag ef?
Yn gwybod yr ateb Alexey Uchakin () yn arweinydd tîm o beirianwyr rhwydwaith yn IQ Option. Ei brif dasg yw hygyrchedd y platfform i ddefnyddwyr. Yn y trawsgrifiad o adroddiad Alexey ar Gadewch i ni siarad am BGP, ymosodiadau DDOS, switshis Rhyngrwyd, gwallau darparwr, datganoli ac achosion pan anfonodd llwybrydd bach y Rhyngrwyd i gysgu. Ar y diwedd - ychydig o awgrymiadau ar sut i oroesi hyn i gyd.
Y Diwrnod y Torrodd y Rhyngrwyd
Byddaf yn dyfynnu ychydig o ddigwyddiadau yn unig lle chwalodd cysylltedd y Rhyngrwyd. Bydd hyn yn ddigon ar gyfer y darlun cyflawn.
"Digwyddiad AS7007". Y tro cyntaf i'r Rhyngrwyd dorri oedd ym mis Ebrill 1997. Roedd nam ym meddalwedd un llwybrydd o'r system ymreolaethol 7007 . Ar ryw adeg, cyhoeddodd y llwybrydd ei fwrdd llwybro mewnol i'w gymdogion ac anfonodd hanner y rhwydwaith i mewn i dwll du.
"Pacistan yn erbyn YouTube". Yn 2008, penderfynodd dynion dewr o Bacistan rwystro YouTube. Gwnaethant mor dda fel bod hanner y byd wedi'i adael heb gathod.
“Cipio rhagddodiaid VISA, MasterCard a Symantec gan Rostelecom”. Yn 2017, dechreuodd Rostelecom gyhoeddi rhagddodiaid VISA, MasterCard a Symantec ar gam. O ganlyniad, cafodd traffig ariannol ei gyfeirio trwy sianeli a reolir gan y darparwr. Ni pharhaodd y gollyngiad yn hir, ond roedd yn annymunol i gwmnïau ariannol.
Google yn erbyn Japan. Ym mis Awst 2017, dechreuodd Google gyhoeddi rhagddodiaid prif ddarparwyr Japaneaidd NTT a KDDI mewn rhai o'i uwchgysylltiadau. Anfonwyd y traffig i Google fel tramwy, yn fwyaf tebygol trwy gamgymeriad. Gan nad yw Google yn ddarparwr ac nad yw'n caniatáu traffig cludo, gadawyd rhan sylweddol o Japan heb y Rhyngrwyd.
“Mae DV LINK wedi dal rhagddodiaid Google, Apple, Facebook, Microsoft”. Hefyd yn 2017, dechreuodd y darparwr Rwsia DV LINK am ryw reswm gyhoeddi rhwydweithiau Google, Apple, Facebook, Microsoft a rhai chwaraewyr mawr eraill.
“Mae eNet o UDA wedi dal rhagddodiaid AWS Route53 a MyEtherwallet”. Yn 2018, cyhoeddodd darparwr Ohio neu un o'i gleientiaid rwydweithiau waled crypto Amazon Route53 a MyEtherwallet. Roedd yr ymosodiad yn llwyddiannus: hyd yn oed er gwaethaf y dystysgrif hunan-lofnodedig, rhybudd a ymddangosodd i'r defnyddiwr wrth fynd i mewn i wefan MyEtherwallet, cafodd llawer o waledi eu herwgipio a chafodd rhan o'r cryptocurrency ei ddwyn.
Roedd mwy na 2017 o ddigwyddiadau o’r fath yn 14 yn unig! Mae'r rhwydwaith yn dal i gael ei ddatganoli, felly nid yw popeth ac nid yw pawb yn torri i lawr. Ond mae miloedd o ddigwyddiadau, pob un yn ymwneud â'r protocol BGP sy'n pweru'r Rhyngrwyd.
BGP a'i broblemau
Protocol BGP - Protocol Porth y Ffin, a ddisgrifiwyd gyntaf ym 1989 gan ddau beiriannydd o IBM a Cisco Systems ar dri “napcyn” - dalen A4. Rhain dal i eistedd ym mhencadlys Cisco Systems yn San Francisco fel crair o'r byd rhwydweithio.
Mae'r protocol yn seiliedig ar ryngweithio systemau ymreolaethol - Systemau Ymreolaethol neu UG yn fyr. Yn syml, mae system ymreolaethol yn ID y mae rhwydweithiau IP wedi'u neilltuo iddo yn y gofrestrfa gyhoeddus. Gall llwybrydd gyda'r ID hwn gyhoeddi'r rhwydweithiau hyn i'r byd. Yn unol â hynny, gellir cynrychioli unrhyw lwybr ar y Rhyngrwyd fel fector, a elwir Llwybr AS. Mae'r fector yn cynnwys nifer y systemau ymreolaethol y mae'n rhaid eu croesi i gyrraedd y rhwydwaith cyrchfan.
Er enghraifft, mae rhwydwaith o nifer o systemau ymreolaethol. Mae angen i chi fynd o'r system AS65001 i'r system AS65003. Cynrychiolir y llwybr o un system gan AS Path yn y diagram. Mae'n cynnwys dwy system ymreolaethol: 65002 a 65003. Ar gyfer pob cyfeiriad cyrchfan mae fector Llwybr UG, sy'n cynnwys nifer y systemau ymreolaethol y mae angen inni fynd drwyddynt.
Felly beth yw'r problemau gyda BGP?
Protocol ymddiriedolaeth yw BGP
Mae protocol BGP yn seiliedig ar ymddiriedaeth. Mae hyn yn golygu ein bod yn ymddiried yn ein cymydog yn ddiofyn. Mae hyn yn nodwedd o lawer o brotocolau a ddatblygwyd ar doriad gwawr y Rhyngrwyd. Gadewch i ni ddarganfod beth mae “ymddiriedaeth” yn ei olygu.
Dim dilysu cymydog. Yn ffurfiol, mae MD5, ond dim ond hynny yw MD5 yn 2019.
Dim hidlo. Mae gan BGP ffilterau ac fe'u disgrifir, ond nid ydynt yn cael eu defnyddio na'u defnyddio'n anghywir. Byddaf yn egluro pam yn ddiweddarach.
Mae'n hawdd iawn sefydlu cymdogaeth. Mae sefydlu cymdogaeth yn y protocol BGP ar bron unrhyw lwybrydd yn ddwy linell o'r ffurfwedd.
Nid oes angen hawliau rheoli BGP. Nid oes angen i chi sefyll arholiadau i brofi eich cymwysterau. Ni fydd unrhyw un yn dileu eich hawliau ar gyfer ffurfweddu BGP tra'n feddw.
Dwy brif broblem
Hijacks rhagddodiad. Mae herwgipio rhagddodiaid yn hysbysebu rhwydwaith nad yw'n perthyn i chi, fel sy'n wir am MyEtherwallet. Cymerasom rai rhagddodiaid, cytunwyd arnynt gyda'r darparwr neu eu hacio, a thrwyddo rydym yn cyhoeddi'r rhwydweithiau hyn.
Llwybr yn gollwng. Mae gollyngiadau ychydig yn fwy cymhleth. Mae gollwng yn newid yn y Llwybr UG. Ar y gorau, bydd y newid yn arwain at fwy o oedi oherwydd bod angen i chi deithio llwybr hirach neu ar gyswllt llai capacious. Ar y gwaethaf, bydd yr achos gyda Google a Japan yn cael ei ailadrodd.
Nid yw Google ei hun yn weithredwr nac yn system trafnidiaeth ymreolaethol. Ond pan gyhoeddodd rwydweithiau gweithredwyr Japan i'w ddarparwr, roedd traffig trwy Google trwy AS Path yn cael ei ystyried yn flaenoriaeth uwch. Aeth traffig yno a gostwng yn syml oherwydd bod y gosodiadau llwybro y tu mewn i Google yn fwy cymhleth na dim ond hidlwyr ar y ffin.
Pam nad yw hidlwyr yn gweithio?
Does neb yn malio. Dyma'r prif reswm - does neb yn poeni. Cymerodd gweinyddwr darparwr neu gwmni bach a gysylltodd â'r darparwr trwy BGP MikroTik, ffurfweddu BGP arno ac nid yw hyd yn oed yn gwybod y gellir ffurfweddu hidlwyr yno.
Gwallau ffurfweddu. Fe wnaethon nhw gyboli rhywbeth, gwneud camgymeriad yn y mwgwd, gwisgo'r rhwyll anghywir - a nawr mae yna gamgymeriad eto.
Dim posibilrwydd technegol. Er enghraifft, mae gan ddarparwyr telathrebu lawer o gleientiaid. Y peth craff i'w wneud yw diweddaru'r hidlwyr ar gyfer pob cleient yn awtomatig - i fonitro bod ganddo rwydwaith newydd, ei fod wedi rhentu ei rwydwaith i rywun. Mae'n anodd dilyn hyn, a hyd yn oed yn anoddach gyda'ch dwylo. Felly, maent yn syml yn gosod hidlwyr hamddenol neu nid ydynt yn gosod hidlwyr o gwbl.
Eithriadau. Mae yna eithriadau ar gyfer cleientiaid annwyl a mawr. Yn enwedig yn achos rhyngwynebau rhyng-weithredwyr. Er enghraifft, mae gan TransTeleCom a Rostelecom griw o rwydweithiau ac mae rhyngwyneb rhyngddynt. Os bydd y cymal yn disgyn, ni fydd yn dda i unrhyw un, felly mae'r hidlwyr yn cael eu ymlacio neu eu tynnu'n llwyr.
Gwybodaeth hen ffasiwn neu amherthnasol yn yr IRR. Mae hidlwyr yn cael eu hadeiladu yn seiliedig ar wybodaeth sy'n cael ei chofnodi yn IRR - Cofrestrfa Llwybro Rhyngrwyd. Mae'r rhain yn gofrestrfeydd o gofrestryddion Rhyngrwyd rhanbarthol. Yn aml, mae cofrestrfeydd yn cynnwys gwybodaeth hen ffasiwn neu amherthnasol, neu'r ddau.
Pwy yw'r cofrestryddion hyn?
Mae pob cyfeiriad Rhyngrwyd yn perthyn i'r sefydliad IANA - Awdurdod Rhifau Aseiniedig Rhyngrwyd. Pan fyddwch chi'n prynu rhwydwaith IP gan rywun, nid ydych chi'n prynu cyfeiriadau, ond yr hawl i'w defnyddio. Mae cyfeiriadau yn adnodd anniriaethol a thrwy gytundeb cyffredin maent i gyd yn eiddo i'r IANA.
Mae'r system yn gweithio fel hyn. Mae IANA yn dirprwyo rheolaeth cyfeiriadau IP a rhifau system ymreolaethol i bum cofrestrydd rhanbarthol. Maent yn cyhoeddi systemau ymreolaethol LIR - cofrestryddion rhyngrwyd lleol. Yna mae LIRs yn dyrannu cyfeiriadau IP i ddefnyddwyr terfynol.
Anfantais y system yw bod pob un o’r cofrestryddion rhanbarthol yn cynnal ei gofrestrau yn ei ffordd ei hun. Mae gan bawb eu barn eu hunain ar ba wybodaeth y dylid ei chynnwys mewn cofrestrau, a phwy ddylai neu na ddylai ei gwirio. Y canlyniad yw'r llanast sydd gennym yn awr.
Sut arall allwch chi fynd i'r afael â'r problemau hyn?
IRR - ansawdd canolig. Mae'n amlwg gydag IRR - mae popeth yn ddrwg yno.
BGP-cymunedau. Dyma ryw nodwedd a ddisgrifir yn y protocol. Gallwn atodi, er enghraifft, cymuned arbennig i'n cyhoeddiad fel nad yw cymydog yn anfon ein rhwydweithiau at ei gymdogion. Pan fydd gennym ddolen P2P, rydym yn cyfnewid ein rhwydweithiau yn unig. Er mwyn atal y llwybr rhag mynd yn ddamweiniol i rwydweithiau eraill, rydym yn ychwanegu cymuned.
Nid yw cymunedau yn drosiannol. Mae bob amser yn gontract i ddau, a dyma eu hanfantais. Ni allwn neilltuo unrhyw gymuned, ac eithrio un, a dderbynnir yn ddiofyn gan bawb. Ni allwn fod yn sicr y bydd pawb yn derbyn y gymuned hon ac yn ei dehongli'n gywir. Felly, yn yr achos gorau, os ydych yn cytuno â'ch uplink, bydd yn deall yr hyn yr ydych ei eisiau ganddo o ran cymuned. Ond efallai na fydd eich cymydog yn deall, neu bydd y gweithredwr yn ailosod eich tag, ac ni fyddwch yn cyflawni'r hyn yr oeddech ei eisiau.
Dim ond rhan fach o'r problemau y mae RPKI + ROA yn eu datrys. RPKI yn Isadeiledd Allwedd Cyhoeddus Adnoddau — fframwaith arbennig ar gyfer llofnodi gwybodaeth llwybro. Mae'n syniad da gorfodi LIRs a'u cleientiaid i gynnal cronfa ddata gofod cyfeiriadau gyfoes. Ond mae un broblem ag ef.
Mae RPKI hefyd yn system allweddi cyhoeddus hierarchaidd. Mae gan IANA allwedd y mae allweddi RIR yn cael eu cynhyrchu ohoni, ac o ba allweddi LIR y cynhyrchir? y maent yn llofnodi eu gofod cyfeiriad ag ef gan ddefnyddio ROAs - Awdurdodiadau Tarddiad Llwybr:
— Gallaf eich sicrhau y bydd y rhagddodiad hwn yn cael ei gyhoeddi ar ran y rhanbarth ymreolaethol hwn.
Yn ogystal â ROA, mae gwrthrychau eraill, ond mwy amdanynt yn ddiweddarach. Mae'n ymddangos fel peth da a defnyddiol. Ond nid yw'n ein hamddiffyn rhag gollyngiadau o'r gair “o gwbl” ac nid yw'n datrys pob problem gyda herwgipio rhagddodiaid. Felly, nid yw chwaraewyr ar unrhyw frys i'w weithredu. Er bod yna eisoes sicrwydd gan chwaraewyr mawr fel AT&T a chwmnïau IX mawr y bydd rhagddodiaid gyda record ROA annilys yn cael eu gollwng.
Efallai y byddant yn gwneud hyn, ond am y tro mae gennym nifer enfawr o rhagddodiaid nad ydynt wedi'u llofnodi mewn unrhyw ffordd. Ar y naill law, nid yw'n glir a ydynt wedi'u cyhoeddi'n ddilys. Ar y llaw arall, ni allwn eu gollwng yn ddiofyn, oherwydd nid ydym yn siŵr a yw hyn yn gywir ai peidio.
Beth arall sydd yna?
BGPSec. Mae hyn yn beth cŵl y gwnaeth academyddion ei feddwl ar gyfer rhwydwaith o ferlod pinc. Dywedasant:
- Mae gennym RPKI + ROA - mecanwaith ar gyfer gwirio llofnodion gofod cyfeiriad. Gadewch i ni greu priodoledd BGP ar wahân a'i alw'n Llwybr BGPSec. Bydd pob llwybrydd yn llofnodi gyda'i lofnod ei hun y cyhoeddiadau y mae'n eu cyhoeddi i'w gymdogion. Fel hyn byddwn yn cael llwybr dibynadwy o'r gadwyn o gyhoeddiadau wedi'u llofnodi a byddwn yn gallu ei wirio.
Da mewn theori, ond yn ymarferol mae llawer o broblemau. Mae BGPSec yn torri llawer o fecanegau BGP presennol ar gyfer dewis hopys nesaf a rheoli traffig sy'n dod i mewn / allan yn uniongyrchol ar y llwybrydd. Nid yw BGPSec yn gweithio nes bod 95% o'r farchnad gyfan wedi ei weithredu, sydd ynddo'i hun yn iwtopia.
Mae gan BGPSec broblemau perfformiad enfawr. Ar y caledwedd presennol, mae cyflymder gwirio cyhoeddiadau tua 50 rhagddodiad yr eiliad. Er mwyn cymharu: bydd y tabl Rhyngrwyd cyfredol o 700 o rhagddodiaid yn cael eu huwchlwytho mewn 000 awr, pan fydd yn newid 5 gwaith yn fwy.
Polisi Agored BGP (BGP yn seiliedig ar rôl). Cynnig newydd yn seiliedig ar y model Gao-Rexford. Dyma ddau wyddonydd sy'n ymchwilio i BGP.
Mae model Gao-Rexford fel a ganlyn. I symleiddio, gyda BGP mae nifer fach o fathau o ryngweithiadau:
- Cwsmer Darparwr;
- P2P;
- cyfathrebu mewnol, dyweder iBGP.
Yn seiliedig ar rôl y llwybrydd, mae eisoes yn bosibl aseinio rhai polisïau mewnforio / allforio yn ddiofyn. Nid oes angen i'r gweinyddwr ffurfweddu rhestrau rhagddodiad. Yn seiliedig ar y rôl y mae'r llwybryddion yn cytuno arni ymhlith ei gilydd ac y gellir ei gosod, rydym eisoes yn derbyn rhai hidlwyr rhagosodedig. Mae hwn yn ddrafft sy'n cael ei drafod yn yr IETF ar hyn o bryd. Gobeithiaf y gwelwn hyn yn fuan ar ffurf Clwb Rygbi a gweithrediad ar galedwedd.
Darparwyr Rhyngrwyd mawr
Gadewch i ni edrych ar yr enghraifft o ddarparwr CenturyLink. Dyma'r trydydd darparwr mwyaf yn yr UD, sy'n gwasanaethu 37 talaith ac mae ganddo 15 o ganolfannau data.
Ym mis Rhagfyr 2018, roedd CenturyLink ar farchnad yr UD am 50 awr. Yn ystod y digwyddiad, bu problemau gyda gweithrediad peiriannau ATM mewn dwy wladwriaeth, ac nid oedd y rhif 911 yn gweithio am sawl awr mewn pum talaith. Cafodd y loteri yn Idaho ei difetha'n llwyr. Mae Comisiwn Telathrebu UDA yn ymchwilio i’r digwyddiad ar hyn o bryd.
Achos y drasiedi oedd un cerdyn rhwydwaith mewn un ganolfan ddata. Methodd y cerdyn, anfonwyd pecynnau anghywir, ac aeth pob un o 15 canolfan ddata'r darparwr i lawr.
Ni weithiodd y syniad i'r darparwr hwn "rhy fawr i ddisgyn". Nid yw'r syniad hwn yn gweithio o gwbl. Gallwch chi gymryd unrhyw chwaraewr mawr a rhoi rhai pethau bach ar ei ben. Mae'r Unol Daleithiau yn dal i wneud yn dda gyda chysylltedd. Aeth cwsmeriaid CenturyLink a oedd â chronfa wrth gefn i mewn iddo mewn llu. Yna roedd gweithredwyr amgen yn cwyno bod eu cysylltiadau'n cael eu gorlwytho.
Os bydd y Kazakhtelecom amodol yn disgyn, bydd y wlad gyfan yn cael ei gadael heb y Rhyngrwyd.
Corfforaethau
Mae'n debyg bod Google, Amazon, FaceBook a chorfforaethau eraill yn cefnogi'r Rhyngrwyd? Na, maen nhw'n ei dorri hefyd.
Yn 2017 yn St. Petersburg yng nghynhadledd ENOG13 Jeff Houston o APnic cyflwyno . Mae'n dweud ein bod ni'n gyfarwydd â rhyngweithio, llif arian a thraffig ar y Rhyngrwyd yn fertigol. Mae gennym ddarparwyr bach sy'n talu am gysylltedd â rhai mwy, ac maent eisoes yn talu am gysylltedd â thrafnidiaeth fyd-eang.
Nawr mae gennym strwythur mor fertigol. Byddai popeth yn iawn, ond mae'r byd yn newid - mae chwaraewyr mawr yn adeiladu eu ceblau trawsgefnforol i adeiladu eu hesgyrn cefn eu hunain.
Newyddion am gebl CDN.
Yn 2018, rhyddhaodd TeleGeography astudiaeth nad yw mwy na hanner y traffig ar y Rhyngrwyd bellach yn Rhyngrwyd, ond yn CDN asgwrn cefn chwaraewyr mawr. Mae hwn yn draffig sy'n gysylltiedig â'r Rhyngrwyd, ond nid dyma'r rhwydwaith yr oeddem yn sôn amdano bellach.
Mae'r Rhyngrwyd yn rhannu'n set fawr o rwydweithiau sydd â chysylltiadau llac.
Mae gan Microsoft ei rwydwaith ei hun, mae gan Google ei rwydwaith ei hun, ac nid oes ganddynt lawer o orgyffwrdd â'i gilydd. Mae traffig a darddodd yn rhywle yn UDA yn mynd trwy sianeli Microsoft ar draws y cefnfor i Ewrop rhywle ar CDN, yna trwy CDN neu IX mae'n cysylltu â'ch darparwr ac yn cyrraedd eich llwybrydd.
Mae datganoli yn diflannu.
Mae cryfder hwn y Rhyngrwyd, a fydd yn ei helpu i oroesi ffrwydrad niwclear, yn cael ei golli. Mae mannau crynhoad o ddefnyddwyr a thraffig yn ymddangos. Os bydd yr amodol Google Cloud yn disgyn, bydd llawer o ddioddefwyr ar unwaith. Roeddem yn teimlo hyn yn rhannol pan rwystrodd Roskomnadzor AWS. Ac mae enghraifft CenturyLink yn dangos bod hyd yn oed pethau bach yn ddigon ar gyfer hyn.
Yn flaenorol, nid yw popeth ac nid yw pawb yn torri. Yn y dyfodol, efallai y byddwn yn dod i'r casgliad, trwy ddylanwadu ar un chwaraewr mawr, y gallwn dorri llawer o bethau, mewn llawer o leoedd ac mewn llawer o bobl.
Gwladwriaethau
Taleithiau sydd nesaf yn y llinell, a dyma sy'n digwydd iddynt fel arfer.
Yma nid yw ein Roskomnadzor hyd yn oed yn arloeswr o gwbl. Mae arfer tebyg o gau Rhyngrwyd yn bodoli yn Iran, India, a Phacistan. Yn Lloegr mae bil ar y posibilrwydd o gau'r Rhyngrwyd i lawr.
Mae unrhyw wladwriaeth fawr eisiau cael switsh i ddiffodd y Rhyngrwyd, naill ai'n gyfan gwbl neu'n rhannol: Twitter, Telegram, Facebook. Nid nad ydyn nhw'n deall na fyddan nhw byth yn llwyddo, ond maen nhw wir ei eisiau. Defnyddir y switsh, fel rheol, at ddibenion gwleidyddol - i ddileu cystadleuwyr gwleidyddol, neu mae etholiadau'n agosáu, neu mae hacwyr Rwsia wedi torri rhywbeth eto.
Ymosodiadau DDoS
Wna i ddim cymryd bara oddi wrth fy nghymrodyr o Qrator Labs, maen nhw'n ei wneud yn llawer gwell na mi. Mae ganddynt ar sefydlogrwydd y Rhyngrwyd. A dyma beth a ysgrifennwyd ganddynt yn adroddiad 2018.
Mae hyd cyfartalog ymosodiadau DDoS yn gostwng i 2.5 awr. Mae'r ymosodwyr hefyd yn dechrau cyfrif arian, ac os nad yw'r adnodd ar gael ar unwaith, yna maent yn gadael llonydd iddo'n gyflym.
Mae dwyster ymosodiadau yn cynyddu. Yn 2018, gwelsom 1.7 Tb/s ar rwydwaith Akamai, ac nid dyma'r terfyn.
Mae fectorau ymosodiad newydd yn dod i'r amlwg ac mae hen rai yn dwysáu. Mae protocolau newydd yn dod i'r amlwg sy'n agored i ymhelaethu, ac mae ymosodiadau newydd yn dod i'r amlwg ar brotocolau presennol, yn enwedig TLS ac ati.
Daw'r rhan fwyaf o'r traffig o ddyfeisiau symudol. Ar yr un pryd, mae traffig Rhyngrwyd yn symud i gleientiaid symudol. Mae angen i'r rhai sy'n ymosod a'r rhai sy'n amddiffyn allu gweithio gyda hyn.
Invulnerable - na. Dyma'r prif syniad - nid oes unrhyw amddiffyniad cyffredinol a fydd yn bendant yn amddiffyn rhag unrhyw DDoS.
Ni ellir gosod y system oni bai ei bod wedi'i chysylltu â'r Rhyngrwyd.
Rwy'n gobeithio fy mod wedi eich dychryn digon. Gadewch i ni nawr feddwl beth i'w wneud amdano.
Beth i'w wneud?!
Os oes gennych amser rhydd, awydd a gwybodaeth o'r Saesneg, cymerwch ran mewn gweithgorau: IETF, RIPE WG. Rhestrau post agored yw'r rhain, tanysgrifio i restrau postio, cymryd rhan mewn trafodaethau, dod i gynadleddau. Os oes gennych statws LIR, gallwch bleidleisio, er enghraifft, yn RIPE ar gyfer mentrau amrywiol.
I feidrolion yn unig y mae hyn monitro. I wybod beth sydd wedi torri.
Monitro: beth i'w wirio?
Ping arferol, ac nid yn unig yn wiriad deuaidd - mae'n gweithio ai peidio. Cofnodi RTT mewn hanes fel y gallwch edrych ar anghysondebau yn nes ymlaen.
Traceroute. Rhaglen ddefnyddioldeb yw hon ar gyfer pennu llwybrau data ar rwydweithiau TCP/IP. Mae'n helpu i nodi anomaleddau a rhwystrau.
Gwiriadau HTTP am URLau personol a thystysgrifau TLS Bydd yn helpu i ganfod blocio neu spoofing DNS ar gyfer ymosodiad, sydd bron yr un peth. Mae blocio yn aml yn cael ei wneud trwy ffugio DNS a thrwy droi traffig i dudalen bonyn.
Os yn bosibl, gwiriwch ddatrysiad eich cleientiaid o'ch tarddiad o wahanol leoedd os oes gennych gais. Bydd hyn yn eich helpu i ganfod anghysondebau herwgipio DNS, rhywbeth y mae darparwyr weithiau'n ei wneud.
Monitro: ble i wirio?
Nid oes ateb cyffredinol. Gwiriwch o ble mae'r defnyddiwr yn dod. Os yw defnyddwyr yn Rwsia, gwiriwch o Rwsia, ond peidiwch â chyfyngu eich hun iddo. Os yw'ch defnyddwyr yn byw mewn gwahanol ranbarthau, gwiriwch o'r rhanbarthau hyn. Ond gwell o bob rhan o'r byd.
Monitro: beth i'w wirio?
Deuthum i fyny gyda thair ffordd. Os ydych chi'n gwybod mwy, ysgrifennwch y sylwadau.
- Atlas RIPE.
- Monitro masnachol.
- Eich rhwydwaith eich hun o beiriannau rhithwir.
Gadewch i ni siarad am bob un ohonynt.
Atlas RIPE - mae'n focs mor fach. I'r rhai sy'n adnabod y "Arolygydd" domestig - dyma'r un blwch, ond gyda sticer gwahanol.
Mae RIPE Atlas yn rhaglen am ddim. Rydych chi'n cofrestru, yn derbyn llwybrydd trwy'r post ac yn ei blygio i mewn i'r rhwydwaith. Am y ffaith bod rhywun arall yn defnyddio'ch sampl, rydych chi'n cael rhai credydau. Gyda'r benthyciadau hyn gallwch chi wneud rhywfaint o ymchwil eich hun. Gallwch chi brofi mewn gwahanol ffyrdd: ping, traceroute, gwirio tystysgrifau. Mae'r sylw yn eithaf mawr, mae yna lawer o nodau. Ond mae yna arlliwiau.
Nid yw'r system credyd yn caniatáu atebion cynhyrchu adeiladau. Ni fydd digon o gredydau ar gyfer ymchwil barhaus neu fonitro masnachol. Mae'r credydau'n ddigon ar gyfer astudiaeth fer neu wiriad un-amser. Mae'r norm dyddiol o un sampl yn cael ei fwyta gan 1-2 siec.
Mae'r cwmpas yn anwastad. Gan fod y rhaglen yn rhad ac am ddim i'r ddau gyfeiriad, mae'r sylw yn dda yn Ewrop, yn rhan Ewropeaidd Rwsia a rhai rhanbarthau. Ond os oes angen Indonesia neu Seland Newydd arnoch chi, yna mae popeth yn waeth o lawer - efallai na fydd gennych chi 50 sampl fesul gwlad.
Ni allwch wirio http o sampl. Mae hyn oherwydd naws technegol. Maent yn addo ei drwsio yn y fersiwn newydd, ond am y tro ni ellir gwirio http. Dim ond y dystysgrif y gellir ei gwirio. Dim ond i ddyfais Atlas RIPE arbennig o'r enw Anchor y gellir gwneud rhyw fath o wiriad http.
Yr ail ddull yw monitro masnachol. Mae popeth yn iawn gydag ef, rydych chi'n talu arian, iawn? Maent yn addo sawl dwsin neu gannoedd o bwyntiau monitro ledled y byd i chi ac yn tynnu dangosfyrddau hardd allan o'r bocs. Ond, unwaith eto, mae yna broblemau.
Mae'n cael ei dalu, mewn rhai mannau mae'n iawn. Gall monitro ping, gwiriadau byd-eang, a llawer o wiriadau http gostio sawl mil o ddoleri y flwyddyn. Os yw cyllid yn caniatáu a'ch bod yn hoffi'r ateb hwn, ewch ymlaen.
Efallai na fydd y cwmpas yn ddigonol yn y rhanbarth o ddiddordeb. Gyda'r un ping, nodir uchafswm o ran haniaethol o'r byd - Asia, Ewrop, Gogledd America. Gall systemau monitro prin ddrilio i lawr i wlad neu ranbarth penodol.
Cefnogaeth wan ar gyfer profion personol. Os oes angen rhywbeth wedi'i deilwra arnoch chi, ac nid dim ond “cyrliog” ar yr url, yna mae problemau gyda hynny hefyd.
Y drydedd ffordd yw eich monitro. Dyma glasur: “Dewch i ni ysgrifennu ein rhai ein hunain!”
Mae eich monitro yn troi'n ddatblygiad cynnyrch meddalwedd, ac un wedi'i ddosbarthu. Rydych chi'n chwilio am ddarparwr seilwaith, edrychwch ar sut i'w ddefnyddio a'i fonitro - mae angen monitro monitro, iawn? Ac mae angen cefnogaeth hefyd. Meddyliwch ddeg gwaith cyn i chi ymgymryd â hyn. Efallai y bydd yn haws talu rhywun i wneud hynny ar eich rhan.
Monitro anomaleddau BGP ac ymosodiadau DDoS
Yma, yn seiliedig ar yr adnoddau sydd ar gael, mae popeth hyd yn oed yn symlach. Mae anomaleddau BGP yn cael eu canfod gan ddefnyddio gwasanaethau arbenigol fel QRadar, BGPmon. Maent yn derbyn tabl golygfa llawn gan weithredwyr lluosog. Yn seiliedig ar yr hyn a welant gan wahanol weithredwyr, gallant ganfod anghysondebau, chwilio am fwyhaduron, ac ati. Mae cofrestru fel arfer am ddim - rydych chi'n nodi'ch rhif ffôn, yn tanysgrifio i hysbysiadau e-bost, a bydd y gwasanaeth yn eich rhybuddio am eich problemau.
Mae monitro ymosodiadau DDoS hefyd yn syml. Yn nodweddiadol mae hyn NetFlow-seiliedig a logiau. Mae systemau arbenigol fel FastNetMon, modiwlau ar gyfer Splunk. Fel dewis olaf, mae eich darparwr amddiffyn DDoS. Gall hefyd ollwng NetFlow ac, yn seiliedig arno, bydd yn eich hysbysu am ymosodiadau yn eich cyfeiriad.
Canfyddiadau
Peidiwch â rhithiau - bydd y Rhyngrwyd yn bendant yn torri. Ni fydd popeth ac ni fydd pawb yn torri, ond mae 14 mil o ddigwyddiadau yn 2017 yn awgrymu y bydd digwyddiadau.
Eich tasg yw sylwi ar broblemau cyn gynted â phosibl. O leiaf, dim hwyrach na'ch defnyddiwr. Nid yn unig y mae'n bwysig nodi, cadwch “Gynllun B” wrth gefn bob amser. Mae cynllun yn strategaeth ar gyfer yr hyn y byddwch yn ei wneud pan fydd popeth yn torri i lawr.: gweithredwyr wrth gefn, DC, CDN. Mae cynllun yn rhestr wirio ar wahân y byddwch yn gwirio gwaith popeth yn ei herbyn. Dylai'r cynllun weithio heb gynnwys peirianwyr rhwydwaith, oherwydd fel arfer ychydig ohonynt sydd ac maent am gysgu.
Dyna i gyd. Dymunaf argaeledd uchel a monitro gwyrdd ichi.
Yr wythnos nesaf yn heulwen Novosibirsk, disgwylir llwyth uchel a chrynodiad uchel o ddatblygwyr . Yn Siberia, rhagwelir blaen adroddiadau ar fonitro, hygyrchedd a phrofion, diogelwch a rheolaeth. Disgwylir dyodiad ar ffurf nodiadau sgriblo, rhwydweithio, ffotograffau a phostiadau ar rwydweithiau cymdeithasol. Rydym yn argymell gohirio pob gweithgaredd ar 24 a 25 Mehefin a . Rydyn ni'n aros amdanoch chi yn Siberia!
Ffynhonnell: hab.com