Warum ist das Internet noch online?

Das Internet scheint eine starke, unabhängige und unzerstörbare Struktur zu sein. Theoretisch wäre die Robustheit des Netzwerks ausreichend, um eine nukleare Explosion zu überstehen. In der Realität kann das Internet jedoch durch einen kleinen Router lahmgelegt werden. Das liegt daran, dass das Internet ein Geflecht aus Widersprüchen, Schwachstellen, Fehlern und Katzenvideos ist. Der Kern des Internets, das BGP-Protokoll, birgt zahlreiche Probleme. Es ist erstaunlich, dass es überhaupt noch funktioniert. Neben den Fehlern im Internet selbst wird es auch von allen möglichen Leuten angegriffen: große Internetanbieter, Unternehmen, Staaten und DDoS-Attacken. Was kann man dagegen tun und wie kann man damit leben?

Warum ist das Internet noch online?

Die Antwort kennt Alexey Uchakov (Night_Snake) – der Leiter des Netzengineering-Teams bei IQ Option. Seine Hauptaufgabe ist die Sicherstellung der Verfügbarkeit der Plattform für die Nutzer. In der Aufzeichnung von Alexeys Vortrag auf Saint HighLoad++ 2019 reden wir über BGP, DDoS-Attacken, den Schalter fürs Internet, Providerfehler, Dezentralisierung und Fälle, in denen ein kleiner Router das Internet in die Knie gezwungen hat. Am Ende gibt es einige Tipps, wie man all dies überstehen kann.

Video abspielen

Der Tag, an dem das Internet kaputtging

Ich werde nur einige Vorfälle anführen, bei denen die Konnektivität im Internet gestört war. Das wird ausreichen, um ein umfassendes Bild zu vermitteln.

«Vorfall mit AS7007». Das erste Mal brach das Internet im April 1997 zusammen. In der Software eines Routers des autonomen Systems 7007 war ein Fehler. Irgendwann kündigte der Router seine interne Routingtabelle den Nachbarn an und schickte die Hälfte des Netzwerks in ein Blackhole.

«Pakistan gegen YouTube». Im Jahr 2008 beschlossen die tapferen Jungs aus Pakistan, YouTube zu blockieren. Sie haben das so gut gemacht, dass die halbe Welt ohne Katzenvideos dasteht.

«Die Übernahme der Präfixe von VISA, MasterCard und Symantec durch Rostelekom». Im Jahr 2017 begann Rostelekom versehentlich, die Präfixe von VISA, MasterCard und Symantec anzukündigen. Infolgedessen wurde der Finanzverkehr über Kanäle geleitet, die der Provider kontrollierte. Die Leckage dauerte nicht lange, aber für die Finanzunternehmen war es unangenehm.

«Google gegen Japan». Im August 2017 begann Google in Teilen seiner Upstream-Verbindungen, die Präfixe der großen japanischen Anbieter NTT und KDDI anzukündigen. Der Verkehr wurde über Google als Transitverkehr leitet, vermutlich aus Versehen. Da Google kein Provider ist und Transitverkehr nicht weiterleitet, blieb ein erheblicher Teil Japans ohne Internet.

«DV LINK übernahm die Präfixe von Google, Apple, Facebook, Microsoft». Im Jahr 2017 begann der russische Provider DV LINK seltsamerweise, Netzwerke von Google, Apple, Facebook, Microsoft und einigen anderen großen Akteuren anzukündigen.

„eNet aus den USA übernahm die Präfixe von AWS Route53 und MyEtherwallet“. Im Jahr 2018 kündigte ein Provider aus Ohio oder dessen Kunde die Netzwerke von Amazon Route53 und dem Krypto-Wallet MyEtherwallet an. Der Angriff war erfolgreich: Trotz des selbstsignierten Zertifikats, das beim Besuch der MyEtherwallet-Seite eine Warnung anzeigte, wurden viele Wallets kompromittiert und ein Teil der Kryptowährung gestohlen.

Allein im Jahr 2017 gab es über 14.000 solcher Vorfälle! Das Netzwerk ist immer noch dezentralisiert, weshalb nicht alles und nicht jeder betroffen ist. Aber die Vorfälle häufen sich in Tausenden, und sie alle stehen im Zusammenhang mit dem BGP-Protokoll, auf dem das Internet basiert.

BGP und seine Probleme

Protokoll BGP – Border Gateway Protocol, wurde erstmals 1989 von zwei Ingenieuren von IBM und Cisco Systems auf drei „Servietten“ – Blatt Papier im A4-Format – beschrieben. Diese „Servietten“ liegen bis heute als Relikt der Netzwerkwelt im Hauptsitz von Cisco Systems in San Francisco.

Im Kern des Protokolls steht die Interaktion autonomer Systeme — Autonome Systeme, kurz AS. Ein autonomes System ist einfach eine bestimmte ID, die in einem öffentlichen Register für IP-Netze verankert ist. Ein Router mit dieser ID kann diese Netze der Welt bekanntgeben. Entsprechend lässt sich jeder Internetweg als ein Vektor darstellen, der als AS-Pfad. Der Vektor besteht aus den Nummern der autonomen Systeme, die durchlaufen werden müssen, um das Zielnetz zu erreichen.

Zum Beispiel gibt es ein Netz aus mehreren autonomen Systemen. Man möchte von dem System AS65001 zu dem System AS65003 gelangen. Der Weg von einem System wird auf dem Diagramm als AS-Pfad dargestellt. Dieser besteht aus zwei autonomen Systemen: 65002 und 65003. Für jede Zieladresse gibt es einen AS-Pfad-Vektor, der aus den Nummern der autonomen Systeme besteht, die wir durchlaufen müssen.

Warum ist das Internet noch online?

Was sind also die Probleme von BGP?

BGP ist ein Vertrauensprotokoll.

Der BGP-Protokoll ist trust-based. Das bedeutet, dass wir standardmäßig unserem Nachbarn vertrauen. Diese Eigenschaft gilt für viele Protokolle, die in den Anfangstagen des Internets entwickelt wurden. Lassen Sie uns klären, was "vertrauen" bedeutet.

Es gibt keine Authentifizierung des Nachbarn. Formal gibt es MD5, aber MD5 im Jahr 2019 — naja...

Es gibt keine FilterungBGP hat Filter, die zwar beschrieben sind, jedoch entweder nicht verwendet oder falsch genutzt werden. Ich werde später erklären, warum.

Es ist sehr einfach, Nachbarschaften einzurichten.Die Konfiguration einer Nachbarschaft im BGP-Protokoll erfolgt fast auf jedem Router mit ein paar Zeilen an Einstellungen.

Es sind keine speziellen Berechtigungen für die Verwaltung von BGP erforderlich.Es ist keine Prüfung erforderlich, um Ihre Qualifikation nachzuweisen. Niemand wird Ihnen die Berechtigung für die Konfiguration von BGP entziehen, selbst wenn Sie es im angetrunkenen Zustand tun.

Zwei Hauptprobleme.

Prefix-Hijacking.Beim Hijacking wird ein Netzwerk angekündigt, das Ihnen nicht gehört, wie im Fall von MyEtherwallet. Wir haben einige Prefixe übernommen, uns mit dem Anbieter geeinigt oder ihn gehackt, und kündigen über ihn diese Netzwerke an.

Route-Leaks.Mit Leaks ist es etwas komplizierter. Ein Leak bedeutet eine Änderung des AS-Pfades.Im besten Fall führt die Änderung zu einer höheren Latenz, da ein längerer oder weniger leistungsstarker Link genutzt werden muss. Im schlimmsten Fall wiederholt sich der Fall von Google und Japan.

Google ist weder Betreiber noch ein transitives autonomes System. Als er jedoch seinem Netzwerkprovider von den japanischen Betreibern informierte, wurde der Verkehr über Google im AS-Path als priorisierter angesehen. Der Verkehr wurde dorthin geleitet und fiel einfach aus, weil die Routing-Einstellungen innerhalb von Google komplexer sind als nur Filter an der Grenze.

Warum funktionieren die Filter nicht?

Es interessiert niemanden.. Das ist der Hauptgrund – es ist allen egal. Ein Administrator eines kleinen Providers oder eines Unternehmens, das über BGP mit einem Provider verbunden ist, hat vielleicht MikroTik verwendet, um BGP einzurichten, und weiß nicht einmal, dass man dort Filter konfigurieren kann.

Konfigurationsfehler. Irgendetwas wurde debuggt, ein Fehler in der Maske, das falsche Netz wurde eingerichtet – und da ist sie wieder, die Fehlermeldung.

Es gibt keine technischen Möglichkeiten. Zum Beispiel haben Kommunikationsprovider viele Kunden. Intelligenterweise sollten die Filter für jeden Kunden automatisch aktualisiert werden – man muss darauf achten, dass er ein neues Netz hat, dass er sein Netz jemandem vermietet hat. Daran zu arbeiten ist kompliziert, und von Hand ist es noch schwieriger. Deshalb werden einfach entspannte Filter eingesetzt oder es werden gar keine Filter eingerichtet.

Ausnahmen. Es gibt Ausnahmen für bevorzugte und große Kunden. Besonders im Falle von Interoperabilitätsverbindungen. Zum Beispiel haben TransTeleCom und Rostelecom eine Vielzahl von Netzen und zwischen ihnen eine Verbindung. Wenn die Verbindung ausfällt, wird es für niemanden gut sein, daher werden die Filter gelockert oder ganz entfernt.

Veraltete oder nicht aktuelle Informationen im IRR. Die Filter basieren auf Informationen, die im IRR – Internet Routing Registry. Das sind Register der regionalen Internet-Registratoren. Oft sind in den Registern veraltete oder nicht aktuelle Informationen enthalten, oder alles zusammen.

Wer sind diese Registratoren?

Warum ist das Internet noch online?

Alle Adressen im Internet gehören der Organisation IANA – Internet Assigned Numbers Authority. Wenn Sie von jemandem ein IP-Netz kaufen, erwerben Sie nicht die Adressen, sondern das Recht zu deren Nutzung. Adressen sind eine immaterielle Ressource, und laut allgemeiner Vereinbarung gehören sie alle der IANA-Agentur.

Das System funktioniert so. IANA delegiert die Verwaltung der IP-Adressen und autonomen Systemnummern an fünf regionale Registratoren. Diese vergeben autonome Systeme LIR – lokalen Internet-Registratoren. Die LIR weisen dann IP-Adressen an Endbenutzer zu.

Das Problem des Systems ist, dass jeder regionale Registrar seine eigenen Verzeichnisse auf eigene Art und Weise führt. Jeder hat seine eigene Meinung darüber, welche Informationen in den Verzeichnissen enthalten sein sollten und wer sie überprüfen darf oder nicht. Das Resultat ist das Chaos, das wir derzeit haben.

Wie kann man noch gegen diese Probleme angehen?

IRR - mäßige Qualität. Bei IRR ist es klar - dort läuft alles schlecht.

BGP-Communities. Das ist ein gewisses Attribut, das im Protokoll beschrieben ist. Wir können beispielsweise eine spezielle Community an unsere Ankündigung anhängen, damit Nachbarn unsere Netze nicht an ihre Nachbarn weitergeben. Wenn wir eine P2P-Verbindung haben, tauschen wir nur unsere eigenen Netze aus. Um zu verhindern, dass die Route versehentlich in andere Netze geht, hängen wir eine Community an.

Communities sind nicht transitiv. Es ist immer ein Vertrag zwischen zwei Parteien, und das ist ihr Mangel. Wir können keine Community aufdrängen, außer einer, die standardmäßig von allen akzeptiert wird. Wir können uns nicht sicher sein, dass diese Community alle akzeptiert und richtig interpretiert. Daher, im besten Fall, wenn Sie sich mit Ihrem Uplink einigen, versteht er, was Sie von ihm in Bezug auf die Community möchten. Aber vielleicht versteht sein Nachbar es nicht, oder der Betreiber wird einfach Ihr Tag entfernt, und Sie erreichen nicht, was Sie wollten.

RPKI + ROA löst nur einen kleinen Teil der Probleme. RPKI ist Resource Public Key Infrastructure  — ein spezielles Framework zur Signierung von Routing-Informationen. Eine gute Idee, um LIRs und deren Kunden zu zwingen, eine aktuelle Datenbank des Adressraums zu führen. Aber es gibt ein Problem damit.

RPKI ist auch ein hierarchisches System öffentlicher Schlüssel. IANA hat einen Schlüssel, von dem die RIR-Schlüssel abgeleitet werden, und von diesen die LIR-Schlüssel, mit denen sie ihren Adressraum mithilfe von ROAs - Route Origin Authorisations - signieren:

— Ich garantiere, dass dieses Präfix im Namen dieser autonomen Systeme angekündigt wird.

Neben ROA gibt es auch andere Objekte, aber darüber später. Es scheint, dass es sich um eine gute und nützliche Sache handelt. Aber sie schützt uns überhaupt nicht vor Lecks und löst nicht alle Probleme mit Prefix-Übernahmen. Deshalb sind die Akteure nicht wirklich eilig, sie zu implementieren. Obwohl große Spieler wie AT&T und große IXs bereits zugesichert haben, dass Prefixe mit ungültigem ROA-Eintrag verworfen werden.

Möglicherweise werden sie das tun, aber im Moment haben wir eine enorme Anzahl an Prefixen, die überhaupt nicht signiert sind. Einerseits ist unklar, ob sie gültig angekündigt werden. Andererseits können wir sie standardmäßig nicht verwerfen, weil wir uns nicht sicher sind, ob das richtig ist oder nicht.

Was gibt es noch?

BGPSec. Das ist eine coole Sache, die Akademiker für das Netzwerk der rosa Ponys erfunden haben. Sie sagten:

— Wir haben RPKI + ROA – einen Mechanismus zur Bestätigung der Signatur des Adressraums. Lassen Sie uns einen separaten BGP-Attribut einführen und es BGPSec Path nennen. Jeder Router wird seine eigenen Ankündigungen mit seiner Signatur signieren, die er seinen Nachbarn ankündigt. So erhalten wir einen vertrauenswürdigen Pfad aus einer Kette von signierten Ankündigungen und können ihn überprüfen.

In der Theorie klingt es gut, aber in der Praxis gibt es viele Probleme. BGPSec bricht viele bestehende BGP-Mechanismen zur Auswahl des Next-Hops und zur Verwaltung des eingehenden/ausgehenden Datenverkehrs direkt auf dem Router. BGPSec funktioniert nicht, solange es nicht von 95 % der Marktteilnehmer implementiert wird, was an sich schon utopisch ist.

BGPSec hat massive Leistungsprobleme. Auf der aktuellen Hardware beträgt die Überprüfungsgeschwindigkeit von Ankündigungen etwa 50 Präfixe pro Sekunde. Zum Vergleich: Die aktuelle Internet-Tabelle mit 700.000 Präfixen würde 5 Stunden dauern, in denen sich in der Zwischenzeit 10 weitere ändern könnten.

BGP Open Policy (rollenbasierter BGP). Ein neues Angebot basierend auf dem Modell Gao-Rexford. Dies sind zwei Wissenschaftler, die BGP-Forschung betreiben.

Das Gao-Rexford-Modell funktioniert folgendermaßen. Vereinfacht gesagt, bei BGP gibt es eine kleine Anzahl von Interaktionstypen:

  • Provider-Kunde;
  • P2P;
  • interne Interaktion, sagen wir, iBGP.

Basierend auf der Rolle des Routers können bereits Standards für Import/Export-Politiken festgelegt werden. Der Administrator muss keine Präfixlisten konfigurieren. Gemäß der genannten Rolle, die zwischen den Routern vereinbart wird und die eingestellt werden kann, erhalten wir bereits einige Standardfilter. Momentan handelt es sich um einen Entwurf, der in der IETF diskutiert wird. Ich hoffe, dass wir dies bald in Form eines RFC und als Implementierung auf Hardware sehen werden.

Große Internetanbieter

Betrachten wir ein Beispiel eines Anbieters CenturyLink. Dies ist der drittgrößte Anbieter in den USA, der 37 Bundesstaaten bedient und 15 Rechenzentren betreibt. 

Im Dezember 2018 hatte CenturyLink in den USA einen Ausfall von 50 Stunden. Während des Vorfalls gab es Probleme mit Geldautomaten in zwei Bundesstaaten, und die Notrufnummer 911 war in fünf Bundesstaaten mehrere Stunden lang nicht erreichbar. Außerdem wurde die Lotterie in Idaho ausgefallen. Infolge dieses Vorfalls leitet die US-amerikanische Kommunikationskommission derzeit eine Untersuchung ein.

Die Ursache des Vorfalls war ein fehlerhaftes Netzwerkinterface in einem Rechenzentrum. Die Karte war defekt, sendete falsche Pakete, und alle 15 Rechenzentren des Anbieters fielen aus.

Warum ist das Internet noch online?

Das Konzept hat für diesen Anbieter nicht funktioniert. „Zu groß, um zu fallen“. Diese Idee funktioniert überhaupt nicht. Man kann jeden großen Akteur nehmen und ihn durch eine Kleinigkeit zum Fall bringen. In den USA sieht die Situation bezüglich der Anbindung noch gut aus. Kunden von CenturyLink, die ein Backup hatten, sind massenhaft zu ihm gewechselt. Danach beschwerten sich alternative Anbieter über die Überlastung ihrer Verbindung.

Wenn das hypothetische „Kazakhtelecom“ ausfällt, bleibt das ganze Land ohne Internet.

Konzerne

Hängt das Internet wohl von Google, Amazon, Facebook und anderen Konzernen ab? Nein, die brechen es ebenfalls.

Im Jahr 2017 auf der ENOG13-Konferenz in St. Petersburg Jeff Houston von APNIC den Vortrag „Der Tod des Transits“. In ihm wird gesagt, dass wir uns daran gewöhnt haben, dass Interaktionen, Geldströme und Traffic im Internet vertikal verlaufen. Wir haben kleine Anbieter, die für die Anbindung an größere zahlen, und diese zahlen dann für die Anbindung an den globalen Transit.

Warum ist das Internet noch online?

Aktuell haben wir eine solche vertikal orientierte Struktur. Das wäre in Ordnung, aber die Welt verändert sich – große Akteure bauen ihre transozeanischen Kabel für den Aufbau eigener Backbones.

Warum ist das Internet noch online?
Nachricht über das CDN-Kabel.

Im Jahr 2018 veröffentlichte TeleGeography eine Studie, die zeigt, dass mehr als die Hälfte des Internetverkehrs nicht mehr das klassische Internet, sondern die Backbones von großen CDN-Anbietern ist. Dieser Verkehr steht zwar in Verbindung mit dem Internet, gehört jedoch nicht mehr zu dem Netzwerk, über das wir früher gesprochen haben.

Warum ist das Internet noch online?

Das Internet zerfällt in eine große Anzahl schwach miteinander verbundener Netzwerke.

Microsoft hat sein eigenes Netzwerk, Google hat seines, und die beiden überschneiden sich kaum. Der Verkehr, der irgendwo in den USA entstanden ist, verläuft über die Kanäle von Microsoft über den Ozean nach Europa, irgendwo über ein CDN, und verbindet sich dann entweder über ein CDN oder einen IX mit Ihrem Anbieter und gelangt zu Ihrem Router.

Die Dezentralisierung verschwindet.

Diese Stärke des Internets, die ihm helfen könnte, nach einer nuklearen Explosion zu überleben, geht verloren. Es entstehen Konzentrationsstellen für Nutzer und Verkehr. Wenn Google Cloud ausfallen sollte, wären viele gleichzeitig betroffen. Teilweise haben wir dies bereits gespürt, als Roskomnadsor AWS blockierte. Das Beispiel von CenturyLink zeigt, dass es dafür oft nur Kleinigkeiten bedarf.

Früher brach nicht alles und nicht bei jedem zusammen. In Zukunft könnten wir an den Punkt kommen, an dem man durch einen Einfluss auf einen großen Akteur viel mehr kaputtmachen kann, an vielen Orten und bei vielen.

Staaten

Die folgenden Staaten stehen oft auf der Liste.

Warum ist das Internet noch online?

Hier ist unser Roskomnadsor überhaupt nicht der erste. Ähnliche Praktiken des Internet-Shutdowns gibt es im Iran, Indien und Pakistan. In England gibt es einen Gesetzesentwurf über die Möglichkeit, das Internet abzuschalten.

Jeder große Staat möchte einen Schalter haben, um das Internet entweder vollständig oder teilweise abzuschalten: Twitter, Telegram, Facebook. Sie wissen, dass es ihnen niemals gelingen wird, aber sie wünschen es sich sehr. Der Schalter wird in der Regel aus politischen Gründen verwendet – um politische Konkurrenten zu beseitigen, oder wenn Wahlen vor der Tür stehen, oder wenn russische Hacker wieder etwas gehackt haben.

DDoS-Angriffe

Ich möchte den Kollegen von Qrator Labs nicht das Brot wegnehmen, sie machen das viel besser als ich. Sie haben einen Jahresbericht zur Stabilität des Internets. Und hier ist, was sie im Bericht für 2018 geschrieben haben.

Die durchschnittliche Dauer von DDoS-Angriffen sinkt auf 2,5 Stunden. Auch die Angreifer beginnen, Geld zu zählen, und wenn die Ressource nicht sofort ausfällt, lassen sie sie schnell in Ruhe.

Die Intensität der Angriffe steigt. Im Jahr 2018 haben wir 1,7 Tb/s im Akamai-Netzwerk gesehen, und das ist nicht das Ende.

Es entstehen neue Angriffsvektoren und bestehende werden verstärkt.Neue Protokolle sind anfällig für Amplifikation, während neue Angriffe auf bestehende Protokolle, insbesondere TLS und ähnliche, auftauchen.

Der Großteil des Traffics kommt von mobilen Geräten.Das Internet-Traffic verlagert sich auf mobile Clients. Sowohl Angreifer als auch Verteidiger müssen damit umgehen können.

Es gibt keine Unverwundbaren.Das ist die Hauptaugenmerk - es gibt und wird keinen universellen Schutz geben, der vor jedem DDoS-Angriff schützt.

Ein System kann nicht lahmgelegt werden, solange es nicht mit dem Internet verbunden ist.

Ich hoffe, ich habe Sie genug beunruhigt. Lassen Sie uns nun überlegen, was wir dagegen tun können.

Was tun?!

Wenn Sie Zeit, Lust und Englischkenntnisse haben - beteiligen Sie sich an Arbeitsgruppen: IETF, RIPE WG. Dies sind offene Mailinglisten, abonnieren Sie die Newsletter, nehmen Sie an Diskussionen teil und besuchen Sie Konferenzen. Wenn Sie den Status LIR haben, dürfen Sie beispielsweise bei RIPE über verschiedene Initiativen abstimmen.

Für einfache Sterbliche ist das Monitoring. Um zu wissen, was kaputt ist.

Monitoring: Was zu überprüfen ist?

Normaler Ping, wobei nicht nur die binäre Überprüfung - funktioniert oder nicht. Zeichnen Sie die RTT in die Historie auf, um später Anomalien zu erkennen.

Traceroute. Dies ist ein Dienstprogramm zur Bestimmung der Routen von Daten in TCP/IP-Netzen. Es hilft, Anomalien und Blockaden zu identifizieren.

HTTP-Checks - Überprüfungen von benutzerdefinierten URLs und TLS-Zertifikaten werden helfen, Blockaden oder DNS-Manipulationen für Angriffe zu entdecken, die praktisch dasselbe sind. Blockaden werden oft durch DNS-Manipulationen und durch das Umleiten des Datenverkehrs auf eine Stoppseite durchgeführt.

Wenn möglich, überprüfen Sie das Resolve Ihres Ursprungs aus verschiedenen Orten für Ihre Kunden, insbesondere wenn Sie eine App haben. So können Sie Anomalien beim DNS-Intercept erkennen, die manchmal von Anbietern verursacht werden.

Monitoring: Wo prüfen?

Eine universelle Antwort gibt es nicht. Prüfen Sie von dort, wo der Benutzer kommt. Wenn die Benutzer in Russland sind - überprüfen Sie aus Russland, aber beschränken Sie sich nicht darauf. Wenn Ihre Benutzer in verschiedenen Regionen leben - überprüfen Sie aus diesen Regionen. Am besten wäre von überall auf der Welt.

Monitoring: Mit was prüfen?

Ich habe mir drei Methoden ausgedacht. Wenn Sie mehr wissen, schreiben Sie es in die Kommentare.

  • RIPE Atlas.
  • Kommerzielles Monitoring.
  • Eigene virtuelle Netzwerke.

Lassen Sie uns über jedes einzelne davon sprechen.

RIPE Atlas — das ist so eine kleine Box. Für diejenigen, die den heimischen «Revisor» kennen — das ist die gleiche Box, aber mit einem anderen Aufkleber.

Warum ist das Internet noch online?

RIPE Atlas — ein kostenloses Programm. Sie registrieren sich, erhalten einen Router per Post und schließen ihn ans Netz an. Dafür, dass jemand anderes Ihre Probe nutzt, bekommen Sie einige Credits gutgeschrieben. Mit diesen Credits können Sie eigene Forschungen durchführen. Man kann unterschiedlich testen: ping, traceroute, Zertifikate überprüfen. Die Abdeckung ist ziemlich groß, es gibt viele Knoten. Aber es gibt auch Feinheiten.

Das Kreditsystem erlaubt es nicht, Produktionslösungen aufzubauen. Die Credits reichen nicht für kontinuierliche Forschung oder kommerzielle Überwachung. Sie reichen für eine kurze Untersuchung oder eine einmalige Prüfung. Ein Tageskontingent wird durch 1-2 Prüfungen aufgebraucht.

Die Abdeckung ist ungleichmäßig. Da das Programm in beide Richtungen kostenlos ist, ist die Abdeckung in Europa, im europäischen Teil Russlands und in einigen Regionen gut. Aber wenn Sie Indonesien oder Neuseeland benötigen, ist es viel schlechter — 50 Proben pro Land könnten nicht erreicht werden.

HTTP kann nicht anhand der Probe überprüft werden.. Dies liegt an technischen Feinheiten. Man verspricht, dies in der neuen Version zu beheben, aber momentan kann http nicht überprüft werden. Es kann nur das Zertifikat geprüft werden. Eine Art http-Überprüfung kann nur bis zu einem speziellen Gerät, dem RIPE Atlas, durchgeführt werden, das Anchor genannt wird.

Eine zweite Möglichkeit ist kommerzielles Monitoring.. Damit ist alles gut, zahlen Sie schließlich dafür? Ihnen werden mehrere Dutzend oder hunderte von Monitoringpunkten weltweit versprochen, die schönen Dashboards „aus der Box“ zeigen. Aber auch hier gibt es Probleme.

Das ist kostenpflichtig, stellenweise sehr!. Das Monitoring per Ping, Überprüfungen von überall auf der Welt und zahlreiche http-Prüfungen können mehrere tausend Dollar pro Jahr kosten. Wenn das Budget es zulässt und Ihnen diese Lösung gefällt - bitte.

Die Abdeckung könnte in der gewünschten Region unzureichend sein.. Mit dem Ping werden maximal immer nur abstrakte Teile der Welt - Asien, Europa, Nordamerika - spezifiziert. Seltene Monitoring-Systeme können die Probe bis zu einem bestimmten Land oder einer Region detaillieren.

Schwache Unterstützung für benutzerdefinierte Tests.. Wenn Sie etwas Individuelles benötigen und nicht einfach nur ein „Ding“ auf einer URL, gibt es auch hier Probleme.

Eine dritte Möglichkeit ist eigenes Monitoring.. Das ist die klassische Methode: „Lass uns unser eigenes schreiben!“

Ihre Überwachung wird zur Entwicklung eines verteilten Softwareprodukts. Sie suchen nach einem Infrastrukturprovider, um zu sehen, wie man dies bereitstellt und überwacht – die Überwachung muss schließlich überwacht werden, oder? Außerdem ist Unterstützung notwendig. Überlegen Sie zehnmal, bevor Sie sich da hineinwagen. Vielleicht ist es einfacher, jemandem zu bezahlen, der das für Sie erledigt.

Überwachung von BGP-Anomalien und DDoS-Angriffen

Hier bei den verfügbaren Ressourcen ist alles noch einfacher. BGP-Anomalien werden mithilfe spezialisierter Dienste wie QRadar und BGPmon erkannt.Diese nehmen eine Full View-Tabelle von zahlreichen Betreibern entgegen. Basierend auf dem, was sie von verschiedenen Betreibern sehen, können sie Anomalien erkennen, Amplitude-Suchenden und mehr. In der Regel ist die Registrierung kostenlos – geben Sie Ihre ASN-Nummer an, abonnieren Sie Benachrichtigungen per E-Mail und der Service alarmiert Sie über Ihre Probleme.

Bei der Überwachung von DDoS-Angriffen ist alles ebenfalls einfach. In der Regel handelt es sich um NetFlow-basierte und Logdaten.Es gibt spezialisierte Systeme wie FastNetMonund Module für Splunk.. Für den Notfall steht Ihnen Ihr DDoS-Schutzanbieter zur Verfügung. Sie können auch NetFlow an ihn weiterleiten, und basierend darauf wird er Sie über Angriffe auf Ihre Ressourcen informieren.

Fazit

Bitte haben Sie keine Illusionen – das Internet wird zwangsläufig ausfallen.. Nicht alles wird ausfallen und nicht bei allen, aber 14.000 Vorfälle im Jahr 2017 deuten darauf hin, dass es Vorfälle geben wird.

Ihre Aufgabe ist es, Probleme so früh wie möglich zu bemerken.. Zumindest nicht später als Ihre Benutzer. Außerdem sollten Sie immer einen „Plan B“ in der Hinterhand haben. Ein Plan ist eine Strategie dafür, was Sie tun werden, wenn alles ausfällt.: Backup-Anbieter, Rechenzentren, CDN. Der Plan ist eine separate Checkliste, mit der Sie die Funktionsfähigkeit von allem überprüfen.

Der Plan sollte ohne die Beteiligung von Netzwerkingenieuren funktionieren, denn es gibt normalerweise nicht viele von ihnen, und sie möchten schlafen.

Das war's. Ich wünsche Ihnen hohe Verfügbarkeit und grüne Monitoring-Daten. Nächste Woche wird in Nowosibirsk Sonne, HighLoad und eine hohe Konzentration von Entwicklern auf der VeranstaltungHighLoad++ Sibirien 2019. Tickets zu buchen. Wir freuen uns auf Ihren Besuch in Sibirien!

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster