Das Internet scheint eine starke, unabhängige und unzerstörbare Struktur zu sein. Theoretisch ist das Netzwerk stark genug, um eine nukleare Explosion zu überstehen. In Wirklichkeit kann das Internet einen kleinen Router fallen lassen. Alles nur, weil das Internet eine Ansammlung von Widersprüchen, Schwachstellen, Fehlern und Videos über Katzen ist. Das Rückgrat des Internets, BGP, ist voller Probleme. Es ist erstaunlich, dass er noch atmet. Neben Fehlern im Internet selbst wird es auch von allen möglichen Seiten kaputt gemacht: von großen Internetprovidern, Konzernen, Staaten und DDoS-Angriffen. Was tun dagegen und wie kann man damit leben?
Kennt die Antwort Alexey Uchakin () ist der Leiter eines Teams von Netzwerkingenieuren bei IQ Option. Ihre Hauptaufgabe ist die Zugänglichkeit der Plattform für Benutzer. In der Abschrift von Alexeys Bericht über Sprechen wir über BGP, DDOS-Angriffe, Internet-Switches, Anbieterfehler, Dezentralisierung und Fälle, in denen ein kleiner Router das Internet in den Ruhezustand versetzte. Zum Schluss noch ein paar Tipps, wie man das alles übersteht.
Der Tag, an dem das Internet zusammenbrach
Ich möchte nur einige Vorfälle nennen, bei denen die Verbindung zum Internet unterbrochen wurde. Dies wird für das vollständige Bild ausreichen.
„AS7007-Vorfall“. Das erste Mal brach das Internet im April 1997 zusammen. Es gab einen Fehler in der Software eines Routers des autonomen Systems 7007. Irgendwann gab der Router seinen Nachbarn seine interne Routing-Tabelle bekannt und schickte das halbe Netzwerk in ein schwarzes Loch.
„Pakistan gegen YouTube“. Im Jahr 2008 beschlossen mutige Männer aus Pakistan, YouTube zu blockieren. Sie machten es so gut, dass die halbe Welt ohne Katzen blieb.
„Erfassung von VISA-, MasterCard- und Symantec-Präfixen durch Rostelecom“. Im Jahr 2017 begann Rostelecom fälschlicherweise mit der Ankündigung der Präfixe VISA, MasterCard und Symantec. Infolgedessen wurde der Finanzverkehr über vom Anbieter kontrollierte Kanäle geleitet. Das Leck hielt nicht lange an, war für Finanzunternehmen jedoch unangenehm.
Google gegen Japan. Im August 2017 begann Google damit, in einigen seiner Uplinks die Präfixe der großen japanischen Anbieter NTT und KDDI bekannt zu geben. Der Verkehr wurde höchstwahrscheinlich versehentlich als Transit an Google gesendet. Da Google kein Anbieter ist und keinen Transitverkehr zulässt, blieb ein erheblicher Teil Japans ohne Internet.
„DV LINK hat die Präfixe von Google, Apple, Facebook, Microsoft erfasst“. Ebenfalls im Jahr 2017 begann der russische Anbieter DV LINK aus irgendeinem Grund, die Netzwerke von Google, Apple, Facebook, Microsoft und einigen anderen großen Playern anzukündigen.
„eNet aus den USA hat AWS Route53- und MyEtherwallet-Präfixe erfasst“. Im Jahr 2018 kündigte der Ohio-Anbieter oder einer seiner Kunden die Krypto-Wallet-Netzwerke Amazon Route53 und MyEtherwallet an. Der Angriff war erfolgreich: Trotz des selbstsignierten Zertifikats, vor dem der Benutzer beim Betreten der MyEtherwallet-Website gewarnt wurde, wurden viele Wallets gekapert und ein Teil der Kryptowährung gestohlen.
Allein im Jahr 2017 gab es mehr als 14 solcher Vorfälle! Das Netzwerk ist immer noch dezentralisiert, daher bricht nicht alles und nicht jeder zusammen. Aber es gibt Tausende von Vorfällen, die alle mit dem BGP-Protokoll zusammenhängen, das das Internet antreibt.
BGP und seine Probleme
Protokoll BGP – Border Gateway Protocolwurde erstmals 1989 von zwei Ingenieuren von IBM und Cisco Systems auf drei „Servietten“ – A4-Blättern – beschrieben. Diese sitzen immer noch als Relikt der Netzwerkwelt in der Cisco Systems-Zentrale in San Francisco.
Das Protokoll basiert auf der Interaktion autonomer Systeme - Autonome Systeme oder kurz AS. Ein autonomes System ist einfach eine ID, der im öffentlichen Register IP-Netzwerke zugeordnet sind. Ein Router mit dieser ID kann diese Netzwerke der Welt bekannt geben. Dementsprechend kann jede Route im Internet als Vektor dargestellt werden, der aufgerufen wird AS-Pfad. Der Vektor besteht aus der Anzahl autonomer Systeme, die durchlaufen werden müssen, um das Zielnetzwerk zu erreichen.
Beispielsweise gibt es ein Netzwerk mehrerer autonomer Systeme. Sie müssen vom AS65001-System zum AS65003-System gelangen. Der Pfad von einem System wird im Diagramm durch AS Path dargestellt. Es besteht aus zwei autonomen Systemen: 65002 und 65003. Für jede Zieladresse gibt es einen AS-Pfadvektor, der aus der Anzahl der autonomen Systeme besteht, die wir durchlaufen müssen.
Was sind also die Probleme mit BGP?
BGP ist ein Vertrauensprotokoll
Das BGP-Protokoll basiert auf Vertrauen. Das bedeutet, dass wir unserem Nachbarn standardmäßig vertrauen. Dies ist ein Merkmal vieler Protokolle, die zu Beginn des Internets entwickelt wurden. Lassen Sie uns herausfinden, was „Vertrauen“ bedeutet.
Keine Nachbarauthentifizierung. Formal gibt es MD5, aber MD5 im Jahr 2019 ist genau das ...
Keine Filterung. BGP verfügt über Filter und diese werden beschrieben, aber sie werden nicht oder falsch verwendet. Ich werde später erklären, warum.
Es ist sehr einfach, eine Nachbarschaft einzurichten. Das Einrichten einer Nachbarschaft im BGP-Protokoll auf fast jedem Router dauert nur ein paar Zeilen der Konfiguration.
Keine BGP-Verwaltungsrechte erforderlich. Sie müssen keine Prüfungen ablegen, um Ihre Qualifikationen nachzuweisen. Niemand wird Ihnen das Recht nehmen, BGP im betrunkenen Zustand zu konfigurieren.
Zwei Hauptprobleme
Präfix-Hijacks. Beim Präfix-Hijacking wird Werbung für ein Netzwerk gemacht, das nicht Ihnen gehört, wie es bei MyEtherwallet der Fall ist. Wir haben einige Präfixe genommen, uns mit dem Anbieter geeinigt oder ihn gehackt, und dadurch kündigen wir diese Netzwerke an.
Routenlecks. Lecks sind etwas komplizierter. Leck ist eine Änderung im AS-Pfad. Im besten Fall führt die Änderung zu einer größeren Verzögerung, da Sie eine längere Strecke oder eine Verbindung mit geringerer Kapazität zurücklegen müssen. Im schlimmsten Fall wird sich der Fall mit Google und Japan wiederholen.
Google selbst ist kein Betreiber oder ein autonomes Transitsystem. Doch als er seinem Provider die Netze japanischer Betreiber ankündigte, wurde dem Verkehr über Google über AS Path eine höhere Priorität eingeräumt. Der Verkehr ging dorthin und ging einfach deshalb zurück, weil die Routing-Einstellungen in Google komplexer sind als nur Filter an der Grenze.
Warum funktionieren Filter nicht?
Niemanden interessierts. Das ist der Hauptgrund – es interessiert niemanden. Der Administrator eines kleinen Anbieters oder Unternehmens, der sich über BGP mit dem Anbieter verbunden hat, hat MikroTik genommen, BGP darauf konfiguriert und weiß nicht einmal, dass dort Filter konfiguriert werden können.
Konfigurationsfehler. Sie haben etwas vermasselt, einen Fehler bei der Maske gemacht, das falsche Netz angebracht – und jetzt ist wieder ein Fehler da.
Keine technische Möglichkeit. Telekommunikationsanbieter haben beispielsweise viele Kunden. Das Schlaue dabei ist, die Filter für jeden Kunden automatisch zu aktualisieren – um zu überwachen, dass er ein neues Netzwerk hat, dass er sein Netzwerk an jemanden vermietet hat. Es ist schwierig, dem zu folgen, und noch schwieriger ist es mit den Händen. Deshalb installieren sie einfach lockere Filter oder verzichten überhaupt auf Filter.
Ausnahmen. Ausnahmen gibt es für Stamm- und Großkunden. Insbesondere im Fall von Inter-Operator-Schnittstellen. TransTeleCom und Rostelecom verfügen beispielsweise über eine Reihe von Netzwerken und es gibt eine Schnittstelle zwischen ihnen. Wenn das Gelenk herunterfällt, ist das für niemanden gut, daher werden die Filter gelockert oder ganz entfernt.
Veraltete oder irrelevante Informationen im IRR. Filter werden auf der Grundlage der in aufgezeichneten Informationen erstellt IRR – Internet-Routing-Registrierung. Dabei handelt es sich um Register regionaler Internet-Registrare. Oftmals enthalten Register veraltete oder irrelevante Informationen oder beides.
Wer sind diese Registrare?
Alle Internetadressen gehören der Organisation IANA – Internet Assigned Numbers Authority. Wenn Sie von jemandem ein IP-Netzwerk kaufen, kaufen Sie keine Adressen, sondern das Recht, diese zu nutzen. Adressen sind eine immaterielle Ressource und nach allgemeiner Vereinbarung sind sie alle Eigentum der IANA.
Das System funktioniert so. IANA delegiert die Verwaltung von IP-Adressen und autonomen Systemnummern an fünf regionale Registrare. Sie geben autonome Systeme heraus LIR – lokale Internet-Registrare. LIRs weisen dann den Endbenutzern IP-Adressen zu.
Der Nachteil des Systems besteht darin, dass jeder der regionalen Registrare seine Register auf seine eigene Weise führt. Jeder hat seine eigene Meinung darüber, welche Informationen in Registern enthalten sein sollten und wer sie überprüfen sollte oder nicht. Das Ergebnis ist das Chaos, das wir jetzt haben.
Wie sonst können Sie diese Probleme bekämpfen?
IRR – mittelmäßige Qualität. Beim IRR ist klar, dass dort alles schlecht ist.
BGP-Communitys. Dies ist ein Attribut, das im Protokoll beschrieben wird. Wir können unserer Ankündigung beispielsweise eine spezielle Community hinzufügen, damit ein Nachbar unsere Netzwerke nicht an seine Nachbarn sendet. Wenn wir eine P2P-Verbindung haben, tauschen wir nur unsere Netzwerke aus. Um zu verhindern, dass die Route versehentlich in andere Netzwerke gelangt, fügen wir die Community hinzu.
Gemeinschaften sind nicht transitiv. Es handelt sich immer um einen Vertrag für zwei, und das ist ihr Nachteil. Wir können keine Community zuweisen, mit Ausnahme einer, die standardmäßig von allen akzeptiert wird. Wir können nicht sicher sein, dass jeder diese Gemeinschaft akzeptiert und richtig interpretiert. Wenn Sie also mit Ihrem Uplink einverstanden sind, wird er im besten Fall verstehen, was Sie in Sachen Community von ihm wollen. Aber Ihr Nachbar versteht es möglicherweise nicht, oder der Betreiber setzt Ihr Tag einfach zurück und Sie werden nicht das erreichen, was Sie wollten.
RPKI + ROA löst nur einen kleinen Teil der Probleme. RPKI ist Ressourcen-Public-Key-Infrastruktur – ein spezielles Framework zum Signieren von Routing-Informationen. Es ist eine gute Idee, LIRs und ihre Kunden zu zwingen, eine aktuelle Adressraumdatenbank zu pflegen. Aber es gibt ein Problem damit.
RPKI ist auch ein hierarchisches öffentliches Schlüsselsystem. IANA hat einen Schlüssel, aus dem RIR-Schlüssel generiert werden, und aus dem LIR-Schlüssel generiert werden? mit denen sie ihren Adressraum mittels ROAs – Route Origin Authorisations – signieren:
— Ich versichere Ihnen, dass dieser Präfix im Namen dieser autonomen Region bekannt gegeben wird.
Neben ROA gibt es noch weitere Objekte, aber dazu später mehr. Es scheint eine gute und nützliche Sache zu sein. Aber es schützt uns nicht vor Lecks durch das Wort „überhaupt“ und löst nicht alle Probleme mit Präfix-Hijacking. Daher haben die Spieler keine Eile, es umzusetzen. Allerdings gibt es bereits Zusicherungen von großen Playern wie AT&T und großen IX-Unternehmen, dass Präfixe mit einem ungültigen ROA-Eintrag gestrichen werden.
Vielleicht werden sie das tun, aber im Moment haben wir eine große Anzahl von Präfixen, die in keiner Weise signiert sind. Einerseits ist unklar, ob sie gültig angekündigt werden. Andererseits können wir sie nicht standardmäßig löschen, da wir nicht sicher sind, ob dies richtig ist oder nicht.
Was gibt es noch?
BGPSek. Das ist eine coole Sache, die sich Wissenschaftler für ein Netzwerk aus rosa Ponys ausgedacht haben. Sie sagten:
- Wir haben RPKI + ROA – einen Mechanismus zur Überprüfung von Adressraumsignaturen. Erstellen wir ein separates BGP-Attribut und nennen es BGPSec Path. Jeder Router signiert die Ankündigungen, die er seinen Nachbarn mitteilt, mit seiner eigenen Signatur. Auf diese Weise erhalten wir einen vertrauenswürdigen Pfad aus der Kette der signierten Ankündigungen und können ihn überprüfen.
Theoretisch gut, aber in der Praxis gibt es viele Probleme. BGPSec macht viele bestehende BGP-Mechanismen zur Auswahl der nächsten Hops und zur Verwaltung des eingehenden/ausgehenden Datenverkehrs direkt auf dem Router zunichte. BGPSec funktioniert erst, wenn 95 % des gesamten Marktes es implementiert haben, was an sich schon eine Utopie ist.
BGPSec hat große Leistungsprobleme. Auf der aktuellen Hardware beträgt die Geschwindigkeit der Prüfung von Ansagen etwa 50 Präfixe pro Sekunde. Zum Vergleich: Die aktuelle Internettabelle mit 700 Präfixen wird in 000 Stunden hochgeladen und ändert sich in dieser Zeit noch 5 Mal.
BGP Open Policy (Rollenbasiertes BGP). Neuer Vorschlag basierend auf dem Modell Gao-Rexford. Dies sind zwei Wissenschaftler, die BGP erforschen.
Das Gao-Rexford-Modell lautet wie folgt. Vereinfacht gesagt gibt es bei BGP eine kleine Anzahl von Interaktionstypen:
- Anbieter-Kunde;
- P2P;
- interne Kommunikation, sagen wir iBGP.
Basierend auf der Rolle des Routers ist es bereits möglich, bestimmte Import-/Export-Richtlinien standardmäßig zuzuweisen. Der Administrator muss keine Präfixlisten konfigurieren. Basierend auf der Rolle, die die Router untereinander vereinbaren und die eingestellt werden kann, erhalten wir bereits einige Standardfilter. Dies ist derzeit ein Entwurf, der in der IETF diskutiert wird. Ich hoffe, dass wir dies bald in Form eines RFC und einer Implementierung auf Hardware sehen werden.
Große Internetanbieter
Schauen wir uns das Beispiel eines Anbieters an Century. Es ist der drittgrößte US-Anbieter, bedient 37 Bundesstaaten und verfügt über 15 Rechenzentren.
Im Dezember 2018 war CenturyLink 50 Stunden lang auf dem US-Markt. Während des Vorfalls gab es in zwei Bundesstaaten Probleme mit dem Betrieb von Geldautomaten und in fünf Bundesstaaten war die Notrufnummer 911 mehrere Stunden lang nicht erreichbar. Die Lotterie in Idaho war völlig ruiniert. Der Vorfall wird derzeit von der US-amerikanischen Telekommunikationskommission untersucht.
Die Ursache der Tragödie war eine Netzwerkkarte in einem Rechenzentrum. Die Karte versagte, es wurden falsche Pakete gesendet und alle 15 Rechenzentren des Anbieters fielen aus.
Bei diesem Anbieter hat die Idee nicht funktioniert „Zu groß zum Fallen“. Diese Idee funktioniert überhaupt nicht. Sie können jeden großen Spieler nehmen und ein paar kleine Dinge oben drauf legen. Den USA geht es mit der Konnektivität immer noch gut. CenturyLink-Kunden, die über eine Reserve verfügten, stiegen in Scharen ein. Dann beschwerten sich alternative Betreiber über eine Überlastung ihrer Links.
Wenn die bedingte kasachische Telekommunikation fällt, bleibt das ganze Land ohne Internet.
Unternehmen
Vermutlich unterstützen Google, Amazon, Facebook und andere Konzerne das Internet? Nein, sie machen es auch kaputt.
2017 in St. Petersburg auf der ENOG13-Konferenz Jeff Houston von APNIC eingeführt . Darin heißt es, dass wir es gewohnt sind, dass Interaktionen, Geldströme und Verkehr im Internet vertikal verlaufen. Wir haben kleine Anbieter, die für die Anbindung an größere Anbieter zahlen, und sie zahlen bereits für die Anbindung an den globalen Nahverkehr.
Jetzt haben wir eine solche vertikal ausgerichtete Struktur. Alles wäre gut, aber die Welt verändert sich – große Akteure bauen ihre transozeanischen Kabel, um ihr eigenes Rückgrat aufzubauen.
Neuigkeiten über CDN-Kabel.
Im Jahr 2018 veröffentlichte TeleGeography eine Studie, die besagt, dass mehr als die Hälfte des Datenverkehrs im Internet nicht mehr über das Internet, sondern über das Backbone-CDN großer Player erfolgt. Hierbei handelt es sich um Datenverkehr, der mit dem Internet zusammenhängt, es handelt sich jedoch nicht mehr um das Netzwerk, über das wir gesprochen haben.
Das Internet zerfällt in eine große Menge lose verbundener Netzwerke.
Microsoft hat sein eigenes Netzwerk, Google hat sein eigenes und es gibt kaum Überschneidungen untereinander. Datenverkehr, der irgendwo in den USA entsteht, wird über Microsoft-Kanäle über den Ozean irgendwo auf einem CDN nach Europa geleitet, dann über CDN oder IX mit Ihrem Provider verbunden und gelangt zu Ihrem Router.
Die Dezentralisierung verschwindet.
Diese Stärke des Internets, die ihm helfen wird, eine nukleare Explosion zu überleben, geht verloren. Es entstehen Orte der Konzentration von Nutzern und Verkehr. Wenn die bedingte Google Cloud fällt, wird es viele Opfer auf einmal geben. Das haben wir zum Teil gespürt, als Roskomnadzor AWS blockierte. Und das Beispiel CenturyLink zeigt, dass dafür schon Kleinigkeiten ausreichen.
Früher war nicht alles und nicht jeder kaputt. In Zukunft könnten wir zu dem Schluss kommen, dass wir durch die Beeinflussung eines großen Akteurs viele Dinge zerstören können, an vielen Orten und bei vielen Menschen.
Staaten
Als nächstes stehen die Staaten an der Reihe, und das passiert ihnen normalerweise.
Hier ist unser Roskomnadzor überhaupt kein Pionier. Eine ähnliche Praxis der Internetabschaltung gibt es im Iran, in Indien und Pakistan. In England gibt es einen Gesetzentwurf zur Möglichkeit der Abschaltung des Internets.
Jeder große Staat möchte einen Schalter bekommen, um das Internet ganz oder teilweise abzuschalten: Twitter, Telegram, Facebook. Es ist nicht so, dass sie nicht verstehen, dass sie nie Erfolg haben werden, aber sie wollen es wirklich. Der Schalter wird in der Regel für politische Zwecke genutzt – um politische Konkurrenten auszuschalten, oder es stehen Wahlen bevor oder russische Hacker haben wieder etwas kaputt gemacht.
DDoS-Angriffe
Ich werde meinen Kameraden von Qrator Labs kein Brot wegnehmen, sie machen es viel besser als ich. Sie haben zur Internetstabilität. Und das haben sie im Bericht 2018 geschrieben.
Die durchschnittliche Dauer von DDoS-Angriffen sinkt auf 2.5 Stunden. Die Angreifer beginnen auch, Geld zu zählen, und wenn die Ressource nicht sofort verfügbar ist, lassen sie sie schnell liegen.
Die Intensität der Angriffe nimmt zu. Im Jahr 2018 haben wir im Akamai-Netzwerk 1.7 Tbit/s gesehen, und das ist nicht die Grenze.
Neue Angriffsvektoren entstehen und alte verstärken sich. Es entstehen neue Protokolle, die anfällig für Verstärkung sind, und es entstehen neue Angriffe auf bestehende Protokolle, insbesondere TLS und dergleichen.
Der Großteil des Datenverkehrs kommt von mobilen Geräten. Gleichzeitig verlagert sich der Internetverkehr auf mobile Clients. Sowohl diejenigen, die angreifen, als auch diejenigen, die verteidigen, müssen damit arbeiten können.
Unverwundbar – nein. Das ist der Grundgedanke: Es gibt keinen universellen Schutz, der definitiv vor DDoS schützt.
Das System kann nur installiert werden, wenn es mit dem Internet verbunden ist.
Ich hoffe, ich habe dir genug Angst gemacht. Lassen Sie uns nun darüber nachdenken, was wir dagegen tun können.
Was zu tun ist?!
Wenn Sie Freizeit, Lust und Englischkenntnisse haben, nehmen Sie an Arbeitsgruppen teil: IETF, RIPE WG. Dies sind offene Mailinglisten, Abonnieren von Mailinglisten, Teilnahme an Diskussionen, Teilnahme an Konferenzen. Wenn Sie den LIR-Status haben, können Sie beispielsweise in RIPE für verschiedene Initiativen stimmen.
Für Normalsterbliche gilt das Überwachung. Um zu wissen, was kaputt ist.
Überwachung: Was ist zu prüfen?
Normaler Ping, und nicht nur eine binäre Prüfung - ob es funktioniert oder nicht. Zeichnen Sie die RTT im Verlauf auf, damit Sie sich später Anomalien ansehen können.
Traceroute. Dabei handelt es sich um ein Hilfsprogramm zur Ermittlung von Datenrouten in TCP/IP-Netzwerken. Hilft bei der Identifizierung von Anomalien und Blockaden.
HTTP prüft auf benutzerdefinierte URLs und TLS-Zertifikate hilft dabei, Blockierungen oder DNS-Spoofing für einen Angriff zu erkennen, was praktisch dasselbe ist. Die Blockierung erfolgt häufig durch DNS-Spoofing und durch Umleiten des Datenverkehrs auf eine Stub-Seite.
Wenn Sie eine Bewerbung haben, überprüfen Sie nach Möglichkeit die Entschlossenheit Ihrer Kunden über Ihre Herkunft aus verschiedenen Orten. Dies wird Ihnen helfen, DNS-Hijacking-Anomalien zu erkennen, was bei Anbietern manchmal der Fall ist.
Überwachung: Wo prüfen?
Eine allgemeingültige Antwort gibt es nicht. Überprüfen Sie, woher der Benutzer kommt. Wenn sich Benutzer in Russland befinden, schauen Sie von Russland aus nach, aber beschränken Sie sich nicht darauf. Wenn Ihre Benutzer in verschiedenen Regionen leben, prüfen Sie diese Regionen. Aber besser aus aller Welt.
Überwachung: Was ist zu prüfen?
Ich habe mir drei Möglichkeiten ausgedacht. Wenn Sie mehr wissen, schreiben Sie in die Kommentare.
- RIPE-Atlas.
- Kommerzielle Überwachung.
- Ihr eigenes Netzwerk virtueller Maschinen.
Lassen Sie uns über jeden von ihnen sprechen.
RIPE-Atlas - Es ist so eine kleine Kiste. Für diejenigen, die den heimischen „Inspektor“ kennen – das ist die gleiche Box, aber mit einem anderen Aufkleber.
RIPE Atlas ist ein kostenloses Programm. Sie registrieren sich, erhalten per Post einen Router und schließen ihn an das Netzwerk an. Dafür, dass jemand anderes Ihre Probe verwendet, erhalten Sie eine Gutschrift. Mit diesen Krediten können Sie selbst etwas recherchieren. Sie können auf verschiedene Arten testen: Ping, Traceroute, Zertifikate prüfen. Die Abdeckung ist ziemlich groß, es gibt viele Knoten. Aber es gibt Nuancen.
Das Kreditsystem erlaubt den Aufbau von Produktionslösungen nicht. Es werden nicht genügend Credits für laufende Forschung oder kommerzielle Überwachung vorhanden sein. Die Credits reichen für ein Kurzstudium oder einen einmaligen Check. Die Tagesnorm einer Probe wird durch 1-2 Kontrollen verbraucht.
Die Abdeckung ist ungleichmäßig. Da das Programm in beide Richtungen kostenlos ist, ist die Abdeckung in Europa, im europäischen Teil Russlands und einigen Regionen gut. Wenn Sie jedoch Indonesien oder Neuseeland benötigen, ist alles noch viel schlimmer – Sie haben möglicherweise nicht 50 Proben pro Land.
Sie können http nicht anhand eines Beispiels überprüfen. Dies ist auf technische Nuancen zurückzuführen. Sie versprechen, das Problem in der neuen Version zu beheben, aber http kann derzeit nicht überprüft werden. Nur das Zertifikat kann überprüft werden. Eine Art HTTP-Prüfung kann nur mit einem speziellen RIPE Atlas-Gerät namens Anchor durchgeführt werden.
Die zweite Methode ist die kommerzielle Überwachung. Bei ihm ist alles in Ordnung, du bezahlst Geld, oder? Sie versprechen Ihnen mehrere Dutzend oder Hunderte von Überwachungspunkten auf der ganzen Welt und bieten sofort nach dem Auspacken wunderschöne Dashboards. Aber auch hier gibt es Probleme.
Es wird bezahlt, an manchen Orten ist es sehr. Ping-Überwachung, weltweite Prüfungen und viele HTTP-Prüfungen können mehrere tausend Dollar pro Jahr kosten. Wenn es die Finanzen zulassen und Ihnen diese Lösung gefällt, machen Sie weiter.
Die Abdeckung in der gewünschten Region ist möglicherweise nicht ausreichend. Mit dem gleichen Ping wird maximal ein abstrakter Teil der Welt angegeben – Asien, Europa, Nordamerika. Seltene Überwachungssysteme können einen Drilldown auf ein bestimmtes Land oder eine bestimmte Region durchführen.
Schwache Unterstützung für benutzerdefinierte Tests. Wenn Sie etwas Benutzerdefiniertes benötigen und nicht nur ein „geschweiftes“ Element in der URL, dann gibt es auch damit Probleme.
Der dritte Weg ist Ihre Überwachung. Das ist ein Klassiker: „Lasst uns unsere eigenen schreiben!“
Ihre Überwachung wird zur Entwicklung eines Softwareprodukts, und zwar eines verteilten. Sie sind auf der Suche nach einem Infrastrukturanbieter und schauen sich an, wie man ihn bereitstellt und überwacht – Überwachung muss überwacht werden, oder? Und auch Unterstützung ist gefragt. Denken Sie zehnmal nach, bevor Sie sich darauf einlassen. Möglicherweise ist es einfacher, jemanden dafür zu bezahlen, dies für Sie zu tun.
Überwachung von BGP-Anomalien und DDoS-Angriffen
Hier ist aufgrund der verfügbaren Ressourcen alles noch einfacher. BGP-Anomalien werden mithilfe spezialisierter Dienste wie QRadar und BGPmon erkannt. Sie akzeptieren eine vollständige Ansichtstabelle von mehreren Operatoren. Basierend auf dem, was sie von verschiedenen Bedienern sehen, können sie Anomalien erkennen, nach Verstärkern suchen und so weiter. Die Registrierung ist in der Regel kostenlos – Sie geben Ihre Telefonnummer ein, abonnieren E-Mail-Benachrichtigungen und der Dienst benachrichtigt Sie über Ihre Probleme.
Auch die Überwachung von DDoS-Angriffen ist einfach. Typischerweise ist dies der Fall NetFlow-basiert und Protokolle. Es gibt spezielle Systeme wie FastNetMon, Module für Splunk. Als letzten Ausweg gibt es Ihren DDoS-Schutzanbieter. Es kann auch NetFlow durchsickern lassen und Sie auf dieser Grundlage über Angriffe in Ihre Richtung informieren.
Befund
Machen Sie sich keine Illusionen – das Internet wird definitiv kaputt gehen. Nicht alles und nicht jeder wird kaputtgehen, aber 14 Vorfälle im Jahr 2017 deuten darauf hin, dass es zu Zwischenfällen kommen wird.
Ihre Aufgabe ist es, Probleme so früh wie möglich zu erkennen. Zumindest spätestens bei Ihrem Benutzer. Es ist nicht nur wichtig zu beachten, dass Sie immer einen „Plan B“ in Reserve haben. Ein Plan ist eine Strategie dafür, was Sie tun werden, wenn alles zusammenbricht.: Reservebetreiber, DC, CDN. Ein Plan ist eine separate Checkliste, anhand derer Sie die Funktion aller Dinge überprüfen. Der Plan sollte ohne die Beteiligung von Netzwerktechnikern funktionieren, da es in der Regel nur wenige davon gibt und diese schlafen möchten.
Das ist alles. Ich wünsche Ihnen eine hohe Verfügbarkeit und ein grünes Monitoring.
Nächste Woche werden in Nowosibirsk Sonnenschein, hohe Auslastung und eine hohe Konzentration an Entwicklern erwartet . In Sibirien wird eine Reihe von Berichten über Überwachung, Zugänglichkeit und Tests, Sicherheit und Management vorhergesagt. Niederschlag wird in Form von gekritzelten Notizen, Networking, Fotos und Beiträgen in sozialen Netzwerken erwartet. Wir empfehlen, alle Aktivitäten am 24. und 25. Juni zu verschieben . Wir erwarten Sie in Sibirien!
Source: habr.com