Το Διαδίκτυο φαίνεται να είναι μια ισχυρή, ανεξάρτητη και άφθαρτη δομή. Θεωρητικά, το δίκτυο είναι αρκετά ισχυρό για να επιβιώσει από μια πυρηνική έκρηξη. Στην πραγματικότητα, το Διαδίκτυο μπορεί να ρίξει έναν μικρό δρομολογητή. Και όλα αυτά επειδή το Διαδίκτυο είναι ένας σωρός από αντιφάσεις, τρωτά σημεία, λάθη και βίντεο σχετικά με τις γάτες. Η ραχοκοκαλιά του Διαδικτύου, το BGP, είναι γεμάτη προβλήματα. Είναι εκπληκτικό που αναπνέει ακόμα. Εκτός από τα σφάλματα στο ίδιο το Διαδίκτυο, είναι επίσης σπασμένο από όλους και διάφορα: μεγάλους παρόχους Διαδικτύου, εταιρείες, πολιτείες και επιθέσεις DDoS. Τι να κάνετε για αυτό και πώς να ζήσετε με αυτό;
Ξέρει την απάντηση Alexey Uchakin () είναι ο αρχηγός μιας ομάδας μηχανικών δικτύων στο IQ Option. Κύριο καθήκον του είναι η προσβασιμότητα της πλατφόρμας για τους χρήστες. Στη μεταγραφή της αναφοράς του Alexey για Ας μιλήσουμε για BGP, επιθέσεις DDOS, διακόπτες Internet, σφάλματα παρόχου, αποκέντρωση και περιπτώσεις που ένας μικρός δρομολογητής έστειλε το Διαδίκτυο σε κατάσταση αναστολής λειτουργίας. Στο τέλος - μερικές συμβουλές για το πώς να επιβιώσετε όλο αυτό.
Η μέρα που χάλασε το Διαδίκτυο
Θα αναφέρω μόνο μερικά περιστατικά όπου χάλασε η συνδεσιμότητα του Διαδικτύου. Αυτό θα είναι αρκετό για την πλήρη εικόνα.
"Συμβάν AS7007". Η πρώτη φορά που χάλασε το Διαδίκτυο ήταν τον Απρίλιο του 1997. Υπήρχε ένα σφάλμα στο λογισμικό ενός δρομολογητή από το αυτόνομο σύστημα 7007. Κάποια στιγμή, ο δρομολογητής ανακοίνωσε τον εσωτερικό του πίνακα δρομολόγησης στους γείτονές του και έστειλε το μισό δίκτυο σε μια μαύρη τρύπα.
"Το Πακιστάν εναντίον του YouTube". Το 2008, γενναίοι τύποι από το Πακιστάν αποφάσισαν να μπλοκάρουν το YouTube. Το έκαναν τόσο καλά που ο μισός κόσμος έμεινε χωρίς γάτες.
"Καταγραφή προθεμάτων VISA, MasterCard και Symantec από τη Rostelecom". Το 2017, η Rostelecom άρχισε κατά λάθος να ανακοινώνει τα προθέματα VISA, MasterCard και Symantec. Ως αποτέλεσμα, η οικονομική κίνηση δρομολογήθηκε μέσω καναλιών που ελέγχονται από τον πάροχο. Η διαρροή δεν κράτησε πολύ, αλλά ήταν δυσάρεστη για τις χρηματοπιστωτικές εταιρείες.
Google εναντίον Ιαπωνίας. Τον Αύγουστο του 2017, η Google άρχισε να ανακοινώνει τα προθέματα των μεγάλων ιαπωνικών παρόχων NTT και KDDI σε ορισμένα από τα uplinks της. Η κίνηση στάλθηκε στην Google ως συγκοινωνία, πιθανότατα κατά λάθος. Δεδομένου ότι η Google δεν είναι πάροχος και δεν επιτρέπει διαμετακομιστική κυκλοφορία, σημαντικό μέρος της Ιαπωνίας έμεινε χωρίς Διαδίκτυο.
"Το DV LINK κατέλαβε τα προθέματα των Google, Apple, Facebook, Microsoft". Επίσης το 2017, ο ρωσικός πάροχος DV LINK για κάποιο λόγο άρχισε να ανακοινώνει τα δίκτυα της Google, της Apple, του Facebook, της Microsoft και ορισμένων άλλων μεγάλων παικτών.
"Το eNet από τις ΗΠΑ έχει καταγράψει τα προθέματα AWS Route53 και MyEtherwallet". Το 2018, ο πάροχος του Οχάιο ή ένας από τους πελάτες του ανακοίνωσε τα δίκτυα πορτοφολιών κρυπτογράφησης Amazon Route53 και MyEtherwallet. Η επίθεση ήταν επιτυχής: ακόμα και παρά το αυτο-υπογεγραμμένο πιστοποιητικό, μια προειδοποίηση για την οποία εμφανίστηκε στον χρήστη κατά την είσοδό του στον ιστότοπο του MyEtherwallet, πολλά πορτοφόλια παραβιάστηκαν και μέρος του κρυπτονομίσματος κλάπηκε.
Υπήρξαν περισσότερα από 2017 τέτοια περιστατικά μόνο το 14! Το δίκτυο εξακολουθεί να είναι αποκεντρωμένο, επομένως δεν χαλάνε τα πάντα και όχι όλοι. Υπάρχουν όμως χιλιάδες περιστατικά, όλα σχετίζονται με το πρωτόκολλο BGP που τροφοδοτεί το Διαδίκτυο.
Το BGP και τα προβλήματά του
Πρωτόκολλο BGP - Πρωτόκολλο Border Gateway, περιγράφηκε για πρώτη φορά το 1989 από δύο μηχανικούς της IBM και της Cisco Systems σε τρεις «πετσέτες» - φύλλα Α4. Αυτά τα εξακολουθούν να βρίσκονται στα κεντρικά γραφεία της Cisco Systems στο Σαν Φρανσίσκο ως λείψανο του κόσμου της δικτύωσης.
Το πρωτόκολλο βασίζεται στην αλληλεπίδραση αυτόνομων συστημάτων - Αυτόνομα Συστήματα ή AS για συντομία. Ένα αυτόνομο σύστημα είναι απλώς ένα ID στο οποίο εκχωρούνται δίκτυα IP στο δημόσιο μητρώο. Ένας δρομολογητής με αυτό το αναγνωριστικό μπορεί να ανακοινώσει αυτά τα δίκτυα στον κόσμο. Κατά συνέπεια, οποιαδήποτε διαδρομή στο Διαδίκτυο μπορεί να αναπαρασταθεί ως διάνυσμα, το οποίο ονομάζεται AS Path. Το διάνυσμα αποτελείται από τους αριθμούς των αυτόνομων συστημάτων που πρέπει να διασχιστούν για να φτάσετε στο δίκτυο προορισμού.
Για παράδειγμα, υπάρχει ένα δίκτυο από έναν αριθμό αυτόνομων συστημάτων. Πρέπει να μεταβείτε από το σύστημα AS65001 στο σύστημα AS65003. Η διαδρομή από ένα σύστημα αντιπροσωπεύεται από τη διαδρομή AS στο διάγραμμα. Αποτελείται από δύο αυτόνομα συστήματα: 65002 και 65003. Για κάθε διεύθυνση προορισμού υπάρχει ένα διάνυσμα AS Path, το οποίο αποτελείται από τους αριθμούς των αυτόνομων συστημάτων που πρέπει να περάσουμε.
Ποια είναι λοιπόν τα προβλήματα με το BGP;
Το BGP είναι ένα πρωτόκολλο εμπιστοσύνης
Το πρωτόκολλο BGP βασίζεται στην εμπιστοσύνη. Αυτό σημαίνει ότι εμπιστευόμαστε τον γείτονά μας από προεπιλογή. Αυτό είναι χαρακτηριστικό πολλών πρωτοκόλλων που αναπτύχθηκαν στην αρχή του Διαδικτύου. Ας καταλάβουμε τι σημαίνει «εμπιστοσύνη».
Δεν υπάρχει έλεγχος ταυτότητας γείτονα. Επίσημα, υπάρχει MD5, αλλά το MD5 το 2019 είναι ακριβώς αυτό...
Χωρίς φιλτράρισμα. Το BGP έχει φίλτρα και περιγράφονται, αλλά δεν χρησιμοποιούνται ή χρησιμοποιούνται εσφαλμένα. Θα εξηγήσω το γιατί αργότερα.
Είναι πολύ εύκολο να στήσεις μια γειτονιά. Η ρύθμιση μιας γειτονιάς στο πρωτόκολλο BGP σε σχεδόν οποιοδήποτε δρομολογητή είναι μερικές γραμμές της διαμόρφωσης.
Δεν απαιτούνται δικαιώματα διαχείρισης BGP. Δεν χρειάζεται να δώσετε εξετάσεις για να αποδείξετε τα προσόντα σας. Κανείς δεν θα αφαιρέσει τα δικαιώματά σας για τη διαμόρφωση του BGP ενώ είστε μεθυσμένοι.
Δύο βασικά προβλήματα
Προθέματα αεροπειρατείας. Η πειρατεία προθέματος είναι η διαφήμιση ενός δικτύου που δεν σας ανήκει, όπως συμβαίνει με το MyEtherwallet. Πήραμε κάποια προθέματα, συμφωνήσαμε με τον πάροχο ή το χακάραμε και μέσω αυτού ανακοινώνουμε αυτά τα δίκτυα.
Διαρροές διαδρομής. Οι διαρροές είναι λίγο πιο περίπλοκες. Η διαρροή είναι μια αλλαγή στη διαδρομή AS. Στην καλύτερη περίπτωση, η αλλαγή θα έχει ως αποτέλεσμα μεγαλύτερη καθυστέρηση επειδή πρέπει να διανύσετε μια μεγαλύτερη διαδρομή ή σε μια λιγότερο ευρύχωρη σύνδεση. Στη χειρότερη περίπτωση, η περίπτωση με την Google και την Ιαπωνία θα επαναληφθεί.
Η ίδια η Google δεν είναι φορέας εκμετάλλευσης ή αυτόνομο σύστημα διαμετακόμισης. Αλλά όταν ανακοίνωσε τα δίκτυα των ιαπωνικών παρόχων στον πάροχο του, η κυκλοφορία μέσω της Google μέσω AS Path θεωρήθηκε ως υψηλότερη προτεραιότητα. Η επισκεψιμότητα πήγε εκεί και μειώθηκε απλώς και μόνο επειδή οι ρυθμίσεις δρομολόγησης στο Google είναι πιο περίπλοκες από φίλτρα στα σύνορα.
Γιατί δεν λειτουργούν τα φίλτρα;
Κανείς δεν νοιάζεται. Αυτός είναι ο κύριος λόγος - κανείς δεν νοιάζεται. Ο διαχειριστής ενός μικρού παρόχου ή εταιρείας που συνδέθηκε με τον πάροχο μέσω BGP πήρε το MikroTik, διαμόρφωσε το BGP σε αυτό και δεν γνωρίζει καν ότι μπορούν να ρυθμιστούν φίλτρα εκεί.
Σφάλματα διαμόρφωσης. Μπέρδεψαν κάτι, έκαναν λάθος στη μάσκα, έβαλαν το λάθος πλέγμα - και τώρα υπάρχει ξανά ένα λάθος.
Καμία τεχνική δυνατότητα. Για παράδειγμα, οι πάροχοι τηλεπικοινωνιών έχουν πολλούς πελάτες. Το έξυπνο πράγμα που πρέπει να κάνετε είναι να ενημερώνετε αυτόματα τα φίλτρα για κάθε πελάτη - για να παρακολουθείτε ότι έχει νέο δίκτυο, ότι έχει νοικιάσει το δίκτυό του σε κάποιον. Είναι δύσκολο να το ακολουθήσεις αυτό, και ακόμα πιο δύσκολο με τα χέρια σου. Επομένως, απλά τοποθετούν χαλαρά φίλτρα ή δεν τοποθετούν καθόλου φίλτρα.
Εξαιρέσεις. Υπάρχουν εξαιρέσεις για αγαπημένους και μεγάλους πελάτες. Ειδικά στην περίπτωση διεπαφών μεταξύ χειριστή. Για παράδειγμα, η TransTeleCom και η Rostelecom έχουν ένα σωρό δίκτυα και υπάρχει μια διεπαφή μεταξύ τους. Εάν η άρθρωση πέσει, δεν θα είναι καλό για κανέναν, επομένως τα φίλτρα χαλαρώνουν ή αφαιρούνται εντελώς.
Ξεπερασμένες ή άσχετες πληροφορίες στο IRR. Τα φίλτρα δημιουργούνται με βάση τις πληροφορίες που καταγράφονται IRR - Μητρώο δρομολόγησης Διαδικτύου. Αυτά είναι μητρώα περιφερειακών καταχωρητών Διαδικτύου. Συχνά, τα μητρώα περιέχουν ξεπερασμένες ή άσχετες πληροφορίες ή και τα δύο.
Ποιοι είναι αυτοί οι καταχωρητές;
Όλες οι διευθύνσεις Διαδικτύου ανήκουν στον οργανισμό IANA - Αρχή Εκχωρημένων Αριθμών Διαδικτύου. Όταν αγοράζετε ένα δίκτυο IP από κάποιον, δεν αγοράζετε διευθύνσεις, αλλά το δικαίωμα να τις χρησιμοποιήσετε. Οι διευθύνσεις αποτελούν άυλο πόρο και με κοινή συμφωνία ανήκουν όλες στο IANA.
Το σύστημα λειτουργεί έτσι. Το IANA αναθέτει τη διαχείριση των διευθύνσεων IP και των αριθμών αυτόνομων συστημάτων σε πέντε περιφερειακούς καταχωρητές. Εκδίδουν αυτόνομα συστήματα LIR - τοπικοί καταχωρητές Διαδικτύου. Στη συνέχεια, τα LIR εκχωρούν διευθύνσεις IP στους τελικούς χρήστες.
Το μειονέκτημα του συστήματος είναι ότι καθένας από τους περιφερειακούς καταχωρητές διατηρεί τα μητρώα του με τον δικό του τρόπο. Ο καθένας έχει τις δικές του απόψεις σχετικά με το ποιες πληροφορίες πρέπει να περιλαμβάνονται στα μητρώα και ποιος πρέπει ή όχι να τις ελέγχει. Το αποτέλεσμα είναι το χάος που έχουμε τώρα.
Πώς αλλιώς μπορείτε να αντιμετωπίσετε αυτά τα προβλήματα;
IRR - μέτρια ποιότητα. Είναι ξεκάθαρο με το IRR - όλα είναι άσχημα εκεί.
BGP-κοινότητες. Αυτό είναι κάποιο χαρακτηριστικό που περιγράφεται στο πρωτόκολλο. Μπορούμε να επισυνάψουμε, για παράδειγμα, μια ειδική κοινότητα στην ανακοίνωσή μας, έτσι ώστε ένας γείτονας να μην στέλνει τα δίκτυά μας στους γείτονές του. Όταν έχουμε μια σύνδεση P2P, ανταλλάσσουμε μόνο τα δίκτυά μας. Για να αποτρέψουμε την κατά λάθος μετάβαση της διαδρομής σε άλλα δίκτυα, προσθέτουμε κοινότητα.
Οι κοινότητες δεν είναι μεταβατικές. Είναι πάντα ένα συμβόλαιο για δύο, και αυτό είναι το μειονέκτημά τους. Δεν μπορούμε να εκχωρήσουμε καμία κοινότητα, με εξαίρεση μία, η οποία είναι αποδεκτή από προεπιλογή από όλους. Δεν μπορούμε να είμαστε σίγουροι ότι όλοι θα αποδεχτούν αυτήν την κοινότητα και θα την ερμηνεύσουν σωστά. Επομένως, στην καλύτερη περίπτωση, αν συμφωνείτε με το uplink σας, θα καταλάβει τι θέλετε από αυτόν όσον αφορά την κοινότητα. Αλλά ο γείτονάς σας μπορεί να μην καταλάβει ή ο χειριστής απλώς θα επαναφέρει την ετικέτα σας και δεν θα πετύχετε αυτό που θέλατε.
Το RPKI + ROA λύνει μόνο ένα μικρό μέρος των προβλημάτων. RPKI είναι Υποδομή δημόσιου κλειδιού πόρων — ειδικό πλαίσιο για την υπογραφή πληροφοριών δρομολόγησης. Είναι καλή ιδέα να αναγκάσετε τα LIR και τους πελάτες τους να διατηρούν μια ενημερωμένη βάση δεδομένων χώρου διευθύνσεων. Αλλά υπάρχει ένα πρόβλημα με αυτό.
Το RPKI είναι επίσης ένα ιεραρχικό σύστημα δημόσιου κλειδιού. Το IANA έχει ένα κλειδί από το οποίο δημιουργούνται τα κλειδιά RIR και από ποια τα κλειδιά LIR; με τον οποίο υπογράφουν τον χώρο διευθύνσεών τους χρησιμοποιώντας ROA - Εξουσιοδοτήσεις προέλευσης διαδρομής:
— Σας διαβεβαιώνω ότι αυτό το πρόθεμα θα ανακοινωθεί εκ μέρους αυτής της αυτόνομης περιοχής.
Εκτός από το ROA, υπάρχουν και άλλα αντικείμενα, αλλά περισσότερα για αυτά αργότερα. Φαίνεται καλό και χρήσιμο πράγμα. Αλλά δεν μας προστατεύει από διαρροές από τη λέξη "καθόλου" και δεν λύνει όλα τα προβλήματα με την αεροπειρατεία του προθέματος. Επομένως, οι παίκτες δεν βιάζονται να το εφαρμόσουν. Αν και υπάρχουν ήδη διαβεβαιώσεις από μεγάλους παίκτες όπως η AT&T και μεγάλες εταιρείες IX ότι τα προθέματα με μη έγκυρη εγγραφή ROA θα απορριφθούν.
Ίσως θα το κάνουν αυτό, αλλά προς το παρόν έχουμε έναν τεράστιο αριθμό προθεμάτων που δεν είναι υπογεγραμμένα με κανέναν τρόπο. Αφενός, είναι ασαφές εάν ανακοινώνονται εγκύρως. Από την άλλη πλευρά, δεν μπορούμε να τα απορρίψουμε από προεπιλογή, γιατί δεν είμαστε σίγουροι αν αυτό είναι σωστό ή όχι.
Τί άλλο υπάρχει εκεί?
BGPSec. Αυτό είναι ένα ωραίο πράγμα που βρήκαν οι ακαδημαϊκοί για ένα δίκτυο ροζ πόνι. Αυτοι ειπαν:
- Έχουμε RPKI + ROA - έναν μηχανισμό για την επαλήθευση των υπογραφών του χώρου διευθύνσεων. Ας δημιουργήσουμε ένα ξεχωριστό χαρακτηριστικό BGP και ας το ονομάσουμε BGPSec Path. Κάθε δρομολογητής θα υπογράφει με τη δική του υπογραφή τις ανακοινώσεις που ανακοινώνει στους γείτονές του. Έτσι θα λάβουμε μια αξιόπιστη διαδρομή από την αλυσίδα των υπογεγραμμένων ανακοινώσεων και θα μπορούμε να την ελέγξουμε.
Καλό στη θεωρία, αλλά στην πράξη υπάρχουν πολλά προβλήματα. Το BGPSec καταρρίπτει πολλούς υπάρχοντες μηχανισμούς BGP για την επιλογή επόμενου άλματος και τη διαχείριση της εισερχόμενης/εξερχόμενης κίνησης απευθείας στο δρομολογητή. Το BGPSec δεν λειτουργεί μέχρι να το εφαρμόσει το 95% ολόκληρης της αγοράς, κάτι που από μόνο του είναι ουτοπία.
Το BGPSec έχει τεράστια προβλήματα απόδοσης. Στο τρέχον υλικό, η ταχύτητα ελέγχου των ανακοινώσεων είναι περίπου 50 προθέματα ανά δευτερόλεπτο. Για σύγκριση: ο τρέχων πίνακας Internet των 700 προθεμάτων θα μεταφορτωθεί σε 000 ώρες, κατά τη διάρκεια των οποίων θα αλλάξει 5 ακόμη φορές.
Ανοικτή πολιτική BGP (BGP βάσει ρόλων). Φρέσκια πρόταση βασισμένη στο μοντέλο Γκάο-Ρέξφορντ. Πρόκειται για δύο επιστήμονες που ερευνούν το BGP.
Το μοντέλο Gao-Rexford έχει ως εξής. Για να απλοποιήσουμε, με το BGP υπάρχει ένας μικρός αριθμός τύπων αλληλεπιδράσεων:
- Πάροχος Πελάτης;
- P2P;
- εσωτερική επικοινωνία, ας πούμε iBGP.
Με βάση τον ρόλο του δρομολογητή, είναι ήδη δυνατή η εκχώρηση ορισμένων πολιτικών εισαγωγής/εξαγωγής από προεπιλογή. Ο διαχειριστής δεν χρειάζεται να διαμορφώσει λίστες προθεμάτων. Με βάση τον ρόλο που συμφωνούν μεταξύ τους οι δρομολογητές και ο οποίος μπορεί να οριστεί, λαμβάνουμε ήδη ορισμένα προεπιλεγμένα φίλτρα. Αυτό είναι επί του παρόντος ένα προσχέδιο που συζητείται στο IETF. Ελπίζω ότι σύντομα θα το δούμε αυτό με τη μορφή RFC και υλοποίησης σε υλικό.
Μεγάλοι πάροχοι Διαδικτύου
Ας δούμε το παράδειγμα ενός παρόχου CenturyLink. Είναι ο τρίτος μεγαλύτερος πάροχος των ΗΠΑ, που εξυπηρετεί 37 πολιτείες και διαθέτει 15 κέντρα δεδομένων.
Τον Δεκέμβριο του 2018, η CenturyLink ήταν στην αγορά των ΗΠΑ για 50 ώρες. Κατά τη διάρκεια του περιστατικού, παρουσιάστηκαν προβλήματα με τη λειτουργία των ΑΤΜ σε δύο πολιτείες και ο αριθμός 911 δεν λειτουργούσε για αρκετές ώρες σε πέντε πολιτείες. Η λαχειοφόρος αγορά στο Αϊντάχο καταστράφηκε εντελώς. Το περιστατικό βρίσκεται υπό έρευνα από την Επιτροπή Τηλεπικοινωνιών των ΗΠΑ.
Η αιτία της τραγωδίας ήταν μια κάρτα δικτύου σε ένα κέντρο δεδομένων. Η κάρτα δυσλειτουργούσε, έστειλε λανθασμένα πακέτα και και τα 15 κέντρα δεδομένων του παρόχου κατέρρευσαν.
Η ιδέα δεν λειτούργησε για αυτόν τον πάροχο "πολύ μεγάλο για να πέσει". Αυτή η ιδέα δεν λειτουργεί καθόλου. Μπορείτε να πάρετε οποιονδήποτε σημαντικό παίκτη και να βάλετε μερικά μικρά πράγματα στην κορυφή. Οι ΗΠΑ εξακολουθούν να τα πάνε καλά με τη συνδεσιμότητα. Οι πελάτες του CenturyLink που είχαν ρεζέρβα μπήκαν σε αυτό κατά πλήθος. Στη συνέχεια, οι εναλλακτικοί φορείς εκμετάλλευσης παραπονέθηκαν για υπερφόρτωση των συνδέσμων τους.
Εάν πέσει η υπό όρους Kazakhtelecom, ολόκληρη η χώρα θα μείνει χωρίς Διαδίκτυο.
εταιρειών
Μάλλον η Google, η Amazon, το FaceBook και άλλες εταιρείες υποστηρίζουν το Διαδίκτυο; Όχι, το σπάνε και αυτό.
Το 2017 στην Αγία Πετρούπολη στο συνέδριο ENOG13 Τζεφ Χιούστον του APNIC εισήχθη . Λέει ότι έχουμε συνηθίσει οι αλληλεπιδράσεις, οι ροές χρημάτων και η κίνηση στο Διαδίκτυο να είναι κάθετες. Έχουμε μικρούς παρόχους που πληρώνουν για συνδεσιμότητα σε μεγαλύτερους και ήδη πληρώνουν για συνδεσιμότητα με παγκόσμια διαμετακόμιση.
Τώρα έχουμε μια τέτοια κατακόρυφα προσανατολισμένη δομή. Όλα θα ήταν καλά, αλλά ο κόσμος αλλάζει - οι μεγάλοι παίκτες κατασκευάζουν τα υπερωκεάνια καλώδιά τους για να χτίσουν τη δική τους ραχοκοκαλιά.
Νέα σχετικά με το καλώδιο CDN.
Το 2018, η TeleGeography κυκλοφόρησε μια μελέτη σύμφωνα με την οποία περισσότερο από το ήμισυ της κίνησης στο Διαδίκτυο δεν είναι πλέον το Διαδίκτυο, αλλά η ραχοκοκαλιά του CDN μεγάλων παικτών. Πρόκειται για κίνηση που σχετίζεται με το Διαδίκτυο, αλλά αυτό δεν είναι πλέον το δίκτυο για το οποίο λέγαμε.
Το Διαδίκτυο διασπάται σε ένα μεγάλο σύνολο από χαλαρά συνδεδεμένα δίκτυα.
Η Microsoft έχει το δικό της δίκτυο, η Google έχει το δικό της και έχουν μικρή αλληλοεπικάλυψη μεταξύ τους. Η επισκεψιμότητα που προήλθε από κάπου στις ΗΠΑ πηγαίνει μέσω των καναλιών της Microsoft πέρα από τον ωκεανό στην Ευρώπη κάπου σε ένα CDN, μετά μέσω CDN ή IX συνδέεται με τον πάροχο σας και φτάνει στον δρομολογητή σας.
Η αποκέντρωση εξαφανίζεται.
Αυτή η δύναμη του Διαδικτύου, που θα το βοηθήσει να επιβιώσει από μια πυρηνική έκρηξη, χάνεται. Εμφανίζονται σημεία συγκέντρωσης χρηστών και κίνησης. Εάν πέσει το υπό όρους Google Cloud, θα υπάρξουν πολλά θύματα ταυτόχρονα. Αυτό το νιώσαμε εν μέρει όταν η Roskomnadzor μπλόκαρε το AWS. Και το παράδειγμα του CenturyLink δείχνει ότι ακόμη και μικρά πράγματα είναι αρκετά για αυτό.
Προηγουμένως, δεν έσπασαν τα πάντα και όχι όλοι. Στο μέλλον, μπορεί να καταλήξουμε στο συμπέρασμα ότι επηρεάζοντας έναν σημαντικό παίκτη, μπορούμε να σπάσουμε πολλά πράγματα, σε πολλά μέρη και σε πολλούς ανθρώπους.
κράτη
Τα κράτη είναι τα επόμενα στη σειρά, και αυτό συμβαίνει συνήθως σε αυτά.
Εδώ η Roskomnadzor μας δεν είναι καν πρωτοπόρος. Παρόμοια πρακτική διακοπής λειτουργίας του Διαδικτύου υπάρχει στο Ιράν, την Ινδία και το Πακιστάν. Στην Αγγλία υπάρχει νομοσχέδιο για τη δυνατότητα διακοπής λειτουργίας του Διαδικτύου.
Οποιοδήποτε μεγάλο κράτος θέλει να αποκτήσει έναν διακόπτη για να απενεργοποιήσει το Διαδίκτυο, είτε εντελώς είτε εν μέρει: Twitter, Telegram, Facebook. Δεν είναι ότι δεν καταλαβαίνουν ότι δεν θα τα καταφέρουν ποτέ, αλλά το θέλουν πραγματικά. Ο διακόπτης χρησιμοποιείται, κατά κανόνα, για πολιτικούς σκοπούς - για την εξάλειψη πολιτικών ανταγωνιστών, ή πλησιάζουν εκλογές ή Ρώσοι χάκερ έχουν σπάσει ξανά κάτι.
Επιθέσεις DDoS
Δεν θα πάρω ψωμί από τους συντρόφους μου από τα Qrator Labs, το κάνουν πολύ καλύτερα από εμένα. Εχουν για τη σταθερότητα του Διαδικτύου. Και αυτό έγραψαν στην έκθεση του 2018.
Η μέση διάρκεια των επιθέσεων DDoS πέφτει στις 2.5 ώρες. Οι εισβολείς αρχίζουν επίσης να μετρούν χρήματα και εάν ο πόρος δεν είναι άμεσα διαθέσιμος, τότε τον αφήνουν γρήγορα μόνο του.
Η ένταση των επιθέσεων αυξάνεται. Το 2018, είδαμε 1.7 Tb/s στο δίκτυο Akamai και αυτό δεν είναι το όριο.
Νέοι φορείς επίθεσης εμφανίζονται και οι παλιοί εντείνονται. Εμφανίζονται νέα πρωτόκολλα που είναι επιρρεπή σε ενίσχυση, και νέες επιθέσεις εμφανίζονται στα υπάρχοντα πρωτόκολλα, ειδικά στο TLS και παρόμοια.
Το μεγαλύτερο μέρος της κίνησης προέρχεται από κινητές συσκευές. Ταυτόχρονα, η κίνηση στο Διαδίκτυο μετατοπίζεται σε πελάτες κινητής τηλεφωνίας. Και αυτοί που επιτίθενται και αυτοί που αμύνονται πρέπει να μπορούν να δουλέψουν με αυτό.
Άτρωτο - όχι. Αυτή είναι η κύρια ιδέα - δεν υπάρχει καθολική προστασία που θα προστατεύει σίγουρα από οποιοδήποτε DDoS.
Το σύστημα δεν μπορεί να εγκατασταθεί εάν δεν είναι συνδεδεμένο στο Διαδίκτυο.
Ελπίζω να σε τρόμαξα αρκετά. Ας σκεφτούμε τώρα τι να κάνουμε για αυτό.
Τι να κάνω?!
Εάν έχετε ελεύθερο χρόνο, επιθυμία και γνώση αγγλικών, λάβετε μέρος σε ομάδες εργασίας: IETF, RIPE WG. Αυτές είναι ανοιχτές λίστες αλληλογραφίας, εγγραφή σε λίστες αλληλογραφίας, συμμετοχή σε συζητήσεις, ελάτε σε συνέδρια. Εάν έχετε καθεστώς LIR, μπορείτε να ψηφίσετε, για παράδειγμα, στο RIPE για διάφορες πρωτοβουλίες.
Για απλούς θνητούς αυτό είναι мониторинг. Για να ξέρετε τι έχει χαλάσει.
Παρακολούθηση: τι να ελέγξετε;
Κανονικό Ping, και όχι μόνο ένας δυαδικός έλεγχος - είτε λειτουργεί είτε όχι. Καταγράψτε το RTT στο ιστορικό, ώστε να μπορείτε να δείτε τις ανωμαλίες αργότερα.
Traceroute. Αυτό είναι ένα βοηθητικό πρόγραμμα για τον καθορισμό διαδρομών δεδομένων σε δίκτυα TCP/IP. Βοηθά στον εντοπισμό ανωμαλιών και μπλοκαρισμάτων.
Το HTTP ελέγχει για προσαρμοσμένες διευθύνσεις URL και πιστοποιητικά TLS θα βοηθήσει στον εντοπισμό αποκλεισμού ή πλαστογράφησης DNS για μια επίθεση, κάτι που είναι πρακτικά το ίδιο. Ο αποκλεισμός πραγματοποιείται συχνά με πλαστογράφηση DNS και μετατρέποντας την επισκεψιμότητα σε μια απόκομμα σελίδα.
Εάν είναι δυνατόν, ελέγξτε την αποφασιστικότητα των πελατών σας για την καταγωγή σας από διαφορετικά μέρη, εάν έχετε μια αίτηση. Αυτό θα σας βοηθήσει να εντοπίσετε ανωμαλίες πειρατείας DNS, κάτι που κάνουν μερικές φορές οι πάροχοι.
Παρακολούθηση: πού να ελέγξετε;
Δεν υπάρχει καθολική απάντηση. Ελέγξτε από πού προέρχεται ο χρήστης. Εάν οι χρήστες βρίσκονται στη Ρωσία, ελέγξτε από τη Ρωσία, αλλά μην περιορίζεστε σε αυτήν. Εάν οι χρήστες σας ζουν σε διαφορετικές περιοχές, ελέγξτε από αυτές τις περιοχές. Αλλά καλύτερα από όλο τον κόσμο.
Παρακολούθηση: τι να ελέγξετε;
Βρήκα τρεις τρόπους. Αν γνωρίζετε περισσότερα, γράψτε στα σχόλια.
- ώριμος Άτλας.
- Εμπορική παρακολούθηση.
- Το δικό σας δίκτυο εικονικών μηχανών.
Ας μιλήσουμε για καθένα από αυτά.
ώριμος Άτλας - είναι τόσο μικρό κουτί. Για όσους γνωρίζουν τον εγχώριο "Επιθεωρητή" - αυτό είναι το ίδιο κουτί, αλλά με διαφορετικό αυτοκόλλητο.
Το RIPE Atlas είναι ένα δωρεάν πρόγραμμα. Εγγραφείτε, λαμβάνετε έναν δρομολογητή ταχυδρομικώς και τον συνδέετε στο δίκτυο. Για το γεγονός ότι κάποιος άλλος χρησιμοποιεί το δείγμα σας, λαμβάνετε κάποιες πιστώσεις. Με αυτά τα δάνεια μπορείτε να κάνετε κάποια έρευνα μόνοι σας. Μπορείτε να δοκιμάσετε με διάφορους τρόπους: ping, traceroute, έλεγχος πιστοποιητικών. Η κάλυψη είναι αρκετά μεγάλη, υπάρχουν πολλοί κόμβοι. Υπάρχουν όμως αποχρώσεις.
Το πιστωτικό σύστημα δεν επιτρέπει λύσεις παραγωγής κτιρίων. Δεν θα υπάρχουν αρκετές πιστώσεις για συνεχή έρευνα ή εμπορική παρακολούθηση. Οι μονάδες είναι αρκετές για μια σύντομη μελέτη ή εφάπαξ έλεγχο. Ο ημερήσιος κανόνας από ένα δείγμα καταναλώνεται από 1-2 ελέγχους.
Η κάλυψη είναι άνιση. Δεδομένου ότι το πρόγραμμα είναι δωρεάν και προς τις δύο κατευθύνσεις, η κάλυψη είναι καλή στην Ευρώπη, στο ευρωπαϊκό τμήμα της Ρωσίας και σε ορισμένες περιοχές. Αλλά αν χρειάζεστε την Ινδονησία ή τη Νέα Ζηλανδία, τότε όλα είναι πολύ χειρότερα - μπορεί να μην έχετε 50 δείγματα ανά χώρα.
Δεν μπορείτε να ελέγξετε το http από ένα δείγμα. Αυτό οφείλεται σε τεχνικές αποχρώσεις. Υπόσχονται να το διορθώσουν στη νέα έκδοση, αλλά προς το παρόν το http δεν μπορεί να ελεγχθεί. Μόνο το πιστοποιητικό μπορεί να επαληθευτεί. Κάποιο είδος ελέγχου http μπορεί να γίνει μόνο σε μια ειδική συσκευή RIPE Atlas που ονομάζεται Anchor.
Η δεύτερη μέθοδος είναι η εμπορική παρακολούθηση. Όλα είναι καλά μαζί του, πληρώνεις χρήματα, σωστά; Σας υπόσχονται αρκετές δεκάδες ή εκατοντάδες σημεία παρακολούθησης σε όλο τον κόσμο και σχεδιάζουν όμορφα ταμπλό από το κουτί. Και πάλι όμως υπάρχουν προβλήματα.
Είναι πληρωμένο, σε ορισμένα σημεία είναι πολύ. Η παρακολούθηση ping, οι παγκόσμιοι έλεγχοι και οι πολλοί έλεγχοι http μπορεί να κοστίζουν αρκετές χιλιάδες δολάρια το χρόνο. Εάν τα οικονομικά το επιτρέπουν και σας αρέσει αυτή η λύση, προχωρήστε.
Η κάλυψη μπορεί να μην είναι επαρκής στην περιοχή ενδιαφέροντος. Με το ίδιο ping, καθορίζεται το μέγιστο ένα αφηρημένο μέρος του κόσμου - Ασία, Ευρώπη, Βόρεια Αμερική. Τα σπάνια συστήματα παρακολούθησης μπορούν να επεκταθούν σε μια συγκεκριμένη χώρα ή περιοχή.
Αδύναμη υποστήριξη για προσαρμοσμένες δοκιμές. Εάν χρειάζεστε κάτι προσαρμοσμένο, και όχι απλώς ένα "σγουρό" στο url, τότε υπάρχουν προβλήματα και με αυτό.
Ο τρίτος τρόπος είναι η παρακολούθησή σας. Αυτό είναι ένα κλασικό: "Ας γράψουμε τα δικά μας!"
Η παρακολούθησή σας μετατρέπεται στην ανάπτυξη ενός προϊόντος λογισμικού και σε ένα διανεμημένο. Αναζητάτε έναν πάροχο υποδομής, δείτε πώς να την αναπτύξετε και να την παρακολουθήσετε - η παρακολούθηση πρέπει να παρακολουθείται, σωστά; Και απαιτείται επίσης υποστήριξη. Σκεφτείτε δέκα φορές πριν το αναλάβετε αυτό. Ίσως είναι πιο εύκολο να πληρώσετε κάποιον για να το κάνει για εσάς.
Παρακολούθηση ανωμαλιών BGP και επιθέσεων DDoS
Εδώ, με βάση τους διαθέσιμους πόρους, όλα είναι ακόμα πιο απλά. Οι ανωμαλίες BGP εντοπίζονται χρησιμοποιώντας εξειδικευμένες υπηρεσίες όπως QRadar, BGPmon. Δέχονται έναν πίνακα πλήρους προβολής από πολλούς χειριστές. Με βάση αυτά που βλέπουν από διαφορετικούς χειριστές, μπορούν να ανιχνεύσουν ανωμαλίες, να αναζητήσουν ενισχυτές και ούτω καθεξής. Η εγγραφή είναι συνήθως δωρεάν - εισάγετε τον αριθμό τηλεφώνου σας, εγγραφείτε σε ειδοποιήσεις μέσω email και η υπηρεσία θα σας ειδοποιήσει για τα προβλήματά σας.
Η παρακολούθηση επιθέσεων DDoS είναι επίσης απλή. Συνήθως αυτό είναι Βασισμένα στο NetFlow και αρχεία καταγραφής. Υπάρχουν εξειδικευμένα συστήματα όπως FastNetMon, ενότητες για Splunk. Ως έσχατη λύση, υπάρχει ο πάροχος προστασίας DDoS. Μπορεί επίσης να διαρρεύσει το NetFlow και, βάσει αυτού, θα σας ειδοποιήσει για επιθέσεις προς την κατεύθυνση σας.
Ευρήματα
Μην έχετε αυταπάτες - το Διαδίκτυο σίγουρα θα σπάσει. Δεν θα σπάσουν τα πάντα και όχι όλοι, αλλά 14 χιλιάδες περιστατικά το 2017 αφήνουν να εννοηθεί ότι θα υπάρξουν επεισόδια.
Το καθήκον σας είναι να παρατηρήσετε προβλήματα όσο το δυνατόν νωρίτερα. Τουλάχιστον, όχι αργότερα από τον χρήστη σας. Δεν είναι μόνο σημαντικό να σημειωθεί, αλλά να διατηρείτε πάντα ένα «Σχέδιο Β» στο αποθεματικό. Ένα σχέδιο είναι μια στρατηγική για το τι θα κάνετε όταν όλα χαλάσουν.: εφεδρικοί χειριστές, DC, CDN. Ένα σχέδιο είναι μια ξεχωριστή λίστα ελέγχου βάσει της οποίας ελέγχετε τη δουλειά των πάντων. Το σχέδιο πρέπει να λειτουργεί χωρίς τη συμμετοχή μηχανικών δικτύων, γιατί συνήθως είναι λίγοι και θέλουν να κοιμηθούν.
Αυτό είναι όλο. Σας εύχομαι υψηλή διαθεσιμότητα και πράσινη παρακολούθηση.
Την επόμενη εβδομάδα στο Novosibirsk αναμένεται ηλιοφάνεια, υψηλή φόρτιση και υψηλή συγκέντρωση προγραμματιστών . Στη Σιβηρία, προβλέπεται ένα μέτωπο εκθέσεων σχετικά με την παρακολούθηση, την προσβασιμότητα και τις δοκιμές, την ασφάλεια και τη διαχείριση. Αναμένονται βροχοπτώσεις με τη μορφή σημειώσεων, δικτύωσης, φωτογραφιών και αναρτήσεων στα κοινωνικά δίκτυα. Συνιστούμε να αναβάλετε όλες τις δραστηριότητες στις 24 και 25 Ιουνίου και . Σας περιμένουμε στη Σιβηρία!
Πηγή: www.habr.com