Interreto ŝajnas esti forta, sendependa kaj nedetruebla strukturo. En teorio, la reto estas sufiĉe forta por postvivi atomeksplodon. En realeco, la Interreto povas faligi unu malgrandan enkursigilon. Ĉio ĉar la Interreto estas amaso da kontraŭdiroj, vundeblecoj, eraroj kaj filmetoj pri katoj. La spino de la Interreto, BGP, estas plena de problemoj. Estas mirinde, ke li ankoraŭ spiras. Krom eraroj en la interreto mem, ĝi ankaŭ estas rompita de ĉiuj kaj diversaj: grandaj interretaj provizantoj, korporacioj, ŝtatoj kaj DDoS-atakoj. Kion fari pri ĝi kaj kiel vivi kun ĝi?
Scias la respondon Aleksej Uĉakin () estas la gvidanto de teamo de retaj inĝenieroj ĉe IQ Option. Ĝia ĉefa tasko estas la alirebleco de la platformo por uzantoj. En la transskribo de la raporto de Alexey pri Ni parolu pri BGP, DDOS-atakoj, Interretaj ŝaltiloj, provizantaj eraroj, malcentralizo kaj kazoj kiam malgranda enkursigilo sendis la Interreton por dormi. Al la fino - kelkaj konsiletoj pri kiel postvivi ĉion ĉi.
La Tago, kiam Interreto Romiĝis
Mi citos nur kelkajn okazaĵojn kie konektebleco rompiĝis en la Interreto. Ĉi tio sufiĉos por la kompleta bildo.
"AS7007 Okazaĵo". La unua fojo, kiam la Interreto rompiĝis, estis en aprilo 1997. Estis cimo en la programaro de unu enkursigilo de la aŭtonoma sistemo 7007. En iu momento, la enkursigilo anoncis sian internan enrutigan tablon al siaj najbaroj kaj sendis duonon de la reto en nigran truon.
"Pakistano kontraŭ Jutubo". En 2008, kuraĝaj uloj el Pakistano decidis bloki Jutubon. Ili faris tion tiel bone, ke duono de la mondo restis sen katoj.
"Kapto de VISA, MasterCard kaj Symantec-prefiksoj fare de Rostelecom". En 2017, Rostelecom erare komencis anonci la prefiksojn VISA, MasterCard kaj Symantec. Kiel rezulto, financa trafiko estis direktita tra kanaloj kontrolitaj fare de la provizanto. La liko ne daŭris longe, sed ĝi estis malagrabla por financaj kompanioj.
Guglo kontraŭ Japanio. En aŭgusto 2017, Google komencis anonci la prefiksojn de ĉefaj japanaj provizantoj NTT kaj KDDI en kelkaj el ĝiaj suprenligoj. La trafiko estis sendita al Guglo kiel trafiko, plej verŝajne erare. Ĉar Google ne estas provizanto kaj ne permesas transitan trafikon, signifa parto de Japanio restis sen Interreto.
"DV LINK kaptis la prefiksojn de Google, Apple, Facebook, Microsoft". Ankaŭ en 2017, la rusa provizanto DV LINK ial komencis anonci la retojn de Google, Apple, Facebook, Microsoft kaj iuj aliaj gravaj ludantoj.
"eNet el Usono kaptis AWS Route53 kaj MyEtherwallet-prefiksojn". En 2018, la Ohio-provizanto aŭ unu el ĝiaj klientoj anoncis la Amazon Route53 kaj MyEtherwallet kripta monujo retoj. La atako sukcesis: eĉ malgraŭ la memsubskribita atestilo, averto pri kiu aperis al la uzanto enirante la retejon MyEtherwallet, multaj monujoj estis forkaptitaj kaj parto de la kripta monero estis ŝtelita.
Okazis pli ol 2017 14 tiaj okazaĵoj nur en 000! La reto ankoraŭ estas malcentralizita, do ne ĉio kaj ne ĉiuj rompiĝas. Sed estas miloj da incidentoj, ĉiuj rilataj al la BGP-protokolo, kiu funkciigas la Interreton.
BGP kaj ĝiaj problemoj
Protokolo BGP - Border Gateway Protocol, estis unue priskribita en 1989 fare de du inĝenieroj de IBM kaj Cisco Systems sur tri "buŝtukoj" - A4-folioj. Ĉi tiuj ankoraŭ sidas ĉe la ĉefsidejo de Cisco Systems en San Francisco kiel restaĵo de la interkonekta mondo.
La protokolo baziĝas sur la interago de aŭtonomaj sistemoj - Aŭtonomaj Sistemoj aŭ AS mallonge. Aŭtonoma sistemo estas simple identigilo al kiu IP-retoj estas asignitaj en la publika registro. Enkursigilo kun ĉi tiu identigilo povas anonci ĉi tiujn retojn al la mondo. Sekve, ajna itinero en la Interreto povas esti reprezentita kiel vektoro, kiu estas nomita AS Vojo. La vektoro konsistas el la nombroj da aŭtonomaj sistemoj kiuj devas esti trairitaj por atingi la celreton.
Ekzemple, ekzistas reto de kelkaj aŭtonomaj sistemoj. Vi devas iri de la AS65001-sistemo al la AS65003-sistemo. La vojo de unu sistemo estas reprezentita per AS Path en la diagramo. Ĝi konsistas el du aŭtonomaj sistemoj: 65002 kaj 65003. Por ĉiu cel-adreso ekzistas AS Path-vektoro, kiu konsistas el la nombroj da aŭtonomaj sistemoj, kiujn ni bezonas trairi.
Do kio estas la problemoj kun BGP?
BGP estas fidinda protokolo
La BGP-protokolo baziĝas pri fido. Ĉi tio signifas, ke ni fidas nian proksimulon defaŭlte. Ĉi tio estas trajto de multaj protokoloj kiuj estis evoluigitaj ĉe la krepusko mem de Interreto. Ni eltrovu, kion signifas "fido".
Neniu najbara aŭtententigo. Formale, ekzistas MD5, sed MD5 en 2019 estas nur tio...
Neniu filtrado. BGP havas filtrilojn kaj ili estas priskribitaj, sed ili ne estas uzataj aŭ uzataj malĝuste. Mi klarigos kial poste.
Estas tre facile starigi kvartalon. Agordi najbarecon en la BGP-protokolo sur preskaŭ ajna enkursigilo estas kelkaj linioj de la agordo.
Neniuj BGP-administradrajtoj bezonataj. Vi ne bezonas fari ekzamenojn por pruvi viajn kvalifikojn. Neniu forprenos viajn rajtojn por agordi BGP dum ebrio.
Du ĉefaj problemoj
Prefiksaj aviadiloj. Prefikskaptado estas reklamado de reto kiu ne apartenas al vi, kiel estas la kazo kun MyEtherwallet. Ni prenis kelkajn prefiksojn, konsentis kun la provizanto aŭ hakis ĝin, kaj per ĝi ni anoncas ĉi tiujn retojn.
Itineraj likoj. Likoj estas iom pli komplikaj. Liko estas ŝanĝo en AS Path. En la plej bona kazo, la ŝanĝo rezultigos pli grandan prokraston ĉar vi devas vojaĝi pli longan itineron aŭ sur malpli ampleksa ligo. Plej malbone, la kazo kun Guglo kaj Japanio ripetiĝos.
Guglo mem ne estas funkciigisto aŭ trafika aŭtonoma sistemo. Sed kiam li anoncis la retojn de japanaj telefonistoj al sia provizanto, trafiko tra Guglo per AS Path estis vidita kiel pli alta prioritato. Trafiko iris tien kaj falis simple ĉar la vojaj agordoj en Guglo estas pli kompleksaj ol nur filtriloj ĉe la limo.
Kial filtriloj ne funkcias?
Neniu zorgas. Ĉi tio estas la ĉefa kialo - neniu zorgas. La administranto de malgranda provizanto aŭ firmao, kiu konektis al la provizanto per BGP, prenis MikroTik, agordis BGP sur ĝi kaj eĉ ne scias, ke filtriloj povas esti agorditaj tie.
Eraroj de agordo. Ili fuŝis ion, faris eraron en la masko, surmetis la malĝustan maŝon - kaj nun denove estas eraro.
Neniu teknika ebleco. Ekzemple, teleliverantoj havas multajn klientojn. La saĝa afero estas aŭtomate ĝisdatigi la filtrilojn por ĉiu kliento - por kontroli ke li havas novan reton, ke li luis sian reton al iu. Estas malfacile sekvi ĉi tion, kaj eĉ pli malfacile per viaj manoj. Tial ili simple instalas malstreĉitajn filtrilojn aŭ tute ne instalas filtrilojn.
Esceptoj. Estas esceptoj por amataj kaj grandaj klientoj. Precipe en la kazo de interfunkciaj interfacoj. Ekzemple, TransTeleCom kaj Rostelecom havas amason da retoj kaj ekzistas interfaco inter ili. Se la artiko falas, ĝi ne estos bona por iu ajn, do la filtriloj estas malstreĉitaj aŭ forigitaj tute.
Malaktualaj aŭ sensignifaj informoj en la IRR. Filtriloj estas konstruitaj surbaze de informoj, kiuj estas registritaj IRR - Interreta Voja Registro. Ĉi tiuj estas registroj de regionaj interretaj registriloj. Ofte, registroj enhavas malmodernajn aŭ sensignifajn informojn, aŭ ambaŭ.
Kiuj estas ĉi tiuj registriloj?
Ĉiuj interretaj adresoj apartenas al la organizo IANA - Interreta Assigned Numbers Authority. Kiam vi aĉetas IP-reton de iu, vi ne aĉetas adresojn, sed la rajton uzi ilin. Adresoj estas netuŝebla rimedo kaj laŭ komuna interkonsento ili ĉiuj estas posedataj de la IANA.
La sistemo funkcias tiel. IANA delegas la administradon de IP-adresoj kaj aŭtonomaj sistemaj numeroj al kvin regionaj registriloj. Ili eldonas aŭtonomiajn sistemojn LIR - lokaj interretaj registriloj. LIRoj tiam asignas IP-adresojn al finuzantoj.
La malavantaĝo de la sistemo estas, ke ĉiu el la regionaj registriloj konservas siajn registrojn laŭ sia maniero. Ĉiu havas siajn proprajn opiniojn pri kiaj informoj devus esti enhavitaj en registroj, kaj kiu devus aŭ ne devus kontroli ĝin. La rezulto estas la ĥaoso, kiun ni havas nun.
Kiel alie vi povas batali ĉi tiujn problemojn?
IRR - mezbona kvalito. Estas klare kun IRR - ĉio estas malbona tie.
BGP-komunumoj. Ĉi tio estas iu atributo, kiu estas priskribita en la protokolo. Ni povas alligi, ekzemple, specialan komunumon al nia anonco, por ke najbaro ne sendu niajn retojn al siaj najbaroj. Kiam ni havas ligon P2P, ni nur interŝanĝas niajn retojn. Por eviti ke la itinero hazarde iru al aliaj retoj, ni aldonas komunumon.
Komunumoj ne estas transitivaj. Ĉiam estas kontrakto por du, kaj ĉi tio estas ilia malavantaĝo. Ni ne povas atribui ajnan komunumon, escepte de unu, kiu estas akceptita defaŭlte de ĉiuj. Ni ne povas esti certaj, ke ĉiuj akceptos ĉi tiun komunumon kaj interpretos ĝin ĝuste. Tial, en la plej bona kazo, se vi konsentas kun via suprenligo, li komprenos, kion vi volas de li laŭ komunumo. Sed via najbaro eble ne komprenas, aŭ la operatoro simple restarigos vian etikedon, kaj vi ne atingos tion, kion vi volis.
RPKI + ROA solvas nur malgrandan parton de la problemoj. RPKI estas Rimeda Publika Ŝlosila Infrastrukturo — speciala kadro por subskribi vojinformojn. Estas bona ideo devigi LIR-ojn kaj iliajn klientojn konservi ĝisdatigitan datumbazon de adresspaco. Sed estas unu problemo kun ĝi.
RPKI ankaŭ estas hierarkia publikŝlosila sistemo. IANA havas ŝlosilon de kiu RIR-ŝlosiloj estas generitaj, kaj de kiuj LIR-ŝlosiloj estas generitaj? kun kiu ili subskribas sian adresspacon per ROAs - Itineraj Originaj Rajtoj:
— Mi certigas al vi, ke tiu ĉi prefikso estos anoncita nome de tiu ĉi aŭtonoma regiono.
Krom ROA, estas aliaj objektoj, sed pli pri ili poste. Ŝajnas kiel bona kaj utila afero. Sed ĝi ne protektas nin kontraŭ likoj de la vorto "tute" kaj ne solvas ĉiujn problemojn pri prefiksa forkaptado. Sekve, ludantoj ne rapidas efektivigi ĝin. Kvankam jam estas garantioj de grandaj ludantoj kiel AT&T kaj grandaj IX-kompanioj, ke prefiksoj kun nevalida ROA-rekordo estos forigitaj.
Eble ili faros tion, sed nuntempe ni havas grandegan nombron da prefiksoj, kiuj neniel estas subskribitaj. Unuflanke, estas neklare ĉu ili estas valide anoncitaj. Aliflanke, ni ne povas faligi ilin defaŭlte, ĉar ni ne certas ĉu tio estas ĝusta aŭ ne.
Kio alia estas tie?
BGPSec. Ĉi tio estas bonega afero, kiun akademiuloj elpensis por reto de rozkoloraj poneoj. Ili diris:
- Ni havas RPKI + ROA - mekanismon por kontroli adresspacajn subskribojn. Ni kreu apartan BGP-atributon kaj nomu ĝin BGPSec Vojo. Ĉiu enkursigilo subskribos per sia propra subskribo la anoncojn, kiujn ĝi anoncas al siaj najbaroj. Tiel ni ricevos fidindan vojon de la ĉeno de subskribitaj anoncoj kaj povos kontroli ĝin.
Bone teorie, sed praktike estas multaj problemoj. BGPSec rompas multajn ekzistantajn BGP-mekanikojn por elekti sekvajn saltojn kaj administri envenantan/eliran trafikon rekte sur la enkursigilo. BGPSec ne funkcias ĝis 95% de la tuta merkato efektivigis ĝin, kio en si mem estas utopio.
BGPSec havas enormajn agadoproblemojn. Sur la nuna aparataro, la rapideco de kontrolado de anoncoj estas proksimume 50 prefiksoj je sekundo. Por komparo: la nuna Interreta tabelo de 700 prefiksoj estos alŝutita en 000 horoj, dum kiuj ĝi ŝanĝiĝos 5 fojojn pli.
BGP Malferma Politiko (Rol-bazita BGP). Freŝa propono bazita sur la modelo Gao-Rexford. Ĉi tiuj estas du sciencistoj, kiuj esploras BGP.
La Gao-Rexford-modelo estas kiel sekvas. Por simpligi, kun BGP ekzistas malgranda nombro da specoj de interagoj:
- Provizanto Kliento;
- P2P;
- interna komunikado, diru iBGP.
Surbaze de la rolo de la enkursigilo, jam eblas asigni iujn import-/eksportpolitikojn defaŭlte. La administranto ne bezonas agordi prefiksajn listojn. Surbaze de la rolo, pri kiu la enkursigiloj konsentas inter si kaj kiu povas esti agordita, ni jam ricevas kelkajn defaŭltajn filtrilojn. Ĉi tio estas nuntempe skizo, kiu estas diskutata en la IETF. Mi esperas, ke baldaŭ ni vidos ĉi tion en formo de RFC kaj efektivigo pri aparataro.
Grandaj interretaj provizantoj
Ni rigardu la ekzemplon de provizanto CenturyLink. Ĝi estas la tria plej granda usona provizanto, servante 37 ŝtatojn kaj havante 15 datumcentrojn.
En decembro 2018, CenturyLink estis sur la usona merkato dum 50 horoj. Dum la okazaĵo, estis problemoj kun la funkciado de ATM en du ŝtatoj, kaj la 911-numero ne funkciis dum pluraj horoj en kvin ŝtatoj. La loterio en Idaho estis tute ruinigita. La okazaĵo estas nuntempe sub enketo de la Usona Telekomunikada Komisiono.
La kaŭzo de la tragedio estis unu retkarto en unu datumcentro. La karto misfunkciis, sendis malĝustajn pakaĵojn, kaj ĉiuj 15 datumcentroj de la provizanto falis.
La ideo ne funkciis por ĉi tiu provizanto "tro granda por fali". Ĉi tiu ideo tute ne funkcias. Vi povas preni ajnan gravan ludanton kaj meti kelkajn malgrandajn aferojn supre. Usono ankoraŭ fartas bone kun konektebleco. CenturyLink klientoj kiuj havis rezervon iris en ĝin amase. Tiam alternativaj funkciigistoj plendis pri siaj ligiloj troŝarĝitaj.
Se la kondiĉa Kazakhtelecom falos, la tuta lando restos sen Interreto.
Korporacioj
Verŝajne Google, Amazon, FaceBook kaj aliaj korporacioj subtenas Interreton? Ne, ankaŭ ili rompas ĝin.
En 2017 en Sankt-Peterburgo ĉe la konferenco ENOG13 Jeff Houston el APnic enkondukita . Ĝi diras, ke ni kutimas, ke interagoj, monfluoj kaj trafiko en Interreto estas vertikalaj. Ni havas malgrandajn provizantojn, kiuj pagas por konektebleco al pli grandaj, kaj ili jam pagas por konektebleco al tutmonda transito.
Nun ni havas tian vertikale orientitan strukturon. Ĉio estus bone, sed la mondo ŝanĝiĝas - gravaj ludantoj konstruas siajn transoceanajn kablojn por konstrui siajn proprajn spinojn.
Novaĵoj pri CDN-kablo.
En 2018, TeleGeography publikigis studon, ke pli ol duono de la trafiko en Interreto ne plu estas la Interreto, sed la spinoj CDN de grandaj ludantoj. Ĉi tio estas trafiko, kiu rilatas al Interreto, sed ĉi tio ne plu estas la reto, pri kiu ni parolis.
La Interreto disiĝas en granda aro de loze ligitaj retoj.
Mikrosofto havas sian propran reton, Google havas sian propran, kaj ili malmulte interkovras unu kun la alia. Trafiko kiu estiĝis ie en Usono iras tra Microsoft-kanaloj trans la oceano al Eŭropo ie sur CDN, tiam tra CDN aŭ IX ĝi konektas kun via provizanto kaj alvenas al via enkursigilo.
Malcentralizo malaperas.
Ĉi tiu forto de Interreto, kiu helpos ĝin travivi nuklean eksplodon, estas perdiĝanta. Aperas lokoj de koncentriĝo de uzantoj kaj trafiko. Se la kondiĉa Google Cloud falas, estos multaj viktimoj samtempe. Ni sentis ĉi tion parte kiam Roskomnadzor blokis AWS. Kaj la ekzemplo de CenturyLink montras, ke eĉ etaj aferoj sufiĉas por tio.
Antaŭe, ne ĉio kaj ne ĉiuj rompis. En la estonteco, ni eble venos al la konkludo, ke influante unu gravan ludanton, ni povas rompi multajn aferojn, en multaj lokoj kaj en multaj homoj.
ŝtatoj
Ŝtatoj sekvas en la vico, kaj jen kio kutime okazas al ili.
Ĉi tie nia Roskomnadzor eĉ ne estas pioniro. Simila praktiko de Interreta ĉesigo ekzistas en Irano, Barato kaj Pakistano. En Anglio ekzistas leĝpropono pri la ebleco fermi la Interreton.
Ajna granda ŝtato volas ricevi ŝaltilon por malŝalti la Interreton, ĉu tute aŭ en partoj: Twitter, Telegram, Facebook. Ne estas ke ili ne komprenas, ke ili neniam sukcesos, sed ili vere volas ĝin. La ŝaltilo estas uzata, kiel regulo, por politikaj celoj - por forigi politikajn konkurantojn, aŭ elektoj alproksimiĝas, aŭ rusaj hakistoj denove rompis ion.
DDoS-atakoj
Mi ne forprenos panon de miaj kamaradoj de Qrator Labs, ili faras tion multe pli bone ol mi. Ili havas pri interreta stabileco. Kaj jen kion ili skribis en la raporto de 2018.
La averaĝa daŭro de DDoS-atakoj falas al 2.5 horoj. La atakantoj ankaŭ komencas kalkuli monon, kaj se la rimedo ne estas tuj havebla, tiam ili rapide lasas ĝin sola.
La intenseco de atakoj kreskas. En 2018, ni vidis 1.7 Tb/s en la reto Akamai, kaj ĉi tio ne estas la limo.
Novaj atakvektoroj aperas kaj malnovaj intensiĝas. Aperas novaj protokoloj, kiuj estas susceptibles al plifortigo, kaj novaj atakoj aperas kontraŭ ekzistantaj protokoloj, precipe TLS kaj similaj.
Plejparto de la trafiko estas de porteblaj aparatoj. Samtempe, Interreta trafiko ŝanĝiĝas al moveblaj klientoj. Kaj tiuj, kiuj atakas kaj tiuj, kiuj defendas, devas povi labori kun ĉi tio.
Nevundebla - ne. Ĉi tiu estas la ĉefa ideo - ne ekzistas universala protekto, kiu certe protektos kontraŭ iu ajn DDoS.
La sistemo ne povas esti instalita krom se ĝi estas konektita al la Interreto.
Mi esperas, ke mi sufiĉe timigis vin. Ni nun pensu pri tio, kion fari pri ĝi.
Kion fari?!
Se vi havas liberan tempon, deziron kaj scipovon de la angla, partoprenu en laborgrupoj: IETF, RIPE WG. Ĉi tiuj estas malfermaj retlistoj, abonu al dissendolistoj, partoprenu diskutojn, venu al konferencoj. Se vi havas LIR-statuson, vi povas voĉdoni, ekzemple, en RIPE por diversaj iniciatoj.
Por nuraj mortontoj ĉi tio estas monitorado. Por scii kio estas rompita.
Monitorado: kion kontroli?
Normala Ping, kaj ne nur duuma kontrolo - ĝi funkcias aŭ ne. Enregistru RTT en la historio por ke vi povu rigardi anomaliojn poste.
Traceroute. Ĉi tio estas utila programo por determini datumvojojn sur TCP/IP-retoj. Helpas identigi anomaliojn kaj blokojn.
HTTP kontrolas por kutimaj URL-oj kaj TLS-atestiloj helpos detekti blokadon aŭ DNS-paroladon por atako, kio estas preskaŭ la sama afero. Blokado estas ofte farita per DNS-falsado kaj turnante trafikon al ĝermpaĝo.
Se eble, kontrolu la decidon de viaj klientoj pri via origino de malsamaj lokoj se vi havas kandidatiĝon. Ĉi tio helpos vin detekti anomaliojn pri DNS-kaptado, io, kion provizantoj foje faras.
Monitorado: kie kontroli?
Ne ekzistas universala respondo. Kontrolu de kie venas la uzanto. Se uzantoj estas en Rusio, kontrolu el Rusio, sed ne limigu vin al ĝi. Se viaj uzantoj loĝas en malsamaj regionoj, kontrolu de ĉi tiuj regionoj. Sed pli bone el la tuta mondo.
Monitorado: kion kontroli?
Mi elpensis tri manierojn. Se vi scias pli, skribu en la komentoj.
- RIPE Atlaso.
- Komerca monitorado.
- Via propra reto de virtualaj maŝinoj.
Ni parolu pri ĉiu el ili.
RIPE Atlaso - ĝi estas tiel malgranda skatolo. Por tiuj, kiuj konas la hejman "Inspektisto" - ĉi tio estas la sama skatolo, sed kun malsama glumarko.
RIPE Atlas estas senpaga programo. Vi registriĝas, ricevas enkursigilon per poŝto kaj ŝtopas ĝin en la reton. Por la fakto, ke iu alia uzas vian specimenon, vi ricevas kelkajn kreditojn. Kun ĉi tiuj pruntoj vi povas mem esplori. Vi povas testi en malsamaj manieroj: ping, traceroute, kontroli atestojn. La kovrado estas sufiĉe granda, estas multaj nodoj. Sed estas nuancoj.
La kreditsistemo ne permesas konstrui produktadsolvojn. Ne estos sufiĉe da kreditoj por daŭra esplorado aŭ komerca monitorado. La kreditoj sufiĉas por mallonga studo aŭ unufoja kontrolo. La ĉiutaga normo de unu specimeno estas konsumita per 1-2 ĉekoj.
Kovrado estas malebena. Ĉar la programo estas senpaga ambaŭdirekte, kovrado estas bona en Eŭropo, en la eŭropa parto de Rusio kaj kelkaj regionoj. Sed se vi bezonas Indonezion aŭ Nov-Zelandon, tiam ĉio estas multe pli malbona - vi eble ne havas 50 specimenojn por lando.
Vi ne povas kontroli http de specimeno. Ĉi tio estas pro teknikaj nuancoj. Ili promesas ripari ĝin en la nova versio, sed nuntempe http ne povas esti kontrolita. Nur la atestilo povas esti kontrolita. Ia http-kontrolo povas esti farita nur al speciala RIPE Atlas-aparato nomata Anchor.
La dua metodo estas komerca monitorado. Ĉe li ĉio estas en ordo, vi pagas monon, ĉu ne? Ili promesas al vi plurajn dekduojn aŭ centojn da monitoraj punktoj tra la mondo kaj desegnas belajn instrumentpanelojn el la skatolo. Sed, denove, estas problemoj.
Ĝi estas pagita, kelkloke ĝi estas tre. Ping-monitorado, tutmondaj ĉekoj kaj multaj http-kontroloj povas kosti plurajn milojn da dolaroj jare. Se financoj permesas kaj vi ŝatas ĉi tiun solvon, daŭrigu.
Priraportado eble ne sufiĉas en la regiono de intereso. Per la sama ping, maksimume abstrakta parto de la mondo estas precizigita - Azio, Eŭropo, Nordameriko. Maloftaj monitoraj sistemoj povas bori malsupren al specifa lando aŭ regiono.
Malforta subteno por kutimaj testoj. Se vi bezonas ion kutiman, kaj ne nur "buklan" sur la url, tiam ankaŭ estas problemoj pri tio.
La tria maniero estas via monitorado. Ĉi tio estas klasikaĵo: "Ni skribu nian!"
Via monitorado fariĝas disvolviĝo de programaro, kaj distribuita. Vi serĉas infrastrukturan provizanton, rigardu kiel disfaldi kaj kontroli ĝin - monitorado devas esti monitorita, ĉu ne? Kaj ankaŭ necesas subteno. Pensu dek fojojn antaŭ ol vi okupiĝas pri tio. Povas esti pli facile pagi iun por fari ĝin por vi.
Monitorado de BGP-anomalioj kaj DDoS-atakoj
Ĉi tie, surbaze de la disponeblaj rimedoj, ĉio estas eĉ pli simpla. BGP-anomalioj estas detektitaj uzante specialigitajn servojn kiel QRadar, BGPmon. Ili akceptas plenan vidotabelon de pluraj operatoroj. Surbaze de tio, kion ili vidas de malsamaj funkciigistoj, ili povas detekti anomaliojn, serĉi amplifilojn, ktp. Registrado estas kutime senpaga - vi enigu vian telefonnumeron, abonas retpoŝtajn sciigojn, kaj la servo atentigos vin pri viaj problemoj.
Monitorado de DDoS-atakoj ankaŭ estas simpla. Tipe ĉi tio estas NetFlow-bazitaj kaj protokoloj. Estas specialigitaj sistemoj kiel FastNetMon, moduloj por Splunk. Kiel lasta rimedo, estas via provizanto de protekto DDoS. Ĝi ankaŭ povas liki NetFlow kaj, surbaze de ĝi, ĝi sciigos vin pri atakoj en via direkto.
trovoj
Ne havu iluziojn - la Interreto certe rompiĝos. Ne ĉio kaj ne ĉiuj rompiĝos, sed 14 mil okazaĵoj en 2017 sugestas, ke okazos incidentoj.
Via tasko estas rimarki problemojn kiel eble plej frue. Minimume, ne pli malfrue ol via uzanto. Ne nur gravas noti, ĉiam konservu "Planon B" en rezervo. Plano estas strategio por tio, kion vi faros kiam ĉio rompiĝos.: rezervaj funkciigistoj, DC, CDN. Plano estas aparta kontrolo, kontraŭ kiu vi kontrolas la laboron de ĉio. La plano devus funkcii sen la implikiĝo de retaj inĝenieroj, ĉar kutime estas malmultaj el ili kaj ili volas dormi.
Tio estas ĉio. Mi deziras al vi altan haveblecon kaj verdan monitoradon.
Venontsemajne en Novosibirsk sunbrilo, alta ŝarĝo kaj alta koncentriĝo de programistoj estas atendataj . En Siberio antaŭvidas raportoj pri monitorado, alirebleco kaj testado, sekureco kaj administrado. Precipitaĵo estas atendata en formo de skribaĉitaj notoj, retoj, fotoj kaj afiŝoj en sociaj retoj. Ni rekomendas prokrasti ĉiujn agadojn la 24-an kaj 25-an de junio kaj . Ni atendas vin en Siberio!
fonto: www.habr.com