Internet näib olevat tugev, sõltumatu ja hävimatu struktuur. Teoreetiliselt on võrk piisavalt tugev, et tuumaplahvatuse üle elada. Tegelikkuses võib Internet ära visata ühe väikese ruuteri. Kõik sellepärast, et Internet on kuhjaga vastuolusid, haavatavust, vigu ja videoid kasside kohta. Interneti selgroog BGP on täis probleeme. Hämmastav, et ta veel hingab. Lisaks vigadele Internetis endas rikuvad seda ka kõik ja kõik: suured Interneti-pakkujad, ettevõtted, osariigid ja DDoS-i rünnakud. Mida sellega teha ja kuidas sellega elada?
Teab vastust Aleksei Utšakin () on IQ Optioni võrguinseneride meeskonna juht. Selle peamine ülesanne on platvormi juurdepääsetavus kasutajatele. Aleksei ettekande ärakirjas Räägime BGP-st, DDOS-i rünnakutest, Interneti-lülititest, pakkuja vigadest, detsentraliseerimisest ja juhtudest, kui väike ruuter saatis Interneti magama. Lõpetuseks - paar näpunäidet, kuidas seda kõike üle elada.
Päev, mil Internet purunes
Toon välja vaid mõned juhtumid, kus Interneti-ühendus katkes. Sellest piisab tervikliku pildi saamiseks.
"AS7007 vahejuhtum". Esimest korda läks internet katki aprillis 1997. Ühe autonoomse süsteemi 7007 ruuteri tarkvaras oli viga. Mingil hetkel teatas ruuter oma sisemisest marsruutimistabelist naabritele ja saatis poole võrgust musta auku.
"Pakistan YouTube'i vastu". 2008. aastal otsustasid Pakistani vaprad poisid YouTube'i blokeerida. Nad tegid seda nii hästi, et pool maailma jäi kassideta.
Rostelecomi VISA, MasterCardi ja Symanteci eesliidete püüdmine. 2017. aastal hakkas Rostelecom ekslikult välja kuulutama VISA, MasterCardi ja Symanteci eesliiteid. Selle tulemusena suunati finantsliiklus teenusepakkuja kontrollitavate kanalite kaudu. Leke ei kestnud kaua, kuid finantsfirmadele oli see ebameeldiv.
Google vs Jaapan. 2017. aasta augustis alustas Google mõne oma üleslingi puhul suuremate Jaapani pakkujate NTT ja KDDI eesliidete avaldamist. Liiklus saadeti Google'ile transiidina, tõenäoliselt kogemata. Kuna Google ei ole pakkuja ega luba transiitliiklust, jäi märkimisväärne osa Jaapanist ilma internetita.
"DV LINK jäädvustas Google'i, Apple'i, Facebooki, Microsofti eesliited". Ka 2017. aastal hakkas Venemaa pakkuja DV LINK millegipärast välja kuulutama Google'i, Apple'i, Facebooki, Microsofti ja mõnede teiste suuremate tegijate võrke.
"USA eNet on hõivanud AWS Route53 ja MyEtherwalleti eesliited". 2018. aastal teatas Ohio pakkuja või üks tema klientidest krüptorahakotivõrkudest Amazon Route53 ja MyEtherwallet. Rünnak õnnestus: isegi vaatamata iseallkirjastatud sertifikaadile, mille kohta kasutajale MyEtherwalleti veebilehele sisenedes hoiatus ilmus, kaaperdati paljud rahakotid ja varastati osa krüptorahast.
Ainuüksi 2017. aastal oli selliseid juhtumeid üle 14 000! Võrk on endiselt detsentraliseeritud, nii et kõik ja mitte kõik ei lagune. Kuid on tuhandeid juhtumeid, mis kõik on seotud Internetti toitava BGP-protokolliga.
BGP ja selle probleemid
Protokoll BGP – Border Gateway Protocol, kirjeldasid esmakordselt 1989. aastal kaks IBMi ja Cisco Systemsi inseneri kolmel "salvrätikul" - A4-lehel. Need istub endiselt Cisco Systemsi peakorteris San Franciscos kui võrgumaailma reliikvia.
Protokoll põhineb autonoomsete süsteemide koostoimel - autonoomsed süsteemid ehk AS. Autonoomne süsteem on lihtsalt ID, millele on avalikus registris IP-võrgud määratud. Selle ID-ga ruuter saab neist võrkudest maailmale teada anda. Sellest lähtuvalt saab mis tahes marsruuti Internetis esitada vektorina, mida nimetatakse AS Tee. Vektor koosneb autonoomsete süsteemide arvust, mis tuleb sihtvõrku jõudmiseks läbida.
Näiteks on olemas mitmete autonoomsete süsteemide võrk. Peate minema AS65001 süsteemist süsteemi AS65003. Ühest süsteemist lähtuvat teed tähistab diagrammil AS Path. See koosneb kahest autonoomsest süsteemist: 65002 ja 65003. Iga sihtkoha aadressi jaoks on olemas AS Path vektor, mis koosneb autonoomsete süsteemide arvust, mida peame läbima.
Millised on siis BGP probleemid?
BGP on usaldusprotokoll
BGP-protokoll põhineb usaldusel. See tähendab, et me usaldame oma ligimest vaikimisi. See on paljude protokollide funktsioon, mis töötati välja Interneti alguses. Mõelgem välja, mida tähendab "usaldus".
Ei mingit naabri autentimist. Formaalselt on MD5 olemas, kuid MD5 aastal 2019 on just see...
Ei mingit filtreerimist. BGP-l on filtrid ja need on kirjeldatud, kuid neid ei kasutata või kasutatakse valesti. Ma selgitan hiljem, miks.
Naabruskonna loomine on väga lihtne. Peaaegu iga ruuteri BGP-protokolli naabruskonna seadistamine on konfiguratsiooni paar rida.
BGP haldusõigusi pole vaja. Oma kvalifikatsiooni tõendamiseks ei pea te sooritama eksameid. Keegi ei võta sinult ära õigusi joobes olles BGP seadistamise eest.
Kaks peamist probleemi
Eesliidete kaaperdamised. Eesliidete kaaperdamine reklaamib võrku, mis ei kuulu teile, nagu MyEtherwalleti puhul. Võtsime mõned eesliited, leppisime pakkujaga kokku või häkkisime selle sisse ja selle kaudu teavitame neid võrke.
Marsruut lekib. Lekked on veidi keerulisemad. Leke on AS Pathi muudatus. Parimal juhul toob muudatus kaasa suurema hilinemise, kuna peate sõitma pikemat marsruuti või vähem mahutaval liinil. Halvimal juhul kordub Google'i ja Jaapani juhtum.
Google ise ei ole operaator ega transiidi autonoomne süsteem. Kuid kui ta teatas Jaapani operaatorite võrkudest oma teenusepakkujale, peeti AS Pathi kaudu Google'i kaudu toimuvat liiklust kõrgema prioriteediks. Liiklus läks sinna ja vähenes lihtsalt seetõttu, et Google'i marsruutimise seaded on keerulisemad kui lihtsalt piiril olevad filtrid.
Miks filtrid ei tööta?
Kedagi ei huvita. See on peamine põhjus – see ei huvita kedagi. Väikese pakkuja või BGP kaudu pakkujaga ühenduse loonud ettevõtte administraator võttis MikroTiku, seadistas sellel BGP ja ei tea isegi, et seal saab filtreid seadistada.
Konfiguratsiooni vead. Nad ajasid midagi sassi, tegid maskis vea, panid vale võrgu – ja nüüd on jälle viga.
Tehniline võimalus puudub. Näiteks on telekommunikatsiooniteenuse pakkujatel palju kliente. Nutikal moel tuleks iga kliendi jaoks automaatselt filtreid uuendada – veenduda, et tal on uus võrk, et ta on oma võrgu kellelegi välja rentinud. Seda on raske jälgida ja kätega veelgi keerulisem. Seetõttu paigaldavad nad lihtsalt pingevabad filtrid või ei paigalda filtreid üldse.
Erandid. Armastatud ja suurklientide puhul on erandeid. Eriti operaatoritevaheliste liideste puhul. Näiteks TransTeleComil ja Rostelecomil on hunnik võrke ja nende vahel on liides. Kui liigend kukub, pole see kellelegi kasulik, nii et filtrid lõdvestuvad või eemaldatakse täielikult.
Aegunud või ebaoluline teave IRR-is. Filtrid luuakse salvestatud teabe põhjal IRR – Interneti-marsruutimise register. Need on piirkondlike Interneti-registripidajate registrid. Sageli sisaldavad registrid aegunud või ebaolulist teavet või mõlemat.
Kes need registripidajad on?
Kõik Interneti-aadressid kuuluvad organisatsioonile IANA – Interneti määratud numbrite asutus. Kui ostate kelleltki IP-võrgu, ei osta te aadresse, vaid õigust neid kasutada. Aadressid on immateriaalne ressurss ja ühisel kokkuleppel kuuluvad need kõik IANA-le.
Süsteem töötab nii. IANA delegeerib IP-aadresside ja autonoomsete süsteeminumbrite haldamise viiele piirkondlikule registripidajale. Nad väljastavad autonoomseid süsteeme LIR – kohalikud internetiregistripidajad. Seejärel eraldavad LIR-id lõppkasutajatele IP-aadressid.
Süsteemi puuduseks on see, et iga piirkondlik registripidaja peab oma registreid omal moel. Igaühel on oma nägemus selle kohta, milline teave peaks olema registrites ja kes peaks või ei peaks seda kontrollima. Tulemuseks on praegune segadus.
Kuidas muidu saate nende probleemidega võidelda?
IRR – keskpärane kvaliteet. IRR-iga on selge - seal on kõik halvasti.
BGP-kogukonnad. See on mingi atribuut, mida protokollis kirjeldatakse. Et naaber meie võrke oma naabritele ei saadaks, saame oma kuulutuse juurde lisada näiteks spetsiaalse kogukonna. Kui meil on P2P link, vahetame ainult oma võrke. Et marsruut kogemata teistesse võrkudesse ei läheks, lisame kogukonna.
Kogukonnad ei ole transitiivsed. See on alati leping kahele ja see on nende puudus. Me ei saa määrata ühtegi kogukonda, välja arvatud üks, mille kõik vaikimisi aktsepteerivad. Me ei saa olla kindlad, et kõik aktsepteerivad seda kogukonda ja tõlgendavad seda õigesti. Seetõttu saab ta parimal juhul, kui nõustute oma üleslingiga, aru, mida te temalt kogukonna mõttes soovite. Kuid teie naaber ei pruugi aru saada või operaator lähtestab teie sildi lihtsalt ja te ei saavuta seda, mida tahtsite.
RPKI + ROA lahendab vaid väikese osa probleemidest. RPKI on Ressursi avaliku võtme infrastruktuur — spetsiaalne raamistik marsruutimisteabe allkirjastamiseks. Hea mõte on sundida LIR-e ja nende kliente pidama ajakohast aadressiruumi andmebaasi. Kuid sellega on üks probleem.
RPKI on ka hierarhiline avaliku võtme süsteem. IANA-l on võti, millest genereeritakse RIR-võtmed ja millest LIR-võtmed genereeritakse? millega nad allkirjastavad oma aadressiruumi, kasutades ROA-sid – marsruudi päritolu volitused:
— Kinnitan teile, et see eesliide tehakse teatavaks selle autonoomse piirkonna nimel.
Lisaks ROA-le on ka teisi objekte, aga nendest hiljem. Tundub hea ja kasulik asi olevat. Kuid see ei kaitse meid sõna "üldse" lekete eest ega lahenda kõiki eesliidete kaaperdamisega seotud probleeme. Seetõttu ei kiirusta mängijad selle rakendamisega. Kuigi suured tegijad, nagu AT&T ja suured IX ettevõtted, on juba kinnitanud, et kehtetu ROA-kirjega eesliited tühistatakse.
Võib-olla teevad nad seda, kuid praegu on meil tohutul hulgal eesliiteid, millele pole mingil viisil alla kirjutatud. Ühest küljest on ebaselge, kas need on kehtivalt välja kuulutatud. Teisest küljest ei saa me neid vaikimisi maha jätta, sest me pole kindlad, kas see on õige või mitte.
Mis seal veel on?
BGPSec. See on lahe asi, mille akadeemikud roosade ponide võrgustiku jaoks välja mõtlesid. Nad ütlesid:
- Meil on RPKI + ROA - mehhanism aadressiruumi allkirjade kontrollimiseks. Loome eraldi BGP atribuudi ja nimetame selle BGPSec Pathiks. Iga ruuter allkirjastab oma allkirjaga teated, mida ta oma naabritele teatab. Nii saame allkirjastatud teadete ahelast usaldusväärse tee ja saame seda kontrollida.
Teoreetiliselt hea, kuid praktikas on palju probleeme. BGPSec rikub paljusid olemasolevaid BGP mehaanikaid järgmiste hüpete valimiseks ja sissetuleva/väljamineva liikluse haldamiseks otse ruuteris. BGPSec ei tööta enne, kui 95% kogu turust on selle juurutanud, mis on iseenesest utoopia.
BGPSecil on suuri jõudlusprobleeme. Praeguse riistvara puhul on teadete kontrollimise kiirus ligikaudu 50 eesliidet sekundis. Võrdluseks: praegune 700 000 prefiksiga internetitabel laetakse üles 5 tunniga, mille jooksul muutub see veel 10 korda.
BGP avatud poliitika (rollipõhine BGP). Värske ettepanek mudeli põhjal Gao-Rexford. Need on kaks teadlast, kes uurivad BGP-d.
Gao-Rexfordi mudel on järgmine. Lihtsustamise mõttes on BGP-ga väike arv interaktsioonitüüpe:
- Pakkuja klient;
- P2P;
- sisesuhtlus, ütleme iBGP.
Ruuteri rollist lähtuvalt on juba vaikimisi võimalik määrata teatud impordi/ekspordi poliitikaid. Administraator ei pea eesliidete loendeid konfigureerima. Lähtudes rollist, mille ruuterid omavahel kokku lepivad ja mida saab määrata, saame juba mõned vaikefiltrid. See on praegu IETF-is arutlusel olev eelnõu. Loodan, et varsti näeme seda RFC ja riistvara juurutamise kujul.
Suured Interneti-pakkujad
Vaatame pakkuja näidet CenturyLink. See on USA suuruselt kolmas teenusepakkuja, mis teenindab 37 osariiki ja omab 15 andmekeskust.
2018. aasta detsembris oli CenturyLink USA turul 50 tundi. Intsidendi ajal oli kahes osariigis probleeme sularahaautomaatide tööga ning viies osariigis ei töötanud number 911 mitu tundi. Idaho loterii oli täielikult rikutud. Juhtumit uurib praegu USA telekommunikatsioonikomisjon.
Tragöödia põhjuseks oli üks võrgukaart ühes andmekeskuses. Kaardil tekkis tõrge, saadeti valed paketid ja kõik 15 teenusepakkuja andmekeskust läksid alla.
See idee selle pakkuja jaoks ei töötanud "liiga suur, et kukkuda". See idee ei tööta üldse. Võite võtta suvalise suurema mängija ja panna mõned väikesed asjad peale. USA-l läheb ühenduvusega endiselt hästi. CenturyLinki kliendid, kellel oli reservi, läksid sinna hunnikutes. Seejärel kaebasid alternatiivsed operaatorid nende linkide ülekoormamise üle.
Kui tinglik Kasahtelecom kukub, jääb kogu riik internetita.
Korporatsioonid
Ilmselt toetavad Internetti Google, Amazon, FaceBook ja teised ettevõtted? Ei, nad lõhuvad ka selle.
2017. aastal Peterburis ENOG13 konverentsil Jeff Houston kohta APNIC tutvustatud . See ütleb, et oleme harjunud, et suhtlus, rahavood ja liiklus Internetis on vertikaalne. Meil on väikesed pakkujad, kes maksavad ühenduvuse eest suuremate teenusepakkujatega, ja nemad maksavad juba globaalse transiidiga ühendamise eest.
Nüüd on meil selline vertikaalselt orienteeritud struktuur. Kõik oleks hästi, aga maailm muutub – suuremad tegijad ehitavad oma ookeaniüleseid kaableid, et ehitada oma selgroog.
Uudised CDN-kaabli kohta.
2018. aastal avaldas TeleGeography uuringu, et üle poole interneti liiklusest ei moodusta enam internet, vaid suurte mängijate selgroog CDN. See on liiklus, mis on seotud Internetiga, kuid see pole enam võrk, millest me rääkisime.
Internet laguneb suureks lõdvalt ühendatud võrkude kogumiks.
Microsoftil on oma võrk, Google'il oma ja need kattuvad üksteisega vähe. Kusagilt USA-st alguse saanud liiklus läheb Microsofti kanalite kaudu üle ookeani Euroopasse kuskil CDN-i kaudu, seejärel ühendub CDN-i või IX kaudu teie pakkujaga ja jõuab teie ruuterini.
Detsentraliseerimine on kadumas.
See Interneti tugevus, mis aitab tal tuumaplahvatuse üle elada, on kadunud. Ilmuvad kasutajate ja liikluse koondumiskohad. Kui tingimuslik Google Cloud kukub, on korraga palju ohvreid. Tundsime seda osaliselt siis, kui Roskomnadzor AWS-i blokeeris. Ja CenturyLinki näide näitab, et selleks piisab ka väikestest asjadest.
Varem ei läinud kõik ja mitte kõik katki. Tulevikus võime jõuda järeldusele, et ühte suurtegijat mõjutades saame palju asju lõhkuda, paljudes kohtades ja paljudes inimestes.
Osariikides
Järjekorras on riigid ja see juhtub nendega tavaliselt.
Siin pole meie Roskomnadzor isegi mitte pioneer. Sarnane Interneti sulgemise tava on olemas Iraanis, Indias ja Pakistanis. Inglismaal on seaduseelnõu Interneti sulgemise võimaluse kohta.
Iga suur riik soovib saada lülitit Interneti väljalülitamiseks kas täielikult või osade kaupa: Twitter, Telegram, Facebook. Asi pole selles, et nad ei mõistaks, et neil ei õnnestu kunagi, kuid nad tahavad seda väga. Lülitit kasutatakse reeglina poliitilistel eesmärkidel – poliitiliste konkurentide kõrvaldamiseks või lähenevad valimised või on Vene häkkerid jälle midagi lõhkunud.
DDoS ründab
Ma ei võta Qrator Labsi kaaslastelt leiba ära, nad teevad seda palju paremini kui mina. Neil on Interneti stabiilsuse kohta. Ja seda nad kirjutasid 2018. aasta aruandes.
DDoS-i rünnakute keskmine kestus langeb 2.5 tunnini. Ründajad hakkavad ka raha lugema ja kui ressurssi kohe kätte ei saa, siis jätavad nad selle kiiresti rahule.
Rünnakute intensiivsus kasvab. 2018. aastal nägime Akamai võrgus 1.7 Tb/s ja see pole piir.
Tekivad uued rünnakuvektorid ja vanad intensiivistuvad. Tekivad uued protokollid, mis on vastuvõtlikud võimendusele, ja uued rünnakud olemasolevatele protokollidele, eriti TLS-ile jms.
Suurem osa liiklusest pärineb mobiilseadmetest. Samal ajal nihkub Interneti-liiklus mobiilsetele klientidele. Nii need, kes ründavad, kui ka need, kes kaitsevad, peavad suutma sellega töötada.
Haavatamatu – ei. See on põhiidee – pole olemas universaalset kaitset, mis kindlasti kaitseks mis tahes DDoS-i eest.
Süsteemi ei saa installida, kui see pole Internetiga ühendatud.
Loodan, et olen sind piisavalt hirmutanud. Mõtleme nüüd, mida sellega teha.
Mida teha?!
Kui sul on vaba aega, soovi ja inglise keele oskust, võta osa töörühmadest: IETF, RIPE WG. Need on avatud meililistid, liituda meililistidega, osaleda aruteludes, tulla konverentsidele. Kui teil on LIR-i staatus, saate hääletada näiteks RIPE-s erinevate algatuste poolt.
Lihtsurelike jaoks on see nii jälgimine. Et teada, mis katki on.
Jälgimine: mida kontrollida?
Tavaline Ping, ja mitte ainult binaarne kontroll – see töötab või mitte. Salvestage RTT ajalukku, et saaksite hiljem kõrvalekaldeid vaadata.
Traceroute. See on utiliit andmemarsruutide määramiseks TCP/IP-võrkudes. Aitab tuvastada anomaaliaid ja ummistusi.
HTTP kontrollib kohandatud URL-e ja TLS-sertifikaate aitab tuvastada rünnaku blokeerimist või DNS-i võltsimist, mis on praktiliselt sama asi. Blokeerimine toimub sageli DNS-i võltsimise ja liikluse muutmise kaudu tüngalehele.
Võimaluse korral kontrollige oma klientide otsust teie päritolu kohta erinevatest kohtadest, kui teil on rakendus. See aitab teil tuvastada DNS-i kaaperdamise kõrvalekaldeid, mida teenusepakkujad mõnikord teevad.
Jälgimine: kust kontrollida?
Universaalset vastust pole. Kontrollige, kust kasutaja tuleb. Kui kasutajad on Venemaal, kontrollige seda Venemaalt, kuid ärge piirduge sellega. Kui teie kasutajad elavad erinevates piirkondades, kontrollige nendest piirkondadest. Aga parem kogu maailmast.
Jälgimine: mida kontrollida?
Mõtlesin välja kolm võimalust. Kui tead rohkem, kirjuta kommentaaridesse.
- RIPE Atlas.
- Kaubanduslik seire.
- Teie enda virtuaalmasinate võrk.
Räägime neist igaühest.
RIPE Atlas - see on nii väike kast. Neile, kes teavad kodumaist "Inspektorit" - see on sama kast, kuid erineva kleebisega.
RIPE Atlas on tasuta programm. Registreerute, saate ruuteri posti teel ja ühendate selle võrku. Selle eest, et keegi teine kasutab teie näidist, saate krediiti. Nende laenudega saate ise uurimistööd teha. Testida saab erinevatel viisidel: ping, traceroute, kontrolli sertifikaate. Katvus on üsna suur, sõlme on palju. Kuid on nüansse.
Krediidisüsteem ei võimalda ehitada tootmislahendusi. Käimasolevate uuringute või ärilise järelevalve jaoks ei jätku ainepunkte. Ainepunktidest piisab lühiõppeks või ühekordseks kontrolliks. Päevanormi ühest proovist kulub ära 1-2 kontrolli.
Katvus on ebaühtlane. Kuna programm on mõlemas suunas tasuta, on levi Euroopas, Venemaa Euroopa osas ja mõnes piirkonnas hea. Aga kui sul on vaja Indoneesiat või Uus-Meremaad, siis on kõik palju hullem – sul ei pruugi olla 50 näidist riigi kohta.
Näidisest http-d kontrollida ei saa. See on tingitud tehnilistest nüanssidest. Nad lubavad selle uues versioonis parandada, kuid praegu ei saa http-d kontrollida. Kontrollida saab ainult sertifikaati. Mingi http-kontrolli saab teha ainult spetsiaalsele RIPE Atlase seadmele nimega Anchor.
Teine meetod on kaubanduslik jälgimine. Temaga on kõik korras, sa maksad raha, eks? Nad lubavad teile mitukümmend või sadu seirepunkte üle maailma ja joonistavad karbist välja kaunid armatuurlauad. Kuid jällegi on probleeme.
See on tasuline, mõnes kohas väga. Pingi jälgimine, ülemaailmsed kontrollid ja palju http-kontrolle võivad maksta mitu tuhat dollarit aastas. Kui rahandus lubab ja see lahendus teile meeldib, siis jätkake.
Katvus ei pruugi huvipakkuvas piirkonnas olla piisav. Sama pingiga määratakse maksimaalselt abstraktne osa maailmast - Aasia, Euroopa, Põhja-Ameerika. Haruldased seiresüsteemid võivad ulatuda konkreetsesse riiki või piirkonda.
Nõrk tugi kohandatud testidele. Kui vajate midagi kohandatud, mitte ainult URL-i lokkis, siis on ka sellega probleeme.
Kolmas viis on teie jälgimine. See on klassika: "Kirjutame oma!"
Teie jälgimine muutub tarkvaratoote ja hajutatud toote arendamiseks. Otsite infrastruktuuri pakkujat, vaadake, kuidas seda juurutada ja jälgida – monitooringut tuleb ju jälgida, eks? See nõuab ka toetust. Mõelge kümme korda, enne kui selle ette võtate. Võib-olla on lihtsam maksta kellelegi, kes seda teie eest teeks.
BGP anomaaliate ja DDoS rünnakute jälgimine
Siin on olemasolevate ressursside põhjal kõik veelgi lihtsam. BGP-anomaaliaid tuvastatakse spetsiaalsete teenuste, nagu QRadar, BGPmon, abil. Nad aktsepteerivad mitme operaatori täisvaate tabelit. Erinevatelt operaatoritelt nähtu põhjal saavad nad tuvastada kõrvalekaldeid, otsida võimendeid jne. Registreerimine on tavaliselt tasuta – sisestate oma telefoninumbri, tellite meiliteavitused ja teenus annab teile probleemidest märku.
DDoS-i rünnakute jälgimine on samuti lihtne. Tavaliselt on see NetFlow-põhine ja logid. On olemas spetsiaalsed süsteemid nagu FastNetMon, moodulid jaoks Purustatud. Viimase abinõuna on teie DDoS-kaitse pakkuja. Samuti võib see lekkida NetFlow'st ja selle põhjal teavitab teid teie suunal toimuvatest rünnakutest.
Järeldused
Ärge looge illusioone - Internet puruneb kindlasti. Kõik ja mitte kõik ei purune, kuid 14 tuhat intsidenti 2017. aastal vihjab, et vahejuhtumeid tuleb.
Sinu ülesanne on märgata probleeme võimalikult varakult. Vähemalt mitte hiljem kui teie kasutaja. Oluline pole mitte ainult tähele panna, vaid hoidke alati "plaan B" varuks. Plaan on strateegia selle kohta, mida teete, kui kõik laguneb.: reservoperaatorid, DC, CDN. Plaan on eraldi kontrollnimekiri, mille alusel kontrollite kõike. Plaan peaks töötama ilma võrguinseneride kaasamiseta, sest tavaliselt on neid vähe ja nad tahavad magada.
See on kõik. Soovin teile kõrget kättesaadavust ja rohelist jälgimist.
Järgmisel nädalal on Novosibirskis oodata päikesepaistet, suurt koormust ja suurt arendajate kontsentratsiooni . Siberis ennustatakse seire, juurdepääsetavuse ja testimise, turvalisuse ja haldamise aruannete rindet. Sademeid on oodata kritseldatud märkmete, võrgustike loomise, fotode ja postituste kujul sotsiaalvõrgustikes. Soovitame kõik tegevused edasi lükata 24. ja 25. juunil ja . Ootame Sind Siberisse!
Allikas: www.habr.com