Internet egitura sendoa, independentea eta suntsigaitza dela dirudi. Teorian, sarea nahikoa sendoa da leherketa nuklear batetik bizirik irauteko. Egia esan, Internetek bideratzaile txiki bat jar dezake. Guztia Internet kontraesan, ahultasun, akats eta katuei buruzko bideo pila bat delako. Interneten bizkarrezurra, BGP, arazoz beteta dago. Harrigarria da oraindik arnasa hartzen ari dela. Interneten bertan dauden akatsez gain, denek ere hausten dute: Interneteko hornitzaile handiek, korporazioek, estatuek eta DDoS erasoek. Zer egin eta nola bizi?
Badaki erantzuna Alexey Uchakin () IQ Option sareko ingeniari talde baten liderra da. Bere zeregin nagusia erabiltzaileentzako plataformaren irisgarritasuna da. Alexeyren txostenaren transkripzioan Hitz egin dezagun BGP, DDOS erasoak, Interneteko etengailuak, hornitzaileen akatsak, deszentralizazioa eta bideratzaile txiki batek Internet lotara bidaltzen dituen kasuei buruz. Amaieran - hau guztia bizirauteko aholku pare bat.
Internet hautsi zen eguna
Interneten konexioa hautsi den gertakari batzuk aipatuko ditut. Hau nahikoa izango da argazki osoa lortzeko.
"AS7007 gertakaria". Internet hautsi zen lehen aldia 1997ko apirilean izan zen. 7007 sistema autonomoko bideratzaile baten softwarean akats bat zegoen. Noizbait, bideratzaileak bere barruko bideratze-taula iragarri zuen auzokideei eta sarearen erdia zulo beltz batera bidali zuen.
"Pakistan YouTuberen aurka". 2008an, Pakistango mutil ausartak YouTube blokeatzea erabaki zuten. Hain ondo egin zuten non mundu erdia katurik gabe geratu zen.
"Rostelecom-ek VISA, MasterCard eta Symantec aurrizkiak harrapatzea". 2017an, Rostelecom oker hasi zen VISA, MasterCard eta Symantec aurrizkiak iragartzen. Ondorioz, finantza-trafikoa hornitzaileak kontrolatutako kanaletatik bideratu zen. Isuriak ez zuen asko iraun, baina desatsegina izan zen finantza enpresentzat.
Google vs Japonia. 2017ko abuztuan, Google-k NTT eta KDDI japoniar hornitzaile nagusien aurrizkiak iragartzen hasi zen bere goranzko esteka batzuetan. Trafikoa Google-ra bidali zen garraiobide gisa, ziurrenik akatsez. Google hornitzailea ez denez eta garraio-trafikoa onartzen ez duenez, Japoniako zati garrantzitsu bat Internet gabe geratu zen.
"DV LINK-ek Google, Apple, Facebook, Microsoft-en aurrizkiak harrapatu ditu". 2017an ere, DV LINK hornitzaile errusiarra arrazoiren batengatik Google, Apple, Facebook, Microsoft eta beste zenbait eragile nagusien sareak iragartzen hasi zen.
"AEBko eNet-ek AWS Route53 eta MyEtherwallet aurrizkiak harrapatu ditu". 2018an, Ohioko hornitzaileak edo bere bezeroetako batek Amazon Route53 eta MyEtherwallet kripto-zorro sareak iragarri zituen. Erasoa arrakastatsua izan zen: nahiz eta autosinatutako ziurtagiria, erabiltzaileari MyEtherwallet webgunean sartzean abisu bat agertu zitzaion arren, zorro asko bahitu zituzten eta kriptografia-moneta zati bat lapurtu zuten.
2017an bakarrik horrelako 14 gertakari baino gehiago izan ziren! Sarea oraindik deszentralizatuta dago, beraz, ez da dena eta ez denak apurtzen. Baina milaka gorabehera daude, denak Interneten indarra duen BGP protokoloarekin lotuta.
BGP eta bere arazoak
protokoloa BGP - Border Gateway Protocol, 1989an deskribatu zuten lehen aldiz IBM eta Cisco Systems-eko bi ingeniarik hiru "ezpainzapi"tan - A4 orrietan. Hauek oraindik ere San Frantziskoko Cisco Systems-en egoitzan eseri sarearen munduaren erlikia gisa.
Protokoloa sistema autonomoen elkarrekintzan oinarritzen da - Sistema autonomoak edo AS laburbilduz. Sistema autonomoa erregistro publikoan IP sareak esleitzen zaizkion ID bat besterik ez da. ID hau duen bideratzaile batek sare hauek munduari iragar ditzake. Horren arabera, Interneten edozein ibilbide bektore gisa irudika daiteke, deitzen dena AS Bidea. Bektorea helmuga sarera heltzeko zeharkatu behar diren sistema autonomoen kopuruek osatzen dute.
Adibidez, sistema autonomo batzuen sare bat dago. AS65001 sistematik AS65003 sistemara joan behar duzu. Sistema bateko bidea AS Path bidez irudikatzen da diagraman. Bi sistema autonomok osatzen dute: 65002 eta 65003. Helbide-helbide bakoitzeko AS Path bektore bat dago, igaro behar ditugun sistema autonomoen kopuruak osatzen duena.
Beraz, zeintzuk dira BGPren arazoak?
BGP konfiantzazko protokoloa da
BGP protokoloa konfiantzan oinarritzen da. Horrek esan nahi du gure hurkoaren konfiantza lehenesten dugula. Hau Interneten hastapenetan garatu ziren protokolo askoren ezaugarria da. Azter dezagun zer esan nahi duen "konfiantza".
Bizilagunen autentifikaziorik ez. Formalki, MD5 dago, baina 5an MD2019 hori besterik ez da...
Iragazkirik ez. BGP-k iragazkiak ditu eta deskribatzen dira, baina ez dira erabiltzen edo gaizki erabiltzen. Geroago azalduko dut zergatik.
Oso erraza da auzo bat sortzea. BGP protokoloan auzo bat konfiguratzea ia edozein bideratzailetan konfigurazioaren lerro pare bat da.
Ez da BGP kudeaketa eskubiderik behar. Ez duzu azterketarik egin behar zure tituluak frogatzeko. Inork ez dizu kenduko BGP konfiguratzeko eskubideak mozkortuta zauden bitartean.
Bi arazo nagusi
Aurrizkien bahiketak. Aurrizkiaren bahiketa zurea ez den sare bat iragartzea da, MyEtherwallet-en kasuan bezala. Aurrizki batzuk hartu, hornitzailearekin adostu edo hackeatu ditugu, eta horren bitartez sare hauek iragartzen ditugu.
Ibilbideen ihesak. Ihesak apur bat konplikatuagoak dira. Leak AS Bidean aldaketa bat da. Onenean, aldaketak atzerapen handiagoa ekarriko du, ibilbide luzeago bat edo lotura txikiagoan egin behar duzulako. Okerrenean, Google eta Japoniaren kasua errepikatuko da.
Google bera ez da operadore bat edo garraio-sistema autonomo bat. Baina Japoniako operadoreen sareak bere hornitzaileari jakinarazi zizkionean, Google bidezko trafikoa AS Path-en bidez lehentasun handiagoa zela ikusi zen. Trafikoa hara joan zen eta behera egin zuen Google-ren barruko bideratze-ezarpenak mugako iragazkiak baino konplexuagoak direlako.
Zergatik ez dute funtzionatzen iragazkiak?
Inori ez zaio axola. Hau da arrazoi nagusia - inori ez zaio axola. BGP bidez hornitzailearekin konektatu zen hornitzaile edo enpresa txiki baten administratzaileak MikroTik hartu zuen, bertan BGP konfiguratu zuen eta ez daki bertan iragazkiak konfigura daitezkeenik ere.
Konfigurazio akatsak. Zerbait nahastu zuten, akats bat egin zuten maskara, sare okerra jarri zuten, eta orain berriro akats bat dago.
Ez dago aukera teknikorik. Adibidez, telekomunikazio hornitzaileek bezero asko dituzte. Egin beharreko gauza adimentsua da bezero bakoitzaren iragazkiak automatikoki eguneratzea: sare berri bat duela kontrolatzea, bere sarea norbaiti alokatu diola kontrolatzea. Zaila da hau jarraitzea, eta are zailagoa eskuekin. Hori dela eta, iragazki lasaiak instalatzen dituzte edo ez dute batere iragazkirik instalatzen.
salbuespenak. Salbuespenak daude bezero maite eta handientzat. Batez ere, operadoreen arteko interfazeen kasuan. Adibidez, TransTeleCom eta Rostelecom-ek sare mordoa dituzte eta haien artean interfaze bat dago. Artikulazioa erortzen bada, ez du inorentzat ona izango, beraz, iragazkiak erlaxatu edo erabat kentzen dira.
Informazio zaharkitua edo garrantzirik gabekoa IRRn. Iragazkiak bertan grabatutako informazioan oinarrituta eraikitzen dira IRR - Internet Bideratze Erregistroa. Hauek eskualdeko Interneteko erregistratzaileen erregistroak dira. Askotan, erregistroek informazio zaharkitua edo garrantzirik gabekoa dute, edo biak.
Nortzuk dira erregistratzaile horiek?
Interneteko helbide guztiak erakundearenak dira IANA - Internet Assigned Numbers Authority. Norbaiti IP sare bat erosten diozunean, ez dituzu helbideak erosten ari, horiek erabiltzeko eskubidea baizik. Helbideak baliabide ukiezin bat dira eta adostasun osoz, guztiak IANAren jabetzakoak dira.
Sistemak horrela funtzionatzen du. IANAk IP helbideen eta sistema autonomoen zenbakien kudeaketa eskualdeko bost erregistratzaileri delegatzen dio. Sistema autonomoak ematen dituzte LIR - Interneteko tokiko erregistratzaileak. Ondoren, LIRek IP helbideak esleitzen dizkie azken erabiltzaileei.
Sistemaren desabantaila da eskualdeko erregistratzaile bakoitzak bere erregistroak mantentzen dituela bere erara. Bakoitzak bere iritzia du erregistroetan zer informazio jaso behar den, eta nork egiaztatu behar duen edo ez. Emaitza orain daukagun nahastea da.
Bestela nola aurre egin dezakezu arazo hauei?
IRR - kalitate kaskarra. Argi dago IRRrekin - dena gaizki dago bertan.
BGP-komunitateak. Hau protokoloan deskribatzen den ezaugarri bat da. Gure iragarkiari komunitate berezi bat erantsi diezaiokegu, adibidez, auzokide batek gure sareak bizilagunei bidal ez ditzan. P2P lotura dugunean, gure sareak soilik trukatzen ditugu. Ibilbidea ustekabean beste sare batzuetara joatea saihesteko, komunitatea gehitzen dugu.
Komunitateak ez dira iragankorrak. Beti da biren kontratua, eta hori da haien eragozpena. Ezin dugu inolako komunitaterik esleitu, denek berez onartzen duten bakarra izan ezik. Ezin dugu ziurtatu mundu guztiak onartuko duenik komunitate hau eta zuzen interpretatuko duenik. Horregatik, kasurik onenean, zure uplinkarekin ados bazaude, komunitateari dagokionez berarengandik nahi duzuna ulertuko du. Baina zure bizilagunak agian ez du ulertuko, edo operadoreak zure etiketa berrezarriko du, eta ez duzu nahi zenuena lortuko.
RPKI + ROAk arazoen zati txiki bat baino ez du konpontzen. RPKI da Baliabideen Gako Publikoko Azpiegitura β bideratze-informazioa sinatzeko esparru berezi bat. Ideia ona da LIRak eta haien bezeroak helbide-espazioen datu-base eguneratua mantentzea behartzea. Baina arazo bat dago.
RPKI gako publikoen sistema hierarkiko bat ere bada. IANAk gako bat dauka zeinetatik RIR gakoak sortzen diren eta zein LIR gakoak sortzen diren? horrekin sinatzen dute beren helbide-espazioa ROA - Ibilbidearen Jatorrizko Baimenak erabiliz:
β Ziurtatzen dut aurrizki hori autonomia-erkidego honen izenean iragarriko dela.
ROAz gain, badaude beste objektu batzuk, baina horiei buruz gehiago geroago. Gauza ona eta erabilgarria dirudi. Baina ez gaitu "inola ere" hitzaren filtrazioetatik babesten eta ez ditu aurrizkien bahiketaren arazo guztiak konpontzen. Hori dela eta, jokalariek ez dute inplementatzeko presarik. AT&T eta IX konpainia handien gisako jokalari handien bermeak badira ere, ROA erregistro baliogabea duten aurrizkiak kendu egingo direla.
Agian hori egingo dute, baina oraingoz inolaz ere sinatuta ez dauden aurrizki ugari ditugu. Alde batetik, ez dago argi balioz iragarrita dauden ala ez. Bestalde, ezin ditugu lehenespenez utzi, ez baitakigu ziur hori zuzena den ala ez.
Zer gehiago dago?
BGPSec. Hau gauza polita da akademikoek poni arrosa sare baterako asmatu zutena. Esan zuten:
- RPKI + ROA - helbide-espazioen sinadurak egiaztatzeko mekanismoa dugu. Sor dezagun aparteko BGP atributu bat eta deitu BGPSec Path. Bideratzaile bakoitzak bere sinadurarekin sinatuko ditu auzokideei iragartzen dizkien iragarkiak. Horrela sinatutako iragarkien katetik konfiantzazko bide bat lortuko dugu eta egiaztatu ahal izango dugu.
Teorian ona, baina praktikan arazo asko daude. BGPSec-ek lehendik dauden BGP mekanika asko hausten ditu hurrengo saltoak hautatzeko eta sarrerako/irteerako trafikoa zuzenean bideratzailean kudeatzeko. BGPSec-ek ez du funtzionatzen merkatu osoaren %95ak ezarri arte, eta hori berez utopia da.
BGPSec-ek errendimendu arazo handiak ditu. Egungo hardwarean, iragarkiak egiaztatzeko abiadura segundoko 50 aurrizki ingurukoa da. Konparazio baterako: 700 aurrizkiko egungo Interneteko taula 000 ordutan igoko da, eta 5 aldiz gehiago aldatuko da.
BGP Open Policy (Roletan oinarritutako BGP). Ereduan oinarritutako proposamen berria Gao-Rexford. BGP ikertzen ari diren bi zientzialari dira.
Gao-Rexford eredua honakoa da. Sinplifikatzeko, BGP-rekin elkarrekintza mota batzuk daude:
- Bezero hornitzailea;
- P2P;
- barne komunikazioa, esan iBGP.
Bideratzailearen eginkizunaren arabera, dagoeneko posible da inportazio/esportazio politika batzuk lehenespenez esleitzea. Administratzaileak ez ditu aurrizkien zerrendak konfiguratu behar. Bideratzaileek euren artean adosten duten eta ezar daitekeen eginkizunaren arabera, dagoeneko iragazki lehenetsi batzuk jasotzen ditugu. Gaur egun IETFn eztabaidatzen ari den zirriborro bat da. Espero dut laster ikusiko dugula hau RFC moduan eta hardwarean inplementatzea.
Internet hornitzaile handiak
Ikus dezagun hornitzaile baten adibidea CenturyLink. AEBetako hirugarren hornitzaile handiena da, 37 estatu zerbitzatzen ditu eta 15 datu-zentro ditu.β
2018ko abenduan, CenturyLink 50 orduz egon zen AEBetako merkatuan. Gertaeran zehar, arazoak izan ziren kutxazainen funtzionamenduarekin bi estatutan, eta 911 zenbakiak hainbat orduz ez zuen funtzionatzen bost estatutan. Idahoko loteria guztiz hondatuta zegoen. Gertaera ikertzen ari da AEBetako Telekomunikazio Batzordeak.
Tragediaren kausa datu-zentro bateko sare-txartel bat izan zen. Txartelak gaizki funtzionatu zuen, pakete okerrak bidali zituen eta hornitzailearen 15 datu-zentro guztiak erori ziren.
Ideia ez zitzaion funtzionatu hornitzaile honi "erortzeko handiegia". Ideia honek ez du batere funtzionatzen. Edozein jokalari nagusi hartu dezakezu eta gainean gauza txiki batzuk jarri. AEBak oraindik ondo ari dira konektibitatearekin. Erreserba bat zuten CenturyLink-eko bezeroak mordoa sartu ziren bertara. Orduan, operadore alternatiboek beren estekak gainkargatuta daudela salatu zuten.
Kazakhtelecom baldintzatua erortzen bada, herrialde osoa Internet gabe geratuko da.
Korporazioak
Ziurrenik Google, Amazon, FaceBook eta beste korporazio batzuek Internet onartzen dute? Ez, hausten dute ere.
2017an San Petersburgon ENOG13 konferentzian Jeff Houston - APnic aurkeztu . Elkarrekintzak, diru-fluxuak eta Interneteko trafikoa bertikala izatera ohituta gaudela dio. Hornitzaile txikiak ditugu hornitzaile handiekin konektagarritasuna ordaintzen dutenak, eta dagoeneko ordaintzen dute mundu mailako garraiorako konexioagatik.
Orain bertikalki orientatutako egitura dugu. Dena ondo legoke, baina mundua aldatzen ari da: eragile nagusiak ozeanoz gaindiko kableak eraikitzen ari dira beren bizkarrezurra eraikitzeko.
CDN kableari buruzko albisteak.
2018an, TeleGeography-ek ikerketa bat argitaratu zuen Interneten trafikoaren erdia baino gehiago ez dela Interneta, jokalari handien CDN bizkarrezurra baizik. Hau Internetekin erlazionatuta dagoen trafikoa da, baina jada ez da hitz egiten ari ginen sarea.
Internet erraz konektatutako sare multzo handi batean hausten ari da.
Microsoft-ek bere sarea du, Google-k berea, eta elkarren arteko gainjartze gutxi dute. AEBetan sortutako trafikoa Microsoft-eko kanaletatik ozeanoan zehar doa Europara nonbait CDN batean, gero CDN edo IX bidez zure hornitzailearekin konektatzen da eta zure bideratzailera iristen da.
Deszentralizazioa desagertzen ari da.
Leherketa nuklear batetik bizirik irauten lagunduko dion Interneten indar hori galtzen ari da. Erabiltzaileen eta trafikoaren kontzentrazio-lekuak agertzen dira. Baldintzapeko Google Cloud erortzen bada, biktima asko izango dira aldi berean. Hori sentitu genuen neurri batean Roskomnadzorrek AWS blokeatu zuenean. Eta CenturyLink-en adibideak erakusten du gauza txikiak ere nahikoa direla horretarako.
Aurretik, dena ez eta denek ez zuten hautsi. Etorkizunean, eragile nagusi batean eraginez gauza asko hautsi ditzakegula, leku askotan eta jende askotan, ondorioztatuko dugu.
Estatuak
Estatuak dira hurrengo lerroan, eta hori gertatzen zaie normalean.
Hemen gure Roskomnadzor ez da batere aitzindaria. Internet ixteko antzeko praktika bat existitzen da Iranen, Indian eta Pakistanen. Ingalaterran Internet ixteko aukerari buruzko lege proiektu bat dago.
Edozein estatu handik Internet itzaltzeko etengailu bat lortu nahi du, erabat edo zatika: Twitter, Telegram, Facebook. Ez da ulertzen ez dutela inoiz lortuko, baina benetan nahi dute. Etengailua, oro har, helburu politikoetarako erabiltzen da: lehiakide politikoak kentzeko, edo hauteskundeak hurbiltzen ari dira edo Errusiako hacker-ek zerbait hautsi dute berriro.
DDoS erasoak
Qrator Labs-eko kideei ez diet ogia kenduko, nik baino askoz hobeto egiten dute. Badute Interneteko egonkortasunari buruz. Eta horixe idatzi zuten 2018ko txostenean.
DDoS erasoen batez besteko iraupena 2.5 ordura jaisten da. Erasotzaileak ere dirua zenbatzen hasten dira, eta baliabidea berehala eskuragarri ez badago, azkar uzten dute bakean.
Erasoen intentsitatea gero eta handiagoa da. 2018an, 1.7 Tb/s ikusi genuen Akamai sarean, eta hori ez da muga.
Eraso-bektore berriak sortzen ari dira eta zaharrak areagotzen ari dira. Anplifikazioa jasan dezaketen protokolo berriak sortzen ari dira, eta eraso berriak sortzen ari dira lehendik dauden protokoloetan, batez ere TLS eta antzekoetan.
Trafiko gehiena gailu mugikorretakoa da. Aldi berean, Interneteko trafikoa bezero mugikorretara mugitzen da. Bai erasotzen dutenek, bai defendatzen dutenek, horrekin lan egin behar dute.
Zalezinak - ez. Hau da ideia nagusia: ez dago inolako DDoSren aurka babestuko duen babes unibertsala.
Sistema ezin da instalatu Internetera konektatuta ez badago.
Nahikoa beldurtu izana espero dut. Pentsa dezagun orain zer egin.
Zer egin?!
Denbora librea, gogoa eta ingelesaren ezagutza baduzu, parte hartu lan taldeetan: IETF, RIPE WG. Hauek posta zerrenda irekiak dira, posta zerrendetara harpidetu, eztabaidetan parte hartu, hitzaldietara etorri. LIR estatusa baduzu, bozkatu dezakezu, adibidez, RIPEn hainbat ekimenetarako.
Hilkor soilentzat hau da jarraipena. Zer hautsi den jakiteko.
Jarraipena: zer egiaztatu?
Ping normala, eta ez egiaztapen bitar bat bakarrik - funtzionatzen du edo ez. Grabatu RTT historian, gero anomaliak ikusi ahal izateko.
traceroute. TCP/IP sareetan datu-bideak zehazteko erabilgarritasun-programa da hau. Anomaliak eta blokeoak identifikatzen laguntzen du.
HTTP URL pertsonalizatuak eta TLS ziurtagiriak egiaztatzen ditu Eraso baten blokeoa edo DNS spoofing-a detektatzen lagunduko du, ia gauza bera da. Blokeatzea askotan DNS spoofing-en bidez eta trafikoa zirriborro orri batera bihurtzen da.
Ahal izanez gero, egiaztatu zure bezeroek leku ezberdinetako jatorriari buruz duten erabakia aplikazioa baduzu. Horrek DNS bahiketaren anomaliak detektatzen lagunduko dizu, hornitzaileek batzuetan egiten duten zerbait.
Jarraipena: non egiaztatu?
Ez dago erantzun unibertsala. Egiaztatu nondik datorren erabiltzailea. Erabiltzaileak Errusian badaude, egiaztatu Errusiatik, baina ez zaitez horretara mugatu. Zure erabiltzaileak eskualde ezberdinetan bizi badira, egiaztatu eskualde hauetatik. Baina mundu osotik hobeto.
Jarraipena: zer egiaztatu?
Hiru modu asmatu nituen. Gehiago ezagutzen baduzu, idatzi iruzkinetan.
- HELDUA Atlasa.
- Jarraipen komertziala.
- Zure makina birtualen sarea.
Hitz egin dezagun horietako bakoitzari buruz.
HELDUA Atlasa - hain kutxa txikia da. Etxeko "Inspector" ezagutzen dutenentzat - kutxa bera da, baina beste eranskailu batekin.
RIPE Atlas doako programa bat da. Erregistratu, bideratzaile bat postaz jasotzen duzu eta sarera konektatzen duzu. Beste norbaitek zure lagina erabiltzen duelako, kreditu batzuk lortzen dituzu. Mailegu hauekin zuk zeuk egin dezakezu ikerketa. Proba modu ezberdinetan egin dezakezu: ping-a, traceroute, ziurtagiriak egiaztatu. Estaldura nahiko handia da, nodo asko daude. Baina Γ±abardurak daude.
Kreditu sistemak ez du produkzio soluziorik eraikitzen uzten. Ez da kreditu nahikorik izango etengabeko ikerketarako edo jarraipen komertzialerako. Kredituak nahikoa dira ikasketa labur baterako edo behin-behineko egiaztapenerako. Lagin bateko eguneroko araua 1-2 kontrol bidez kontsumitzen da.
Estaldura irregularra da. Programa bi norabideetan doakoa denez, estaldura ona da Europan, Errusiako Europako zatian eta eskualde batzuetan. Baina Indonesia edo Zelanda Berria behar baduzu, orduan dena askoz okerragoa da - baliteke herrialde bakoitzeko 50 lagin ez izatea.
Ezin duzu http egiaztatu lagin batetik. Hori Γ±abardura teknikoengatik gertatzen da. Bertsio berrian konponduko dutela agintzen dute, baina oraingoz http ezin da egiaztatu. Ziurtagiria bakarrik egiaztatu daiteke. Nolabaiteko http egiaztapena Anchor izeneko RIPE Atlas gailu berezi batean bakarrik egin daiteke.
Bigarren metodoa monitorizazio komertziala da. Berarekin dena ondo dago, dirua ordaintzen ari zara, ezta? Mundu osoko hainbat dozena edo ehunka jarraipen-puntu agintzen dizute eta aginte-panel ederrak ateratzen dituzte kutxatik. Baina, berriro ere, arazoak daude.
Ordaindua da, leku batzuetan oso. Ping monitorizazioak, mundu osoko egiaztapenak eta http egiaztapen asko urtean milaka dolar kosta daitezke. Finantzak ahalbidetzen badute eta irtenbide hau gustatzen bazaizu, aurrera.
Baliteke estaldura nahikoa ez izatea interesgarri den eskualdean. Ping berarekin, munduko zati abstraktu bat gehienez zehazten da - Asia, Europa, Ipar Amerika. Jarraipen-sistema arraroak herrialde edo eskualde jakin batera sakon ditzakete.
Proba pertsonalizatuetarako laguntza ahula. Zerbait pertsonalizatua behar baduzu, eta ez url-ean "kizkur" bat bakarrik, orduan ere arazoak daude.
Hirugarren bidea zure jarraipena da. Hau klasiko bat da: "Idatz dezagun gurea!"
Zure monitorizazioa software produktu baten garapena bihurtzen da, eta banatutako bat. Azpiegitura hornitzaile baten bila zabiltza, begiratu nola zabaldu eta kontrolatu - monitorizazioa kontrolatu behar da, ezta? Eta laguntza ere beharrezkoa da. Pentsa hamar aldiz hau hartu baino lehen. Baliteke norbaiti ordaintzea errazagoa izan dadin.
BGP anomaliak eta DDoS erasoak kontrolatzea
Hemen, eskura dauden baliabideetan oinarrituta, dena are sinpleagoa da. BGP anomaliak QRadar, BGPmon bezalako zerbitzu espezializatuak erabiliz detektatzen dira. Hainbat operadoreren ikuspegi osoko taula onartzen dute. Operadore ezberdinetatik ikusten dutenaren arabera, anomaliak antzeman ditzakete, anplifikadoreak bilatu eta abar. Izen-ematea doakoa da normalean: zure telefono-zenbakia sartzen duzu, posta elektronikoko jakinarazpenetara harpidetzen zara eta zerbitzuak zure arazoen berri emango dizu.
DDoS erasoen jarraipena ere erraza da. Normalean hau da NetFlow-n oinarritutako eta erregistroak. Horrelako sistema espezializatuak daude FastNetMon, moduluak Splunk. Azken aukera gisa, zure DDoS babes-hornitzailea dago. NetFlow ere isuri dezake eta, horretan oinarrituta, zure norabideko erasoen berri emango dizu.
Findings
Ez izan ilusiorik - Internet behin betiko hautsiko da. Ez da dena eta ez denak hautsiko, baina 14an 2017 mila gertakariek istiluak izango direla aditzera ematen dute.
Zure zeregina arazoak ahalik eta azkarren antzematea da. Gutxienez, zure erabiltzailea baino beranduago. Kontuan izan ez ezik, beti gorde "B plana" erreserban. Plana dena matxuratzen denean egingo duzunaren estrategia da.: erreserba-operadoreak, DC, CDN. Plan bat kontrol-zerrenda bereizia da, eta horren arabera egiaztatzen duzu guztiaren lana. Planak sareko ingeniarien inplikaziorik gabe funtzionatu beharko luke, normalean gutxi izaten direlako eta lo egin nahi dutelako.
Hori da dena. Eskuragarritasun handia eta jarraipen berdea opa dizut.
Datorren astean Novosibirskeko eguzkia, karga handia eta garatzaileen kontzentrazio handia espero dira . Siberian, monitorizazioari, irisgarritasunari eta probei, segurtasunari eta kudeaketari buruzko txostenen frontea aurreikusten da. Prezipitazioa espero da idatzitako oharrak, sareak, argazkiak eta sare sozialetako argitalpenak. Ekainaren 24 eta 25ean jarduera guztiak atzeratzea gomendatzen dugu eta . Zure zain gaude Siberian!
Iturria: www.habr.com