چرا اینترنت هنوز آنلاین است؟

به نظر می رسد اینترنت یک ساختار قوی، مستقل و تخریب ناپذیر است. در تئوری، این شبکه به اندازه کافی قوی است که از انفجار هسته ای جان سالم به در ببرد. در واقع، اینترنت می تواند یک روتر کوچک را رها کند. همه اینها به این دلیل است که اینترنت انبوهی از تناقضات، آسیب پذیری ها، خطاها و ویدیوهای مربوط به گربه ها است. ستون فقرات اینترنت، BGP، مملو از مشکلات است. شگفت انگیز است که او هنوز نفس می کشد. علاوه بر خطاها در خود اینترنت، همه و همه آن را شکسته اند: ارائه دهندگان اینترنت بزرگ، شرکت ها، ایالت ها و حملات DDoS. در مورد آن چه باید کرد و چگونه با آن زندگی کرد؟

جواب را می داند الکسی اوچاکین (شب_مار) رهبر تیمی از مهندسان شبکه در IQ Option است. وظیفه اصلی آن دسترسی به پلتفرم برای کاربران است. در متن گزارش الکسی در مورد Saint HighLoad++ 2019 بیایید در مورد BGP، حملات DDOS، سوئیچ های اینترنت، خطاهای ارائه دهنده، تمرکززدایی و مواردی که یک روتر کوچک اینترنت را به حالت خواب فرستاده صحبت کنیم. در پایان - چند نکته در مورد چگونگی زنده ماندن از این همه.

روزی که اینترنت قطع شد

من فقط به چند مورد اشاره می کنم که اتصال اینترنت قطع شد. این برای تصویر کامل کافی خواهد بود.

"حادثه AS7007". اولین باری که اینترنت قطع شد در آوریل 1997 بود. یک اشکال در نرم افزار یک روتر از سیستم خودکار 7007 وجود داشت. در نقطه ای، روتر جدول مسیریابی داخلی خود را به همسایگان خود اعلام کرد و نیمی از شبکه را به یک سیاهچاله فرستاد.

"پاکستان در برابر یوتیوب". در سال 2008، مردان شجاع پاکستانی تصمیم گرفتند یوتیوب را مسدود کنند. آنها این کار را به قدری خوب انجام دادند که نیمی از جهان بدون گربه ماند.

ضبط پیشوندهای VISA، MasterCard و Symantec توسط Rostelecom. در سال 2017، Rostelecom به اشتباه شروع به اعلام پیشوندهای VISA، MasterCard و Symantec کرد. در نتیجه، ترافیک مالی از طریق کانال های کنترل شده توسط ارائه دهنده هدایت می شد. این نشت زیاد طول نکشید، اما برای شرکت های مالی ناخوشایند بود.

گوگل در مقابل ژاپن. در آگوست 2017، گوگل شروع به اعلام پیشوندهای ارائه دهندگان اصلی ژاپنی NTT و KDDI در برخی از لینک های خود کرد. ترافیک به احتمال زیاد اشتباهی به عنوان ترانزیت به Google ارسال شده است. از آنجایی که گوگل یک ارائه دهنده نیست و اجازه ترافیک حمل و نقل را نمی دهد، بخش قابل توجهی از ژاپن بدون اینترنت باقی ماند.

"DV LINK پیشوندهای گوگل، اپل، فیس بوک، مایکروسافت را گرفته است". همچنین در سال 2017، ارائه دهنده روسی DV LINK به دلایلی شروع به اعلام شبکه های گوگل، اپل، فیس بوک، مایکروسافت و برخی دیگر از بازیگران اصلی کرد.

"eNet از ایالات متحده پیشوندهای AWS Route53 و MyEtherwallet را گرفته است". در سال 2018، ارائه‌دهنده اوهایو یا یکی از مشتریانش شبکه‌های کیف پول رمزنگاری Amazon Route53 و MyEtherwallet را اعلام کرد. این حمله موفقیت آمیز بود: حتی با وجود گواهی امضا شده توسط خود، که هشداری در مورد آن هنگام ورود به وب سایت MyEtherwallet برای کاربر ظاهر شد، بسیاری از کیف پول ها ربوده شدند و بخشی از ارز دیجیتال به سرقت رفت.

تنها در سال 2017 بیش از 14 مورد از این قبیل رخ داده است! شبکه هنوز غیرمتمرکز است، بنابراین همه چیز و همه خراب نمی شوند. اما هزاران حادثه وجود دارد که همه مربوط به پروتکل BGP است که اینترنت را تقویت می کند.

BGP و مشکلات آن

پروتکل BGP - پروتکل دروازه مرزی، اولین بار در سال 1989 توسط دو مهندس از IBM و Cisco Systems بر روی سه "دستمال" - ورق A4 توصیف شد. اینها "دستمال سفره" همچنان در دفتر مرکزی سیسکو سیستمز در سانفرانسیسکو به عنوان یادگاری از دنیای شبکه حضور دارد.

این پروتکل مبتنی بر تعامل سیستم های مستقل است - Autonomous Systems یا به اختصار AS. یک سیستم خودمختار به سادگی یک شناسه است که شبکه های IP در رجیستری عمومی به آن اختصاص داده می شوند. روتر با این شناسه می تواند این شبکه ها را به دنیا اعلام کند. بر این اساس، هر مسیری در اینترنت را می توان به عنوان یک بردار نشان داد که نامیده می شود مسیر AS. بردار شامل تعداد سیستم های مستقلی است که برای رسیدن به شبکه مقصد باید از آنها عبور کرد.

به عنوان مثال، شبکه ای از تعدادی سیستم مستقل وجود دارد. شما باید از سیستم AS65001 به سیستم AS65003 بروید. مسیر یک سیستم با AS Path در نمودار نشان داده شده است. از دو سیستم مستقل تشکیل شده است: 65002 و 65003. برای هر آدرس مقصد یک بردار مسیر AS وجود دارد که شامل تعداد سیستم های مستقلی است که باید از آنها عبور کنیم.

بنابراین مشکلات BGP چیست؟

BGP یک پروتکل اعتماد است

پروتکل BGP مبتنی بر اعتماد است. این بدان معناست که ما به طور پیش فرض به همسایه خود اعتماد داریم. این یکی از ویژگی‌های بسیاری از پروتکل‌هایی است که در همان ابتدای ظهور اینترنت توسعه داده شدند. بیایید بفهمیم "اعتماد" به چه معناست.

بدون احراز هویت همسایه. به طور رسمی، MD5 وجود دارد، اما MD5 در سال 2019 فقط همین است ...

بدون فیلتر. BGP فیلترهایی دارد و توضیح داده شده است، اما از آنها استفاده نمی شود یا اشتباه استفاده می شود. بعداً دلیلش را توضیح خواهم داد.

راه اندازی یک محله بسیار آسان است. تنظیم یک همسایگی در پروتکل BGP تقریباً در هر روتر، چند خط از پیکربندی است.

بدون نیاز به حقوق مدیریت BGP. برای اثبات صلاحیت خود نیازی به شرکت در آزمون ندارید. هیچ کس حقوق شما را برای پیکربندی BGP در حالت مستی از شما سلب نمی کند.

دو مشکل اصلی

ربودن پیشوند. ربودن پیشوند به معنای تبلیغ شبکه‌ای است که به شما تعلق ندارد، همانطور که در مورد MyEtherwallet وجود دارد. چند پیشوند گرفتیم، با ارائه دهنده به توافق رسیدیم یا آن را هک کردیم و از طریق آن این شبکه ها را اعلام می کنیم.

مسیر نشت می کند. نشت ها کمی پیچیده تر هستند. Leak یک تغییر در مسیر AS است. در بهترین حالت، این تغییر منجر به تأخیر بیشتر می‌شود، زیرا باید مسیر طولانی‌تری را طی کنید یا در مسیری با ظرفیت کمتر حرکت کنید. در بدترین حالت، مورد گوگل و ژاپن تکرار خواهد شد.

گوگل خود یک اپراتور یا یک سیستم مستقل حمل و نقل نیست. اما زمانی که او شبکه‌های اپراتورهای ژاپنی را به ارائه‌دهنده خود اعلام کرد، ترافیک از طریق Google از طریق AS Path در اولویت بالاتری قرار گرفت. ترافیک به آنجا رفت و صرفاً به این دلیل کاهش یافت که تنظیمات مسیریابی در Google پیچیده تر از فیلترهای مرزی است.

چرا فیلترها کار نمی کنند؟

هیچکس اهمیت نمیدهد. این دلیل اصلی است - هیچ کس اهمیت نمی دهد. مدیر یک ارائه دهنده یا شرکت کوچکی که از طریق BGP به ارائه دهنده متصل شده است MikroTik را گرفته، BGP را روی آن پیکربندی کرده است و حتی نمی داند که فیلترها را می توان در آنجا پیکربندی کرد.

خطاهای پیکربندی. آنها چیزی را به هم ریختند، در ماسک اشتباه کردند، مش اشتباهی گذاشتند - و حالا دوباره یک اشتباه وجود دارد.

بدون امکان فنی. به عنوان مثال، ارائه دهندگان مخابراتی مشتریان زیادی دارند. به روشی هوشمند، باید به طور خودکار فیلترها را برای هر مشتری به روز کنید - مطمئن شوید که او یک شبکه جدید دارد، که شبکه خود را به کسی اجاره داده است. پیروی از این امر دشوار است و حتی با دستان خود دشوارتر است. بنابراین به سادگی فیلترهای ریلکس نصب می کنند یا اصلا فیلتر نصب نمی کنند.

استثنا. برای مشتریان عزیز و بزرگ استثنائاتی وجود دارد. به خصوص در مورد رابط های بین اپراتور. به عنوان مثال، TransTeleCom و Rostelecom دارای یک سری شبکه هستند و یک رابط بین آنها وجود دارد. اگر مفصل بیفتد، برای کسی خوب نخواهد بود، بنابراین فیلترها شل می شوند یا به طور کامل حذف می شوند.

اطلاعات منسوخ یا نامربوط در IRR. فیلترها بر اساس اطلاعاتی که در آن ثبت می شود ساخته می شوند IRR - رجیستری مسیریابی اینترنت. اینها ثبت ثبت کننده های اینترنتی منطقه ای هستند. اغلب، رجیستری ها حاوی اطلاعات قدیمی یا نامربوط یا هر دو هستند.

این ثبت نام کنندگان چه کسانی هستند؟

تمام آدرس های اینترنتی متعلق به سازمان است IANA - مرجع شماره های اختصاص داده شده اینترنتی. وقتی یک شبکه IP را از شخصی خریداری می کنید، آدرس نمی خرید، بلکه حق استفاده از آنها را دارید. آدرس ها یک منبع نامشهود هستند و طبق توافق مشترک همه آنها متعلق به IANA هستند.

سیستم به این صورت عمل می کند. IANA مدیریت آدرس‌های IP و شماره‌های سیستم مستقل را به پنج ثبت منطقه واگذار می‌کند. آنها سیستم های خودمختار را صادر می کنند LIR - ثبت کننده های اینترنتی محلی. سپس LIR ها آدرس های IP را به کاربران نهایی اختصاص می دهند.

عیب سیستم این است که هر یک از ثبت کنندگان منطقه به روش خاص خود ثبت خود را حفظ می کند. هرکسی نظرات خود را در مورد اینکه چه اطلاعاتی باید در رجیسترها وجود داشته باشد و چه کسی باید یا نباید آن را بررسی کند، دارد. نتیجه این آشفتگی است که اکنون داریم.

چگونه می توانید با این مشکلات مبارزه کنید؟

IRR - کیفیت متوسط. با IRR واضح است - همه چیز در آنجا بد است.

جوامع BGP. این یک ویژگی است که در پروتکل توضیح داده شده است. ما می توانیم به عنوان مثال یک جامعه خاص را به اطلاعیه خود ضمیمه کنیم تا همسایه شبکه های ما را برای همسایگان خود ارسال نکند. وقتی پیوند P2P داریم، فقط شبکه های خود را مبادله می کنیم. برای جلوگیری از رفتن تصادفی مسیر به شبکه‌های دیگر، انجمن را اضافه می‌کنیم.

جوامع گذرا نیستند. همیشه قرارداد دو نفره است و این عیب آنهاست. ما نمی توانیم هیچ انجمنی را اختصاص دهیم، به استثنای یکی که به طور پیش فرض توسط همه پذیرفته شده است. ما نمی توانیم مطمئن باشیم که همه این جامعه را بپذیرند و آن را به درستی تفسیر کنند. بنابراین در بهترین حالت اگر با آپلینک خود موافق باشید متوجه می شود که از نظر جامعه چه می خواهید. اما همسایه شما ممکن است متوجه نشود، یا اپراتور به سادگی تگ شما را تنظیم مجدد می کند و شما به آنچه می خواستید نخواهید رسید.

RPKI + ROA تنها بخش کوچکی از مشکلات را حل می کند. RPKI است زیرساخت کلید عمومی منبع  - یک چارچوب ویژه برای امضای اطلاعات مسیریابی. این ایده خوبی است که LIR و مشتریان آنها را مجبور کنید تا پایگاه داده فضای آدرس را به روز نگه دارند. اما یک مشکل در آن وجود دارد.

RPKI همچنین یک سیستم کلید عمومی سلسله مراتبی است. IANA یک کلید دارد که از آن کلیدهای RIR تولید می شوند و از کدام کلیدهای LIR تولید می شوند؟ که با آن فضای آدرس خود را با استفاده از ROA امضا می کنند - مجوزهای مبدا مسیر:

- به شما اطمینان می دهم که این پیشوند از طرف این منطقه خودمختار اعلام خواهد شد.

علاوه بر ROA، اشیاء دیگری نیز وجود دارند، اما بعداً در مورد آنها بیشتر توضیح خواهیم داد. به نظر چیز خوب و مفیدی است. اما ما را از نشت کلمه "اصلا" محافظت نمی کند و همه مشکلات مربوط به ربودن پیشوند را حل نمی کند. بنابراین، بازیکنان عجله ای برای اجرای آن ندارند. اگرچه در حال حاضر از بازیکنان بزرگی مانند AT&T و شرکت های بزرگ IX اطمینان داده شده است که پیشوندهایی با سابقه ROA نامعتبر حذف خواهند شد.

شاید آنها این کار را انجام دهند، اما در حال حاضر ما تعداد زیادی پیشوند داریم که به هیچ وجه امضا نشده اند. از یک طرف، مشخص نیست که آیا آنها به طور معتبر اعلام شده اند یا خیر. از طرف دیگر، ما نمی توانیم آنها را به طور پیش فرض حذف کنیم، زیرا مطمئن نیستیم که آیا این درست است یا خیر.

چه چیز دیگری آنجاست؟

BGPSec. این چیز جالبی است که دانشگاهیان برای شبکه‌ای از پونی‌های صورتی ابداع کردند. آنها گفتند:

- ما RPKI + ROA داریم - مکانیزمی برای تأیید امضاهای فضای آدرس. بیایید یک ویژگی BGP جداگانه ایجاد کنیم و آن را BGPSec Path بنامیم. هر روتر اعلان هایی را که به همسایگان خود اعلام می کند با امضای خود امضا می کند. به این ترتیب ما یک مسیر قابل اعتماد از زنجیره اطلاعیه های امضا شده دریافت می کنیم و می توانیم آن را بررسی کنیم.

در تئوری خوب است، اما در عمل مشکلات زیادی وجود دارد. BGPSec بسیاری از مکانیک‌های BGP موجود را برای انتخاب جهش‌های بعدی و مدیریت ترافیک ورودی/خروجی مستقیماً روی روتر خراب می‌کند. BGPSec تا زمانی که 95 درصد کل بازار آن را اجرا نکرده باشد، کار نمی کند، که این خود یک آرمان شهر است.

BGPSec مشکلات عملکردی بزرگی دارد. در سخت افزار فعلی، سرعت بررسی اعلان ها تقریباً 50 پیشوند در ثانیه است. برای مقایسه: جدول فعلی اینترنت 700 پیشوندی در 000 ساعت آپلود می شود که طی آن 5 بار دیگر تغییر می کند.

سیاست باز BGP (BGP مبتنی بر نقش). پیشنهاد تازه بر اساس مدل گائو رکسفورد. این دو دانشمند هستند که روی BGP تحقیق می کنند.

مدل Gao-Rexford به شرح زیر است. برای ساده کردن، با BGP تعداد کمی از انواع تعامل وجود دارد:

• مشتری ارائه دهنده؛
• P2P;
• ارتباطات داخلی، می گویند iBGP.

بر اساس نقش روتر، از قبل می توان به طور پیش فرض سیاست های واردات/صادرات خاصی را تعیین کرد. مدیر نیازی به پیکربندی لیست های پیشوندی ندارد. بر اساس نقشی که روترها بین خود توافق دارند و می توان آن را تنظیم کرد، قبلاً تعدادی فیلتر پیش فرض دریافت می کنیم. این در حال حاضر پیش نویسی است که در IETF در حال بررسی است. امیدوارم به زودی شاهد این کار در قالب RFC و پیاده سازی روی سخت افزار باشیم.

ارائه دهندگان اینترنت بزرگ

بیایید به مثال ارائه دهنده نگاه کنیم CenturyLink. این سومین ارائه دهنده بزرگ ایالات متحده است که به 37 ایالت خدمات رسانی می کند و 15 مرکز داده دارد. 

در دسامبر 2018، CenturyLink به مدت 50 ساعت در بازار ایالات متحده بود. در جریان این حادثه مشکلاتی در عملکرد دستگاه های خودپرداز در دو ایالت به وجود آمد و شماره 911 در پنج ایالت چندین ساعت کار نکرد. قرعه کشی در آیداهو کاملاً خراب شد. این حادثه در حال حاضر توسط کمیسیون مخابرات ایالات متحده تحت بررسی است.

علت این فاجعه یک کارت شبکه در یک مرکز داده بود. کارت خراب شد، بسته‌های نادرست فرستاد و تمام 15 مرکز داده ارائه‌دهنده از کار افتادند.

این ایده برای این ارائه دهنده کار نکرد "خیلی بزرگ برای افتادن". این ایده اصلا کار نمی کند. شما می توانید هر بازیکن اصلی را بگیرید و چیزهای کوچک را در بالای صفحه قرار دهید. ایالات متحده هنوز در زمینه اتصال خوب عمل می کند. مشتریان CenturyLink که ذخیره داشتند دسته دسته وارد آن شدند. سپس اپراتورهای جایگزین از بارگذاری بیش از حد پیوندهایشان شکایت کردند.

اگر قزاقتلکام مشروط سقوط کند، کل کشور بدون اینترنت خواهد ماند.

شرکت های بزرگ

احتمالا گوگل، آمازون، فیس بوک و سایر شرکت ها از اینترنت پشتیبانی می کنند؟ نه اونا هم میشکنن

در سال 2017 در سن پترزبورگ در کنفرانس ENOG13 جف هیوستون از آپنیک معرفی شده گزارش "مرگ ترانزیت". می گوید ما به عمودی بودن تعاملات، جریان پول و ترافیک در اینترنت عادت کرده ایم. ما ارائه دهندگان کوچکی داریم که برای اتصال به بزرگتر هزینه می پردازند، و آنها قبلاً برای اتصال به حمل و نقل جهانی هزینه می کنند.

اکنون ما چنین ساختاری عمودی داریم. همه چیز خوب خواهد بود، اما جهان در حال تغییر است - بازیگران اصلی در حال ساخت کابل های بین اقیانوسی خود هستند تا ستون فقرات خود را بسازند.

اخبار مربوط به کابل CDN

در سال 2018، TeleGeography مطالعه‌ای را منتشر کرد که نشان می‌داد بیش از نیمی از ترافیک اینترنت دیگر اینترنت نیست، بلکه ستون فقرات CDN بازیکنان بزرگ است. این ترافیک مربوط به اینترنت است، اما این دیگر آن شبکه ای نیست که ما در مورد آن صحبت می کردیم.

اینترنت در حال شکسته شدن به مجموعه بزرگی از شبکه های بدون اتصال است.

مایکروسافت شبکه خود را دارد، گوگل شبکه خود را دارد و همپوشانی کمی با یکدیگر دارند. ترافیکی که از جایی در ایالات متحده سرچشمه می گیرد از طریق کانال های مایکروسافت در سراسر اقیانوس به اروپا در جایی روی CDN می رود، سپس از طریق CDN یا IX به ارائه دهنده شما متصل می شود و به روتر شما می رسد.

تمرکززدایی در حال از بین رفتن است.

این قدرت اینترنت که به آن کمک می‌کند از انفجار هسته‌ای جان سالم به در ببرد، در حال از بین رفتن است. مکان های تمرکز کاربران و ترافیک ظاهر می شود. اگر Google Cloud مشروط سقوط کند، قربانیان زیادی در آن واحد وجود خواهد داشت. زمانی که Roskomnadzor AWS را مسدود کرد تا حدی این را احساس کردیم. و مثال CenturyLink نشان می دهد که حتی چیزهای کوچک برای این کار کافی است.

قبلاً همه چیز و همه خراب نمی شد. در آینده ممکن است به این نتیجه برسیم که با تأثیرگذاری بر یک بازیگر اصلی، می‌توانیم خیلی چیزها را در خیلی جاها و در افراد زیادی بشکنیم.

دولت

ایالت ها در ردیف بعدی قرار دارند و این چیزی است که معمولا برای آنها اتفاق می افتد.

در اینجا Roskomnadzor ما حتی یک پیشگام نیست. رویه مشابهی از قطع اینترنت در ایران، هند و پاکستان وجود دارد. در انگلستان لایحه ای در مورد امکان قطع اینترنت وجود دارد.

هر ایالت بزرگ می خواهد یک سوئیچ برای خاموش کردن اینترنت، چه به طور کامل یا در بخش هایی مانند توییتر، تلگرام، فیس بوک دریافت کند. این طور نیست که آنها نمی دانند که هرگز موفق نخواهند شد، اما واقعاً آن را می خواهند. سوئیچ، به عنوان یک قاعده، برای اهداف سیاسی استفاده می شود - برای حذف رقبای سیاسی، یا انتخابات نزدیک است، یا هکرهای روسی دوباره چیزی را شکسته اند.

حملات DDoS

من نان را از رفقای خود از آزمایشگاه قرتور نمی گیرم، آنها این کار را خیلی بهتر از من انجام می دهند. آنها دارند گزارش سالانه در مورد ثبات اینترنت و این همان چیزی است که آنها در گزارش 2018 نوشتند.

میانگین مدت حملات DDoS به 2.5 ساعت کاهش می یابد. مهاجمان نیز شروع به شمارش پول می کنند و اگر منبع فوراً در دسترس نباشد، به سرعت آن را به حال خود رها می کنند.

شدت حملات در حال افزایش است. در سال 2018 شاهد 1.7 ترابایت بر ثانیه در شبکه Akamai بودیم و این محدودیت نیست.

بردارهای حمله جدید در حال ظهور هستند و بردارهای قدیمی در حال تشدید هستند. پروتکل های جدیدی در حال ظهور هستند که مستعد تقویت هستند و حملات جدیدی بر روی پروتکل های موجود، به ویژه TLS و موارد مشابه در حال ظهور هستند.

بیشتر ترافیک از دستگاه های تلفن همراه است. در همان زمان، ترافیک اینترنت به مشتریان تلفن همراه تغییر می کند. هم آنهایی که حمله می کنند و هم آنهایی که دفاع می کنند باید بتوانند با این کار کار کنند.

آسیب ناپذیر - نه. این ایده اصلی است - هیچ حفاظت جهانی وجود ندارد که به طور قطع در برابر هر گونه DDoS محافظت کند.

سیستم را نمی توان نصب کرد مگر اینکه به اینترنت متصل باشد.

امیدوارم به اندازه کافی شما را ترسانده باشم. حالا بیایید به این فکر کنیم که در مورد آن چه باید کرد.

چه باید کرد؟!

اگر وقت آزاد، تمایل و دانش انگلیسی دارید، در گروه های کاری IETF، RIPE WG شرکت کنید. اینها لیست های ایمیل باز هستند، در لیست های پستی مشترک شوید، در بحث ها شرکت کنید، به کنفرانس ها بیایید. اگر وضعیت LIR دارید، می توانید به عنوان مثال در RIPE برای طرح های مختلف رای دهید.

برای انسان های فانی این چنین است نظارت بر. تا بدانیم چه چیزی شکسته است.

نظارت: چه چیزی را بررسی کنیم؟

پینگ معمولیو نه تنها یک چک باینری - کار می کند یا نه. RTT را در تاریخ ثبت کنید تا بتوانید بعداً به ناهنجاری ها نگاه کنید.

Traceroute. این یک برنامه کاربردی برای تعیین مسیرهای داده در شبکه های TCP/IP است. به شناسایی ناهنجاری ها و انسدادها کمک می کند.

HTTP URL های سفارشی و گواهی های TLS را بررسی می کند به شناسایی مسدود کردن یا جعل DNS برای یک حمله کمک می کند، که عملاً همان چیزی است. مسدود کردن اغلب با جعل DNS و با تبدیل ترافیک به یک صفحه خرد انجام می شود.

در صورت امکان، اگر درخواستی دارید، تصمیم مشتریان خود را در مورد منشاء خود از مکان های مختلف بررسی کنید. این به شما کمک می کند تا ناهنجاری های ربودن DNS را شناسایی کنید، کاری که ارائه دهندگان گاهی اوقات انجام می دهند.

نظارت: کجا را بررسی کنیم؟

هیچ پاسخ جهانی وجود ندارد. بررسی کنید که کاربر از کجا آمده است. اگر کاربران در روسیه هستند، از روسیه چک کنید، اما خود را به آن محدود نکنید. اگر کاربران شما در مناطق مختلف زندگی می کنند، از این مناطق بررسی کنید. اما بهتر از همه جای دنیا.

نظارت: چه چیزی را بررسی کنیم؟

من به سه راه رسیدم. اگر بیشتر می دانید در نظرات بنویسید.

• اطلس رسیده.
• نظارت تجاری
• شبکه ماشین های مجازی خودتان.

بیایید در مورد هر یک از آنها صحبت کنیم.

اطلس رسیده - این یک جعبه کوچک است. برای کسانی که "بازرس" داخلی را می شناسند - این همان جعبه است، اما با یک برچسب متفاوت.

RIPE Atlas یک برنامه رایگان است. شما ثبت نام می کنید، یک روتر از طریق پست دریافت می کنید و آن را به شبکه وصل می کنید. برای این واقعیت که شخص دیگری از نمونه شما استفاده می کند، شما چند اعتبار دریافت می کنید. با این وام ها می توانید خودتان کمی تحقیق کنید. شما می توانید به روش های مختلف آزمایش کنید: پینگ، ردیابی، گواهینامه ها. پوشش بسیار بزرگ است، گره های زیادی وجود دارد. اما تفاوت های ظریف وجود دارد.

سیستم اعتباری اجازه راه حل های تولید ساختمان را نمی دهد. اعتبارات کافی برای تحقیقات مداوم یا نظارت تجاری وجود نخواهد داشت. این واحدها برای یک مطالعه کوتاه یا یک بار بررسی کافی است. هنجار روزانه از یک نمونه توسط 1-2 چک مصرف می شود.

پوشش ناهموار است. از آنجایی که این برنامه در هر دو جهت رایگان است، پوشش در اروپا، در بخش اروپایی روسیه و برخی مناطق خوب است. اما اگر به اندونزی یا نیوزیلند نیاز دارید، همه چیز بسیار بدتر است - ممکن است 50 نمونه در هر کشور نداشته باشید.

شما نمی توانید http را از یک نمونه بررسی کنید. این به دلیل تفاوت های ظریف فنی است. آنها قول می دهند که در نسخه جدید آن را برطرف کنند، اما در حال حاضر http قابل بررسی نیست. فقط گواهی قابل تایید است. نوعی بررسی http را فقط می توان برای دستگاه RIPE Atlas ویژه ای به نام Anchor انجام داد.

روش دوم نظارت تجاری است. همه چیز با او خوب است، شما پول می دهید، درست است؟ آنها به شما قول چندین یا صدها نقطه نظارت در سراسر جهان را می دهند و داشبوردهای زیبایی را از جعبه ترسیم می کنند. اما باز هم مشکلاتی وجود دارد.

پولی است، بعضی جاها خیلی. مانیتورینگ پینگ، چک های سراسری و تعداد زیادی چک http می تواند چندین هزار دلار در سال هزینه داشته باشد. اگر شرایط مالی اجازه می دهد و این راه حل را دوست دارید، ادامه دهید.

پوشش ممکن است در منطقه مورد علاقه کافی نباشد. با همین پینگ، حداکثر یک قسمت انتزاعی از جهان مشخص می شود - آسیا، اروپا، آمریکای شمالی. سیستم‌های نظارتی کمیاب می‌توانند به یک کشور یا منطقه خاص نفوذ کنند.

پشتیبانی ضعیف از تست های سفارشی. اگر به چیزی سفارشی نیاز دارید، و نه فقط یک "فرفری" در آدرس اینترنتی، در آن صورت نیز مشکلاتی وجود دارد.

راه سوم نظارت شماست. این یک کلاسیک است: "بیایید خودمان بنویسیم!"

نظارت شما به توسعه یک محصول نرم افزاری و یک محصول توزیع شده تبدیل می شود. شما به دنبال یک ارائه دهنده زیرساخت هستید، به نحوه استقرار و نظارت بر آن نگاه کنید - نظارت باید نظارت شود، درست است؟ و پشتیبانی نیز مورد نیاز است. قبل از انجام این کار ده بار فکر کنید. شاید راحت‌تر باشد که به کسی پول بدهید تا این کار را برای شما انجام دهد.

نظارت بر ناهنجاری های BGP و حملات DDoS

در اینجا، بر اساس منابع موجود، همه چیز حتی ساده تر است. ناهنجاری های BGP با استفاده از خدمات تخصصی مانند QRadar، BGPmon شناسایی می شوند. آنها یک جدول نمای کامل را از چندین اپراتور می پذیرند. بر اساس آنچه از اپراتورهای مختلف می بینند، می توانند ناهنجاری ها را تشخیص دهند، به دنبال تقویت کننده ها و غیره بگردند. ثبت نام معمولاً رایگان است - شماره تلفن خود را وارد می‌کنید، در اعلان‌های ایمیل مشترک می‌شوید و سرویس مشکلات شما را به شما اطلاع می‌دهد.

نظارت بر حملات DDoS نیز ساده است. به طور معمول این است مبتنی بر NetFlow و سیاهههای مربوط. سیستم های تخصصی مانند FastNetMon، ماژول ها برای پاره شدن. به عنوان آخرین راه حل، ارائه دهنده حفاظت DDoS شما وجود دارد. همچنین می تواند NetFlow را افشا کند و بر اساس آن، شما را از حملات در جهت شما مطلع می کند.

یافته ها

هیچ توهم نداشته باشید - اینترنت قطعا شکسته خواهد شد. نه همه چیز و نه همه شکسته می شود، اما 14 هزار حادثه در سال 2017 نشان می دهد که حوادثی وجود خواهد داشت.

وظیفه شما این است که در اسرع وقت متوجه مشکلات شوید. حداقل، نه دیرتر از کاربر شما. نه تنها مهم است که توجه داشته باشید، همیشه یک "طرح B" را در رزرو نگه دارید. برنامه یک استراتژی برای کاری است که وقتی همه چیز خراب شد انجام خواهید داد.: اپراتورهای رزرو، DC، CDN. یک طرح یک چک لیست جداگانه است که در آن کار همه چیز را بررسی می کنید. این طرح باید بدون دخالت مهندسان شبکه کار کند، زیرا معمولا تعداد کمی از آنها وجود دارد و می خواهند بخوابند.

همین. برای شما آرزوی دسترسی بالا و نظارت سبز دارم.

هفته آینده در نووسیبیرسک آفتاب، پر بار و تمرکز بالای توسعه دهندگان انتظار می رود HighLoad++ Siberia 2019. در سیبری، صفحه ای از گزارش ها در مورد نظارت، دسترسی و آزمایش، امنیت و مدیریت پیش بینی شده است. بارش در قالب یادداشت های خط خورده، شبکه سازی، عکس و پست در شبکه های اجتماعی پیش بینی می شود. توصیه ما به تعویق انداختن تمامی فعالیت ها در 24 و 25 ژوئن و برای رزرو بلیط. ما در سیبری منتظر شما هستیم!

منبع: www.habr.com