Internet näyttää olevan vahva, itsenäinen ja tuhoutumaton rakenne. Teoriassa verkko on tarpeeksi vahva selviytymään ydinräjähdyksestä. Todellisuudessa Internet voi pudottaa yhden pienen reitittimen. Kaikki siksi, että Internet on kasa ristiriitoja, haavoittuvuuksia, virheitä ja videoita kissoista. Internetin selkäranka, BGP, on täynnä ongelmia. On hämmästyttävää, että hän hengittää edelleen. Itse Internetin virheiden lisäksi sitä rikkovat kaikki ja kaikki: suuret Internet-palveluntarjoajat, yritykset, osavaltiot ja DDoS-hyökkäykset. Mitä tehdä asialle ja kuinka elää sen kanssa?
Tietää vastauksen Aleksei Uchakin () on IQ Optionin verkkoinsinööriryhmän johtaja. Sen päätehtävänä on alustan saavutettavuus käyttäjille. Aleksein raportin tekstissä Puhutaanpa BGP:stä, DDOS-hyökkäyksistä, Internet-kytkimistä, palveluntarjoajan virheistä, hajauttamisesta ja tapauksista, joissa pieni reititin lähetti Internetin nukkumaan. Lopuksi - pari vinkkiä kuinka selviytyä tästä kaikesta.
Päivä, jolloin Internet katkesi
Mainitsen vain muutamia tapauksia, joissa Internet-yhteys katkesi. Tämä riittää kokonaiskuvaan.
"AS7007-tapahtuma". Internet katkesi ensimmäisen kerran huhtikuussa 1997. Erään autonomisen järjestelmän 7007 reitittimen ohjelmistossa oli virhe. Jossain vaiheessa reititin ilmoitti sisäisestä reititystaulukostaan naapureilleen ja lähetti puolet verkosta mustaan aukkoon.
"Pakistan YouTubea vastaan". Vuonna 2008 rohkeat tyypit Pakistanista päättivät estää YouTuben. He tekivät sen niin hyvin, että puolet maailmasta jäi ilman kissoja.
Rostelecom kaappaa VISA-, MasterCard- ja Symantec-etuliitteet. Vuonna 2017 Rostelecom alkoi vahingossa ilmoittaa VISA-, MasterCard- ja Symantec-etuliitteistä. Tämän seurauksena talousliikenne ohjattiin palveluntarjoajan ohjaamien kanavien kautta. Vuoto ei kestänyt kauan, mutta se oli epämiellyttävää rahoitusyhtiöille.
Google vs Japani. Elokuussa 2017 Google aloitti suurten japanilaisten palveluntarjoajien NTT:n ja KDDI:n etuliitteiden julkistamisen joissakin uplinkeissaan. Liikenne lähetettiin Googlelle julkisena, todennäköisesti vahingossa. Koska Google ei ole palveluntarjoaja eikä salli kauttakulkuliikennettä, merkittävä osa Japanista jäi ilman Internetiä.
"DV LINK tallensi Googlen, Applen, Facebookin ja Microsoftin etuliitteet". Myös vuonna 2017 venäläinen palveluntarjoaja DV LINK alkoi jostain syystä ilmoittaa Googlen, Applen, Facebookin, Microsoftin ja joidenkin muiden suurten toimijoiden verkoista.
"Yhdysvaltalainen eNet on kaapannut AWS Route53- ja MyEtherwallet-etuliitteet". Vuonna 2018 Ohio-palveluntarjoaja tai yksi sen asiakkaista ilmoitti Amazon Route53- ja MyEtherwallet-salauslompakkoverkoista. Hyökkäys onnistui: huolimatta itse allekirjoitetusta varmenteesta, josta varoitus ilmestyi käyttäjälle tullessaan MyEtherwallet-verkkosivustolle, monet lompakot kaapattiin ja osa kryptovaluutasta varastettiin.
Pelkästään vuonna 2017 tällaisia tapauksia oli yli 14 000! Verkko on edelleen hajautettu, joten kaikki ja kaikki eivät hajoa. Mutta on tuhansia tapauksia, jotka kaikki liittyvät Internetiä käyttävään BGP-protokollaan.
BGP ja sen ongelmat
protokolla BGP - Border Gateway ProtocolKaksi IBM:n ja Cisco Systemsin insinööriä kuvailivat ensimmäisen kerran vuonna 1989 kolmelle "lautasliinalle" - A4-arkille. Nämä istuu edelleen Cisco Systemsin pääkonttorissa San Franciscossa verkkomaailman jäännöksenä.
Protokolla perustuu autonomisten järjestelmien vuorovaikutukseen - Autonomous Systems tai AS lyhennettynä. Autonominen järjestelmä on yksinkertaisesti tunnus, jolle IP-verkot on määritetty julkisessa rekisterissä. Tällä tunnuksella varustettu reititin voi ilmoittaa näistä verkoista maailmalle. Vastaavasti mikä tahansa Internetin reitti voidaan esittää vektorina, jota kutsutaan AS Polku. Vektori koostuu autonomisten järjestelmien lukumäärästä, jotka täytyy kulkea kohdeverkkoon saavuttamiseksi.
On esimerkiksi olemassa useiden autonomisten järjestelmien verkosto. Sinun on siirryttävä AS65001-järjestelmästä AS65003-järjestelmään. Polkua yhdestä järjestelmästä edustaa AS Path kaaviossa. Se koostuu kahdesta autonomisesta järjestelmästä: 65002 ja 65003. Jokaiselle kohdeosoitteelle on AS-polkuvektori, joka koostuu useista autonomisista järjestelmistä, jotka meidän täytyy käydä läpi.
Mitä ongelmia BGP:ssä sitten on?
BGP on luottamusprotokolla
BGP-protokolla on luottamuspohjainen. Tämä tarkoittaa, että luotamme oletuksena naapuriimme. Tämä on ominaisuus monissa protokollissa, jotka kehitettiin Internetin alussa. Selvitetään mitä "luottamus" tarkoittaa.
Ei naapurin todennusta. Muodollisesti MD5 on olemassa, mutta MD5 vuonna 2019 on juuri sitä...
Ei suodatusta. BGP:ssä on suodattimia ja ne on kuvattu, mutta niitä ei käytetä tai niitä käytetään väärin. Selitän miksi myöhemmin.
Naapuruston perustaminen on erittäin helppoa. Naapuruston määrittäminen BGP-protokollassa melkein missä tahansa reitittimessä on muutama rivi konfiguraatiosta.
BGP-hallintaoikeuksia ei vaadita. Sinun ei tarvitse suorittaa kokeita todistaaksesi pätevyyden. Kukaan ei ota oikeuksiasi BGP:n määrittämiseen humalassa.
Kaksi pääongelmaa
Etuliitteen kaappaukset. Etuliitekaappaus mainostaa verkkoa, joka ei kuulu sinulle, kuten MyEtherwalletissa. Otimme joitain etuliitteitä, sopimme palveluntarjoajan kanssa tai hakkeroimme sen, ja sen kautta ilmoitamme näistä verkoista.
Reitti vuotaa. Vuodot ovat hieman monimutkaisempia. Vuoto on muutos AS-polussa. Muutos johtaa parhaimmillaan suurempaan viivästymiseen, koska joudut kulkemaan pidemmän reitin tai vähemmän tilavaa linkkiä. Pahimmillaan Googlen ja Japanin tapaus toistuu.
Google itse ei ole operaattori tai passituksen itsenäinen järjestelmä. Mutta kun hän ilmoitti japanilaisten operaattoreiden verkoista palveluntarjoajalle, Googlen kautta AS Pathin kautta kulkeva liikenne nähtiin tärkeämpänä. Liikenne meni sinne ja putosi yksinkertaisesti siksi, että Googlen reititysasetukset ovat monimutkaisempia kuin vain rajalla olevat suodattimet.
Miksi suodattimet eivät toimi?
Kukaan ei välitä. Tämä on tärkein syy - kukaan ei välitä. Pienen palveluntarjoajan tai yrityksen, joka liittyi palveluntarjoajaan BGP:n kautta, järjestelmänvalvoja otti MikroTikin, konfiguroi siihen BGP:n eikä edes tiedä, että siellä voidaan määrittää suodattimia.
Asetusvirheet. He sotsivat jotain, tekivät virheen naamioon, laittoivat väärän verkon - ja nyt on taas virhe.
Ei teknistä mahdollisuutta. Esimerkiksi teleoperaattoreilla on monia asiakkaita. Älykäs tapa on päivittää suodattimet automaattisesti jokaiselle asiakkaalle - valvoa, että hänellä on uusi verkko, onko hän vuokrannut verkkonsa jollekin. Tätä on vaikea seurata, ja vielä vaikeampaa käsillä. Siksi he yksinkertaisesti asentavat rennon suodattimia tai eivät asenna suodattimia ollenkaan.
poikkeukset. Rakkaille ja suurille asiakkaille on poikkeuksia. Erityisesti operaattorien välisten rajapintojen tapauksessa. Esimerkiksi TransTeleComilla ja Rostelecomilla on joukko verkkoja ja niiden välillä on rajapinta. Jos nivel putoaa, se ei ole hyväksi kenellekään, joten suodattimet löystyvät tai poistetaan kokonaan.
Vanhentunutta tai merkityksetöntä tietoa IRR:ssä. Suodattimet rakennetaan tallennettujen tietojen perusteella IRR - Internet Routing Registry. Nämä ovat alueellisten Internet-rekisteröijien rekistereitä. Usein rekisterit sisältävät vanhentuneita tai epäolennaisia tietoja tai molempia.
Keitä nämä rekisterinpitäjät ovat?
Kaikki Internet-osoitteet kuuluvat organisaatiolle IANA - Internet Assigned Numbers Authority. Kun ostat joltakin IP-verkon, et osta osoitteita, vaan oikeutta käyttää niitä. Osoitteet ovat aineeton resurssi, ja yhteisellä sopimuksella ne ovat kaikki IANA:n omistuksessa.
Järjestelmä toimii näin. IANA delegoi IP-osoitteiden ja autonomisten järjestelmänumeroiden hallinnan viidelle alueelliselle rekisterinpitäjälle. He julkaisevat autonomisia järjestelmiä LIR - paikalliset Internet-rekisteröijät. LIR:t jakavat sitten IP-osoitteet loppukäyttäjille.
Järjestelmän haittana on, että jokainen aluerekisteri ylläpitää rekistereiään omalla tavallaan. Jokaisella on oma näkemyksensä siitä, mitä tietoja rekistereihin tulee sisällyttää ja kenen pitäisi tai ei pitäisi tarkistaa. Tuloksena on nyt vallitseva sotku.
Miten muuten voit torjua näitä ongelmia?
IRR - keskinkertainen laatu. Se on selvää IRR:n kanssa - siellä kaikki on huonosti.
BGP-yhteisöt. Tämä on jokin protokollassa kuvattu attribuutti. Voimme liittää ilmoitukseemme esimerkiksi erityisen yhteisön, jotta naapuri ei lähetä verkkojamme naapureilleen. Kun meillä on P2P-linkki, vaihdamme vain verkkojamme. Jotta reitti ei menisi vahingossa muihin verkkoihin, lisäämme yhteisön.
Yhteisöt eivät ole transitiivisia. Se on aina sopimus kahdelle, ja tämä on heidän haittapuolensa. Emme voi määrittää mitään yhteisöä, paitsi yhtä, jonka kaikki hyväksyvät oletuksena. Emme voi olla varmoja siitä, että kaikki hyväksyvät tämän yhteisön ja tulkitsevat sen oikein. Siksi parhaassa tapauksessa, jos olet samaa mieltä uplinkistäsi, hän ymmärtää, mitä haluat häneltä yhteisöllisyyden suhteen. Mutta naapuri ei ehkä ymmärrä, tai operaattori yksinkertaisesti nollaa tunnisteen, etkä saavuta haluamaasi.
RPKI + ROA ratkaisee vain pienen osan ongelmista. RPKI on Resurssien julkisen avaimen infrastruktuuri — erityinen kehys reititystietojen allekirjoittamista varten. On hyvä ajatus pakottaa LIR:t ja heidän asiakkaat ylläpitämään ajan tasalla olevaa osoiteavaruustietokantaa. Mutta siinä on yksi ongelma.
RPKI on myös hierarkkinen julkisen avaimen järjestelmä. IANAlla on avain, josta RIR-avaimet luodaan ja mistä LIR-avaimet luodaan? jolla he allekirjoittavat osoiteavaruutensa käyttämällä ROA:ita - Route Origin Authorisations:
— Vakuutan teille, että tämä etuliite ilmoitetaan tämän autonomisen alueen puolesta.
ROA:n lisäksi on muitakin kohteita, mutta niistä lisää myöhemmin. Vaikuttaa hyvältä ja hyödylliseltä asialta. Mutta se ei suojaa meitä sanan "ei ollenkaan" vuodoilta eikä ratkaise kaikkia etuliitteen kaappaamiseen liittyviä ongelmia. Siksi pelaajilla ei ole kiirettä toteuttaa sitä. Vaikka suuret toimijat, kuten AT&T ja suuret IX-yritykset ovat jo vakuuttaneet, että etuliitteet, joilla on virheellinen ROA-tietue, hylätään.
Ehkä he tekevät tämän, mutta toistaiseksi meillä on valtava määrä etuliitteitä, joita ei ole allekirjoitettu millään tavalla. Toisaalta on epäselvää, onko ne pätevästi ilmoitettu. Toisaalta emme voi pudottaa niitä oletuksena, koska emme ole varmoja, onko tämä oikein vai ei.
Mitä muuta siellä on?
BGPSec. Tämä on hieno asia, jonka tutkijat keksivät vaaleanpunaisten ponien verkostolle. He sanoivat:
- Meillä on RPKI + ROA - mekanismi osoiteavaruuden allekirjoitusten tarkistamiseen. Luodaan erillinen BGP-attribuutti ja kutsutaan sitä BGPSec-poluksi. Jokainen reititin allekirjoittaa omalla allekirjoituksellaan ilmoitukset, jotka se ilmoittaa naapureilleen. Näin saamme luotettavan polun allekirjoitettujen ilmoitusten ketjusta ja voimme tarkistaa sen.
Teoriassa hyvä, mutta käytännössä on monia ongelmia. BGPSec katkaisee monia olemassa olevia BGP-mekaniikoita seuraavien hyppyjen valitsemiseen ja tulevan/lähtevän liikenteen hallintaan suoraan reitittimessä. BGPSec ei toimi ennen kuin 95 % koko markkinoista on ottanut sen käyttöön, mikä sinänsä on utopiaa.
BGPSecillä on valtavia suorituskykyongelmia. Nykyisellä laitteistolla ilmoitusten tarkistusnopeus on noin 50 etuliitettä sekunnissa. Vertailun vuoksi: nykyinen 700 000 etuliitteen Internet-taulukko ladataan 5 tunnissa, jonka aikana se vaihtuu vielä 10 kertaa.
BGP:n avoin käytäntö (roolipohjainen BGP). Tuore ehdotus mallin perusteella Gao-Rexford. Nämä ovat kaksi tiedemiestä, jotka tutkivat BGP:tä.
Gao-Rexford malli on seuraava. Yksinkertaistaaksemme, BGP:ssä on pieni määrä erilaisia vuorovaikutustyyppejä:
- Palveluntarjoaja-asiakas;
- P2P;
- sisäinen viestintä, esimerkiksi iBGP.
Reitittimen roolin perusteella on jo mahdollista määrittää tiettyjä tuonti-/vientikäytäntöjä oletuksena. Järjestelmänvalvojan ei tarvitse määrittää etuliiteluetteloita. Perustuen rooliin, jonka reitittimet sopivat keskenään ja joka voidaan asettaa, saamme jo joitakin oletussuodattimia. Tämä on tällä hetkellä luonnos, josta keskustellaan IETF:ssä. Toivon, että näemme tämän pian RFC:n muodossa ja toteutuksena laitteistolle.
Suuret Internet-palveluntarjoajat
Katsotaanpa esimerkkiä palveluntarjoajasta CenturyLink. Se on Yhdysvaltojen kolmanneksi suurin palveluntarjoaja, joka palvelee 37 osavaltiota ja sillä on 15 datakeskusta.
Joulukuussa 2018 CenturyLink oli Yhdysvaltain markkinoilla 50 tuntia. Tapahtuman aikana pankkiautomaattien toiminnassa oli ongelmia kahdessa osavaltiossa, ja 911-numero ei toiminut useaan tuntiin viidessä osavaltiossa. Lotto Idahossa tuhoutui täysin. Yhdysvaltain televiestintäkomissio tutkii parhaillaan tapausta.
Tragedian syynä oli yksi verkkokortti yhdessä datakeskuksessa. Kortti toimi väärin, lähetti vääriä paketteja ja kaikki 15 palveluntarjoajan datakeskusta kaatui.
Idea ei toiminut tälle palveluntarjoajalle "liian iso kaatumaan". Tämä ajatus ei toimi ollenkaan. Voit ottaa minkä tahansa suuren pelaajan ja laittaa pieniä asioita päälle. USA:lla menee edelleen hyvin yhteyksien suhteen. CenturyLinkin asiakkaat, joilla oli reservi, menivät siihen joukoittain. Sitten vaihtoehtoiset operaattorit valittivat linkkien ylikuormituksesta.
Jos ehdollinen Kazakhtelecom kaatuu, koko maa jää ilman Internetiä.
Yritykset
Luultavasti Google, Amazon, FaceBook ja muut yritykset tukevat Internetiä? Ei, he rikkovat myös sen.
Vuonna 2017 Pietarissa ENOG13-konferenssissa Jeff Houston ja APNIC toimitettu . Siinä sanotaan, että olemme tottuneet siihen, että vuorovaikutus, rahavirrat ja liikenne Internetissä on vertikaalista. Meillä on pieniä palveluntarjoajia, jotka maksavat yhteyksistä suurempiin, ja he maksavat jo maailmanlaajuisen liikenteen yhteyksistä.
Nyt meillä on tällainen pystysuuntainen rakenne. Kaikki olisi hyvin, mutta maailma muuttuu - suuret toimijat rakentavat valtameren kaapeleita rakentaakseen omia selkärankojaan.
Uutisia CDN-kaapelista.
TeleGeography julkaisi vuonna 2018 tutkimuksen, jonka mukaan yli puolet Internetin liikenteestä ei ole enää Internetiä, vaan suurten toimijoiden CDN-selkäranka. Tämä on Internetiin liittyvää liikennettä, mutta tämä ei ole enää se verkko, josta puhuimme.
Internet on hajoamassa suureksi joukoksi löyhästi yhdistettyjä verkkoja.
Microsoftilla on oma verkko, Googlella oma, ja niillä on vähän päällekkäisyyttä keskenään. Jostain Yhdysvalloista peräisin oleva liikenne kulkee Microsoftin kanavien kautta valtameren toiselle puolelle Eurooppaan jossakin CDN:ssä, sitten CDN:n tai IX:n kautta se muodostaa yhteyden palveluntarjoajaasi ja pääsee reitittimellesi.
Hajauttaminen on katoamassa.
Tämä Internetin vahvuus, joka auttaa sitä selviytymään ydinräjähdyksestä, on menetetty. Käyttäjien ja liikenteen keskittymispaikat ilmestyvät. Jos ehdollinen Google Cloud kaatuu, uhreja on useita kerralla. Tunsimme tämän osittain, kun Roskomnadzor esti AWS:n. Ja CenturyLinkin esimerkki osoittaa, että pienetkin asiat riittävät tähän.
Aiemmin kaikki eivät menneet rikki. Tulevaisuudessa saatamme tulla siihen tulokseen, että yhteen suureen toimijaan vaikuttamalla voimme rikkoa monia asioita, monia paikkoja ja monia ihmisiä.
Osavaltiot
Osavaltiot ovat jonossa seuraavana, ja näin niille yleensä tapahtuu.
Täällä Roskomnadzormme ei ole edes edelläkävijä. Samanlainen Internetin sulkemiskäytäntö on olemassa Iranissa, Intiassa ja Pakistanissa. Englannissa on lakiesitys mahdollisuudesta sulkea Internet.
Mikä tahansa suuri valtio haluaa saada kytkimen sulkemaan Internet, joko kokonaan tai osittain: Twitter, Telegram, Facebook. Kyse ei ole siitä, etteivätkö he ymmärtäisi, etteivät he koskaan onnistu, mutta he todella haluavat sen. Kytkintä käytetään pääsääntöisesti poliittisiin tarkoituksiin - poliittisten kilpailijoiden eliminointiin tai vaalit lähestyvät tai venäläiset hakkerit ovat rikkoneet jotain jälleen.
DDoS-hyökkäykset
En ota leipää pois Qrator Labsin tovereiltani, he tekevät sen paljon paremmin kuin minä. Heillä on Internetin vakaudesta. Ja näin he kirjoittivat vuoden 2018 raportissa.
DDoS-hyökkäysten keskimääräinen kesto putoaa 2.5 tuntiin. Hyökkääjät alkavat myös laskea rahaa, ja jos resurssia ei ole heti saatavilla, he jättävät sen nopeasti rauhaan.
Hyökkäysten voimakkuus kasvaa. Vuonna 2018 näimme Akamai-verkossa 1.7 Tb/s, eikä tämä ole raja.
Uusia hyökkäysvektoreita syntyy ja vanhoja voimistuu. Syntyy uusia protokollia, jotka ovat herkkiä vahvistukselle, ja uusia hyökkäyksiä syntyy olemassa oleviin protokolliin, erityisesti TLS:ään ja vastaaviin.
Suurin osa liikenteestä tulee mobiililaitteista. Samaan aikaan Internet-liikenne siirtyy mobiiliasiakkaille. Sekä hyökkääjien että puolustajien on kyettävä työskentelemään tämän kanssa.
Haavoittumaton - ei. Tämä on pääidea - ei ole olemassa yleistä suojaa, joka varmasti suojaa kaikilta DDoS: ilta.
Järjestelmää ei voi asentaa, ellei se ole yhteydessä Internetiin.
Toivottavasti olen pelottanut sinua tarpeeksi. Mietitään nyt mitä asialle tehdään.
Mitä tehdä?!
Jos sinulla on vapaa-aikaa, halua ja englannin taitoa, osallistu työryhmiin: IETF, RIPE WG. Nämä ovat avoimia postituslistoja, tilata postituslistoja, osallistua keskusteluihin, tulla konferensseihin. Jos sinulla on LIR-status, voit äänestää esimerkiksi RIPEssä eri aloitteita.
Pelkille kuolevaisille tämä on seurantaa. Tietääkseen, mikä on rikki.
Valvonta: mitä tarkistaa?
Normaali ping, eikä vain binäärinen tarkistus - se toimii tai ei. Tallenna RTT historiaan, jotta voit tarkastella poikkeavuuksia myöhemmin.
traceroute. Tämä on apuohjelma tietoreittien määrittämiseen TCP/IP-verkoissa. Auttaa tunnistamaan poikkeavuuksia ja tukoksia.
HTTP tarkistaa mukautetut URL-osoitteet ja TLS-sertifikaatit auttaa havaitsemaan hyökkäyksen eston tai DNS-huijauksen, mikä on käytännössä sama asia. Esto suoritetaan usein DNS-huijauksella ja kääntämällä liikenne tynkäsivulle.
Jos mahdollista, tarkista asiakkaidesi päätös alkuperästäsi eri paikoista, jos sinulla on hakemus. Tämä auttaa sinua havaitsemaan DNS-kaappauksen poikkeavuuksia, joita palveluntarjoajat joskus tekevät.
Valvonta: mistä tarkistaa?
Ei ole universaalia vastausta. Tarkista, mistä käyttäjä tulee. Jos käyttäjät ovat Venäjällä, tarkista Venäjältä, mutta älä rajoita itseäsi siihen. Jos käyttäjäsi asuvat eri alueilla, tarkista nämä alueet. Mutta paremmin kaikkialta maailmasta.
Valvonta: mitä tarkistaa?
Keksin kolme tapaa. Jos tiedät enemmän, kirjoita kommentteihin.
- KYPSÄ Atlas.
- Kaupallinen seuranta.
- Oma virtuaalikoneiden verkko.
Puhutaanpa jokaisesta niistä.
KYPSÄ Atlas - Se on niin pieni laatikko. Niille, jotka tuntevat kotimaisen "Tarkastajan" - tämä on sama laatikko, mutta eri tarralla.
RIPE Atlas on ilmainen ohjelma. Rekisteröidyt, vastaanotat reitittimen postitse ja liität sen verkkoon. Saat krediittejä siitä, että joku muu käyttää näytettäsi. Näillä lainoilla voit tehdä tutkimusta itse. Voit testata eri tavoilla: ping, traceroute, tarkista varmenteita. Kattavuus on melko suuri, solmuja on monia. Mutta vivahteita on.
Luottojärjestelmä ei salli rakentamisen tuotantoratkaisuja. Jatkuvaan tutkimukseen tai kaupalliseen seurantaan ei tule riittävästi opintopisteitä. Opintopisteet riittävät lyhyeen opiskeluun tai kertatarkastukseen. Päivittäinen normi yhdestä näytteestä kuluu 1-2 sekillä.
Peitto on epätasainen. Koska ohjelma on ilmainen molempiin suuntiin, kattavuus on hyvä Euroopassa, Venäjän eurooppalaisessa osassa ja joillakin alueilla. Mutta jos tarvitset Indonesiaa tai Uutta-Seelantia, kaikki on paljon pahempaa - sinulla ei ehkä ole 50 näytettä maata kohti.
Et voi tarkistaa http:tä näytteestä. Tämä johtuu teknisistä vivahteista. He lupaavat korjata sen uudessa versiossa, mutta toistaiseksi http:tä ei voida tarkistaa. Vain sertifikaatti voidaan tarkistaa. Jonkinlainen http-tarkistus voidaan tehdä vain erityiselle RIPE Atlas -laitteelle nimeltä Anchor.
Toinen menetelmä on kaupallinen seuranta. Kaikki on hyvin hänen kanssaan, maksat rahaa, eikö niin? He lupaavat sinulle useita kymmeniä tai satoja valvontapisteitä ympäri maailmaa ja piirtävät kauniita kojetauluja laatikosta. Mutta taas on ongelmia.
Se on maksullista, paikoin hyvinkin. Ping-valvonta, maailmanlaajuiset tarkistukset ja monet http-tarkistukset voivat maksaa useita tuhansia dollareita vuodessa. Jos talous sallii ja pidät tästä ratkaisusta, jatka eteenpäin.
Kattavuus ei välttämättä ole riittävä kiinnostavalla alueella. Samalla pingillä määritetään korkeintaan abstrakti osa maailmaa - Aasia, Eurooppa, Pohjois-Amerikka. Harvinaiset valvontajärjestelmät voivat ulottua tiettyyn maahan tai alueeseen.
Heikko tuki mukautetuille testeille. Jos tarvitset jotain mukautettua, etkä vain "kiharaa" URL-osoitteessa, myös siinä on ongelmia.
Kolmas tapa on valvontasi. Tämä on klassikko: "Kirjoitetaan omamme!"
Valvontasi muuttuu ohjelmistotuotteen ja hajautetun tuotteen kehittämiseksi. Etsitkö infrastruktuurin tarjoajaa, katso kuinka ottaa se käyttöön ja valvoa - seurantaa on valvottava, eikö niin? Ja tukea tarvitaan myös. Mieti kymmenen kertaa ennen kuin ryhdyt tähän. Saattaa olla helpompaa maksaa jollekin, joka tekee sen puolestasi.
BGP-poikkeamien ja DDoS-hyökkäysten valvonta
Täällä, käytettävissä olevien resurssien perusteella, kaikki on vielä yksinkertaisempaa. BGP-poikkeamat havaitaan erikoispalveluilla, kuten QRadar, BGPmon. He hyväksyvät täyden näkymätaulukon useilta operaattoreilta. Sen perusteella, mitä he näkevät eri operaattoreilta, he voivat havaita poikkeavuuksia, etsiä vahvistimia ja niin edelleen. Rekisteröityminen on yleensä ilmaista - syötät puhelinnumerosi, tilaat sähköposti-ilmoitukset ja palvelu ilmoittaa sinulle ongelmistasi.
DDoS-hyökkäysten valvonta on myös helppoa. Tyypillisesti tämä on NetFlow-pohjainen ja lokit. On olemassa erikoisjärjestelmiä, kuten FastNetMon, moduulit Splunk. Viimeisenä keinona on DDoS-suojauksen tarjoaja. Se voi myös vuotaa NetFlow'ta ja sen perusteella ilmoittaa sinulle suunnastasi kohdistuvista hyökkäyksistä.
Tulokset
Älä pidä illuusioita - Internet hajoaa varmasti. Kaikki ja kaikki eivät mene rikki, mutta 14 tuhatta tapausta vuonna 2017 vihjaa, että tapauksia tulee olemaan.
Tehtäväsi on havaita ongelmat mahdollisimman varhain. Vähintään käyttäjältäsi. Ei ole vain tärkeää huomata, vaan pidä aina "suunnitelma B" varassa. Suunnitelma on strategia siitä, mitä teet, kun kaikki hajoaa.: varaoperaattorit, DC, CDN. Suunnitelma on erillinen tarkistuslista, jota vastaan tarkistat kaiken työn. Suunnitelman pitäisi toimia ilman verkkoinsinöörejä, koska niitä on yleensä vähän ja he haluavat nukkua.
Siinä kaikki. Toivotan sinulle korkeaa käytettävyyttä ja vihreää seurantaa.
Ensi viikolla Novosibirskiin odotetaan auringonpaistetta, kovaa kuormaa ja suurta kehittäjien keskittymistä . Siperiassa ennustetaan seurantaa, saavutettavuutta ja testausta, turvallisuutta ja hallintaa koskevien raporttien rintamaa. Sateita odotetaan kirjoitettuina muistiinpanojen, verkostoitumisen, valokuvien ja sosiaalisten verkostojen julkaisujen muodossa. Suosittelemme siirtämään kaikki toiminnot 24. ja 25. kesäkuuta ja . Odotamme sinua Siperiassa!
Lähde: will.com