Internet apparaît comme une structure solide, indépendante et indestructible. En théorie, le réseau est suffisamment solide pour survivre à une explosion nucléaire. En réalité, Internet peut abandonner un petit routeur. Tout cela parce qu'Internet est un amas de contradictions, de vulnérabilités, d'erreurs et de vidéos sur les chats. L'épine dorsale d'Internet, BGP, est semée d'embûches. C'est incroyable qu'il respire encore. En plus des erreurs dans Internet lui-même, il est également brisé par tout le monde : grands fournisseurs Internet, entreprises, États et attaques DDoS. Que faire et comment vivre avec ?
Connaît la réponse Alexeï Uchakine () est le chef d'une équipe d'ingénieurs réseau chez IQ Option. Sa tâche principale est l'accessibilité de la plateforme pour les utilisateurs. Dans la transcription du rapport d'Alexey sur Parlons de BGP, d'attaques DDOS, de commutateurs Internet, d'erreurs de fournisseur, de décentralisation et de cas où un petit routeur a mis Internet en veille. À la fin, quelques conseils pour survivre à tout cela.
Le jour où Internet est tombé en panne
Je ne citerai que quelques incidents au cours desquels la connectivité Internet est tombée en panne. Cela suffira pour une image complète.
"Incident AS7007". La première panne d'Internet a eu lieu en avril 1997. Il y avait un bug dans le logiciel d'un routeur du système autonome 7007. À un moment donné, le routeur a annoncé sa table de routage interne à ses voisins et a envoyé la moitié du réseau dans un trou noir.
"Le Pakistan contre YouTube". En 2008, des courageux Pakistanais ont décidé de bloquer YouTube. Ils l’ont si bien fait que la moitié du monde s’est retrouvée sans chats.
"Capture des préfixes VISA, MasterCard et Symantec par Rostelecom". En 2017, Rostelecom a commencé par erreur à annoncer les préfixes VISA, MasterCard et Symantec. En conséquence, le trafic financier était acheminé via des canaux contrôlés par le fournisseur. La fuite n’a pas duré longtemps, mais elle a été désagréable pour les sociétés financières.
Google contre le Japon. En août 2017, Google a commencé à annoncer les préfixes des principaux fournisseurs japonais NTT et KDDI dans certaines de ses liaisons montantes. Le trafic a été envoyé à Google en transit, probablement par erreur. Étant donné que Google n'est pas un fournisseur et n'autorise pas le trafic de transit, une partie importante du Japon s'est retrouvée sans Internet.
"DV LINK a capturé les préfixes de Google, Apple, Facebook, Microsoft". Toujours en 2017, le fournisseur russe DV LINK, pour une raison quelconque, a commencé à annoncer les réseaux de Google, Apple, Facebook, Microsoft et quelques autres acteurs majeurs.
« eNet des États-Unis a capturé les préfixes AWS Route53 et MyEtherwallet ». En 2018, le fournisseur de l’Ohio ou l’un de ses clients a annoncé les réseaux de portefeuilles cryptographiques Amazon Route53 et MyEtherwallet. L'attaque a réussi : malgré le certificat auto-signé, dont un avertissement est apparu à l'utilisateur lors de l'accès au site MyEtherwallet, de nombreux portefeuilles ont été piratés et une partie de la crypto-monnaie a été volée.
Il y a eu plus de 2017 14 incidents de ce type rien qu’en 000 ! Le réseau est toujours décentralisé, donc tout ni tout le monde ne tombe en panne. Mais il existe des milliers d’incidents, tous liés au protocole BGP qui alimente Internet.
BGP et ses problèmes
Protocole BGP - Protocole de passerelle frontalière, a été décrit pour la première fois en 1989 par deux ingénieurs d'IBM et Cisco Systems sur trois « serviettes » - des feuilles A4. Ces siègent toujours au siège de Cisco Systems à San Francisco comme une relique du monde des réseaux.
Le protocole est basé sur l'interaction de systèmes autonomes - Systèmes autonomes ou AS en abrégé. Un système autonome est simplement un identifiant auquel les réseaux IP sont attribués dans le registre public. Un routeur avec cet identifiant peut annoncer ces réseaux au monde. En conséquence, tout itinéraire sur Internet peut être représenté comme un vecteur, appelé AS Chemin. Le vecteur est constitué du nombre de systèmes autonomes qui doivent être traversés pour atteindre le réseau de destination.
Par exemple, il existe un réseau de plusieurs systèmes autonomes. Vous devez passer du système AS65001 au système AS65003. Le chemin d'un système est représenté par AS Path dans le diagramme. Il se compose de deux systèmes autonomes : 65002 et 65003. Pour chaque adresse de destination, il existe un vecteur AS Path, qui comprend le nombre de systèmes autonomes que nous devons parcourir.
Alors, quels sont les problèmes avec BGP ?
BGP est un protocole de confiance
Le protocole BGP est basé sur la confiance. Cela signifie que nous faisons confiance à notre voisin par défaut. Il s’agit d’une caractéristique de nombreux protocoles développés dès l’aube d’Internet. Voyons ce que signifie « confiance ».
Pas d'authentification du voisin. Formellement, il existe MD5, mais MD5 en 2019 n'est que cela...
Pas de filtrage. BGP a des filtres et ils sont décrits, mais ils ne sont pas utilisés ou mal utilisés. J'expliquerai pourquoi plus tard.
C'est très simple de créer un quartier. La configuration d'un quartier dans le protocole BGP sur presque tous les routeurs correspond à quelques lignes de configuration.
Aucun droit de gestion BGP requis. Vous n'avez pas besoin de passer des examens pour prouver vos qualifications. Personne ne vous retirera vos droits de configuration de BGP en état d'ébriété.
Deux problèmes principaux
Détournements de préfixes. Le détournement de préfixe fait la publicité d'un réseau qui ne vous appartient pas, comme c'est le cas avec MyEtherwallet. Nous avons pris certains préfixes, convenu avec le fournisseur ou l'avons piraté, et à travers lui, nous annonçons ces réseaux.
Fuites d'itinéraire. Les fuites sont un peu plus compliquées. La fuite est un changement dans AS Path. Dans le meilleur des cas, le changement entraînera un retard plus important car vous devrez parcourir un itinéraire plus long ou sur une liaison moins volumineuse. Au pire, le cas de Google et du Japon se répétera.
Google lui-même n'est pas un opérateur ni un système de transport autonome. Mais lorsqu'il a annoncé les réseaux des opérateurs japonais à son fournisseur, le trafic via Google via AS Path a été considéré comme une priorité plus élevée. Le trafic y est allé et a chuté simplement parce que les paramètres de routage au sein de Google sont plus complexes que de simples filtres à la frontière.
Pourquoi les filtres ne fonctionnent-ils pas ?
Tout le monde s'en fout. C’est la raison principale : personne ne s’en soucie. L'administrateur d'un petit fournisseur ou d'une entreprise qui s'est connecté au fournisseur via BGP a pris MikroTik, y a configuré BGP et ne sait même pas que des filtres peuvent y être configurés.
Erreurs de configuration. Ils ont raté quelque chose, se sont trompés dans le masque, ont mis le mauvais maillage - et maintenant, il y a encore une erreur.
Aucune possibilité technique. Par exemple, les fournisseurs de télécommunications ont de nombreux clients. De manière intelligente, vous devez mettre à jour automatiquement les filtres pour chaque client - assurez-vous qu'il dispose d'un nouveau réseau, qu'il a loué son réseau à quelqu'un. C’est difficile à suivre, et encore plus difficile avec les mains. Par conséquent, ils installent simplement des filtres assouplis ou n’installent pas de filtres du tout.
exceptions. Il existe des exceptions pour les clients bien-aimés et importants. Notamment dans le cas des interfaces inter-opérateurs. Par exemple, TransTeleCom et Rostelecom disposent de nombreux réseaux et il existe une interface entre eux. Si le joint tombe, ce ne sera bon pour personne, c'est pourquoi les filtres sont détendus ou complètement retirés.
Informations obsolètes ou non pertinentes dans le TRI. Les filtres sont construits sur la base des informations enregistrées dans IRR - Registre de routage Internet. Il s'agit de registres de bureaux d'enregistrement Internet régionaux. Souvent, les registres contiennent des informations obsolètes ou non pertinentes, ou les deux.
Qui sont ces registraires ?
Toutes les adresses Internet appartiennent à l'organisation IANA - Autorité d'attribution des numéros sur Internet. Lorsque vous achetez un réseau IP à quelqu'un, vous n'achetez pas des adresses, mais le droit de les utiliser. Les adresses sont une ressource intangible et, d’un commun accord, elles appartiennent toutes à l’IANA.
Le système fonctionne comme ceci. L'IANA délègue la gestion des adresses IP et des numéros de systèmes autonomes à cinq bureaux d'enregistrement régionaux. Ils émettent des systèmes autonomes LIR - bureaux d'enregistrement Internet locaux. Les LIR attribuent ensuite des adresses IP aux utilisateurs finaux.
L'inconvénient du système est que chacun des registraires régionaux tient ses registres à sa manière. Chacun a sa propre opinion sur les informations qui doivent être contenues dans les registres et sur qui doit ou non les vérifier. Le résultat est le désordre que nous connaissons actuellement.
Sinon, comment pouvez-vous lutter contre ces problèmes ?
TRI - qualité médiocre. C'est clair avec IRR - tout va mal là-bas.
Communautés BGP. Il s'agit d'un attribut décrit dans le protocole. On peut par exemple attacher une communauté spéciale à notre annonce pour qu'un voisin n'envoie pas nos réseaux à ses voisins. Lorsque nous disposons d’un lien P2P, nous échangeons uniquement nos réseaux. Pour éviter que l'itinéraire ne se dirige accidentellement vers d'autres réseaux, nous ajoutons une communauté.
Les communautés ne sont pas transitives. C'est toujours un contrat à deux, et c'est là leur inconvénient. Nous ne pouvons attribuer aucune communauté, à l'exception d'une seule, qui est acceptée par défaut par tout le monde. Nous ne pouvons pas être sûrs que tout le monde acceptera cette communauté et l’interprétera correctement. Ainsi, dans le meilleur des cas, si vous êtes d’accord avec votre uplink, il comprendra ce que vous attendez de lui en termes de communauté. Mais votre voisin peut ne pas comprendre, ou l'opérateur réinitialisera simplement votre étiquette et vous n'obtiendrez pas ce que vous vouliez.
RPKI + ROA ne résout qu'une petite partie des problèmes. RPKI est Infrastructure à clé publique des ressources — un cadre spécial pour signer les informations de routage. C'est une bonne idée de forcer les LIR et leurs clients à maintenir une base de données d'espace d'adressage à jour. Mais cela pose un problème.
RPKI est également un système à clé publique hiérarchique. L'IANA a une clé à partir de laquelle les clés RIR sont générées, et à partir de quelles clés LIR sont générées ? avec lesquels ils signent leur espace d'adressage à l'aide de ROA - Route Origin Authorisations :
— Je vous assure que ce préfixe sera annoncé au nom de cette région autonome.
En plus du ROA, il existe d'autres objets, mais nous y reviendrons plus tard. Cela semble être une chose bonne et utile. Mais cela ne nous protège pas des fuites du mot « du tout » et ne résout pas tous les problèmes liés au détournement de préfixes. Par conséquent, les joueurs ne sont pas pressés de le mettre en œuvre. Bien que de grands acteurs tels que AT&T et les grandes sociétés IX aient déjà assuré que les préfixes avec un enregistrement ROA invalide seront supprimés.
Peut-être qu'ils le feront, mais pour l'instant nous avons un grand nombre de préfixes qui ne sont signés d'aucune façon. D’une part, il n’est pas clair s’ils sont valablement annoncés. En revanche, nous ne pouvons pas les supprimer par défaut, car nous ne savons pas si cela est correct ou non.
Qu'y a-t-il d'autre?
BGPSec. C'est une idée intéressante que les universitaires ont imaginée pour un réseau de poneys roses. Ils ont dit:
- Nous avons RPKI + ROA - un mécanisme de vérification des signatures de l'espace d'adressage. Créons un attribut BGP distinct et appelons-le Chemin BGPSec. Chaque routeur signera de sa propre signature les annonces qu'il annonce à ses voisins. De cette façon, nous obtiendrons un chemin fiable à partir de la chaîne d'annonces signées et pourrons le vérifier.
C'est bien en théorie, mais en pratique, les problèmes sont nombreux. BGPSec brise de nombreux mécanismes BGP existants pour sélectionner les prochains sauts et gérer le trafic entrant/sortant directement sur le routeur. BGPSec ne fonctionne que lorsque 95 % de l’ensemble du marché l’a mis en œuvre, ce qui est en soi une utopie.
BGPSec a d'énormes problèmes de performances. Sur le matériel actuel, la vitesse de vérification des annonces est d'environ 50 préfixes par seconde. A titre de comparaison : le tableau Internet actuel de 700 000 préfixes sera téléchargé dans 5 heures, pendant lesquelles il changera encore 10 fois.
Politique ouverte BGP (BGP basé sur les rôles). Nouvelle proposition basée sur le modèle Gao-Rexford. Ce sont deux scientifiques qui étudient le BGP.
Le modèle Gao-Rexford est le suivant. Pour simplifier, avec BGP il existe un petit nombre de types d’interactions :
- Client fournisseur ;
- P2P ;
- communication interne, disons iBGP.
En fonction du rôle du routeur, il est déjà possible d'attribuer certaines politiques d'import/export par défaut. L'administrateur n'a pas besoin de configurer les listes de préfixes. En fonction du rôle sur lequel les routeurs s'accordent entre eux et qui peut être défini, nous recevons déjà des filtres par défaut. Il s'agit actuellement d'un projet qui est en cours de discussion au sein de l'IETF. J'espère que nous verrons bientôt cela sous la forme d'une RFC et d'une implémentation sur le matériel.
Grands fournisseurs Internet
Regardons l'exemple d'un fournisseur CenturyLink. Il s'agit du troisième plus grand fournisseur américain, desservant 37 États et disposant de 15 centres de données.
En décembre 2018, CenturyLink était présent sur le marché américain pendant 50 heures. Lors de l'incident, des problèmes sont survenus avec le fonctionnement des guichets automatiques dans deux États et le numéro 911 n'a pas fonctionné pendant plusieurs heures dans cinq États. La loterie de l'Idaho a été complètement ruinée. L'incident fait actuellement l'objet d'une enquête de la Commission des télécommunications des États-Unis.
La cause de la tragédie était une carte réseau dans un centre de données. La carte a mal fonctionné, a envoyé des paquets incorrects et les 15 centres de données du fournisseur sont tombés en panne.
L'idée n'a pas fonctionné pour ce fournisseur "trop gros pour tomber". Cette idée ne fonctionne pas du tout. Vous pouvez prendre n’importe quel acteur majeur et mettre quelques petites choses par-dessus. Les États-Unis s’en sortent toujours bien en matière de connectivité. Les clients de CenturyLink qui disposaient d'une réserve y sont allés en masse. Ensuite, les opérateurs alternatifs se sont plaints de la surcharge de leurs liens.
Si le Kazakhtelecom conditionnel tombe, le pays tout entier se retrouvera sans Internet.
Sociétés
Probablement Google, Amazon, FaceBook et d'autres sociétés soutiennent Internet ? Non, ils le cassent aussi.
En 2017 à Saint-Pétersbourg lors de la conférence ENOG13 Jeff Houston de APNIC представил . Il dit que nous sommes habitués à ce que les interactions, les flux d’argent et le trafic sur Internet soient verticaux. Nous avons de petits fournisseurs qui paient pour la connectivité aux plus grands, et ils paient déjà pour la connectivité au transport en commun mondial.
Nous avons maintenant une telle structure orientée verticalement. Tout irait bien, mais le monde change : les principaux acteurs construisent leurs câbles transocéaniques pour construire leurs propres dorsales.
Nouvelles sur le câble CDN.
En 2018, TeleGeography a publié une étude selon laquelle plus de la moitié du trafic sur Internet ne provient plus d'Internet, mais du CDN fédérateur des grands acteurs. Il s’agit d’un trafic lié à Internet, mais ce n’est plus le réseau dont nous parlions.
Internet est en train de se fragmenter en un vaste ensemble de réseaux faiblement connectés.
Microsoft possède son propre réseau, Google a le sien et ils se chevauchent peu. Le trafic provenant de quelque part aux États-Unis passe par les canaux Microsoft à travers l'océan jusqu'en Europe quelque part sur un CDN, puis via CDN ou IX, il se connecte à votre fournisseur et parvient à votre routeur.
La décentralisation est en train de disparaître.
Cette force d’Internet, qui l’aiderait à survivre à une explosion nucléaire, est en train de se perdre. Des lieux de concentration d’usagers et de trafic apparaissent. Si le Google Cloud conditionnel tombe, il y aura de nombreuses victimes à la fois. Nous l'avons ressenti en partie lorsque Roskomnadzor a bloqué AWS. Et l’exemple de CenturyLink montre que même de petites choses suffisent pour cela.
Auparavant, tout n'était pas cassé, ni tout le monde. À l’avenir, nous pourrions arriver à la conclusion qu’en influençant un acteur majeur, nous pouvons briser beaucoup de choses, dans de nombreux endroits et chez de nombreuses personnes.
États
Les États viennent ensuite, et c’est ce qui leur arrive habituellement.
Ici, notre Roskomnadzor n'est même pas du tout un pionnier. Une pratique similaire de coupure d’Internet existe en Iran, en Inde et au Pakistan. En Angleterre, il existe un projet de loi sur la possibilité de couper Internet.
N’importe quel grand État souhaite se doter d’un interrupteur pour désactiver Internet, complètement ou en partie : Twitter, Telegram, Facebook. Ce n’est pas qu’ils ne comprennent pas qu’ils ne réussiront jamais, mais ils le veulent vraiment. Le commutateur est généralement utilisé à des fins politiques - pour éliminer des concurrents politiques, ou des élections approchent, ou des pirates informatiques russes ont encore cassé quelque chose.
Attaques DDoS
Je n'enlèverai pas le pain à mes camarades de Qrator Labs, ils le font bien mieux que moi. Ils ont sur la stabilité d'Internet. Et c’est ce qu’ils ont écrit dans le rapport de 2018.
La durée moyenne des attaques DDoS tombe à 2.5 heures. Les attaquants commencent également à compter l’argent, et si la ressource n’est pas immédiatement disponible, ils la laissent rapidement tranquille.
L'intensité des attaques augmente. En 2018, nous avons vu 1.7 Tb/s sur le réseau Akamai, et ce n'est pas la limite.
De nouveaux vecteurs d’attaque apparaissent et les anciens s’intensifient. De nouveaux protocoles émergents susceptibles d'être amplifiés, et de nouvelles attaques apparaissent sur les protocoles existants, notamment TLS et autres.
La majeure partie du trafic provient d'appareils mobiles. Dans le même temps, le trafic Internet se déplace vers les clients mobiles. Ceux qui attaquent comme ceux qui défendent doivent pouvoir travailler avec cela.
Invulnérable - non. C'est l'idée principale : il n'existe pas de protection universelle qui protégerait définitivement contre tout DDoS.
Le système ne peut être installé que s'il est connecté à Internet.
J'espère que je vous ai assez fait peur. Réfléchissons maintenant à ce qu'il faut faire.
Que faire?!
Si vous avez du temps libre, de l'envie et des connaissances en anglais, participez à des groupes de travail : IETF, RIPE WG. Ce sont des listes de diffusion ouvertes, s'abonner à des listes de diffusion, participer à des discussions, venir à des conférences. Si vous avez le statut LIR, vous pouvez voter, par exemple, dans RIPE pour diverses initiatives.
Pour les simples mortels, c'est surveillance. Pour savoir ce qui est cassé.
Surveillance : que vérifier ?
Ping régulier, et pas seulement une vérification binaire - cela fonctionne ou non. Enregistrez RTT dans l’historique afin de pouvoir examiner les anomalies plus tard.
Traceroute. Il s'agit d'un programme utilitaire permettant de déterminer les routes de données sur les réseaux TCP/IP. Aide à identifier les anomalies et les blocages.
HTTP vérifie les URL personnalisées et les certificats TLS permettra de détecter le blocage ou l’usurpation DNS lors d’une attaque, ce qui revient pratiquement à la même chose. Le blocage est souvent effectué par usurpation DNS et en dirigeant le trafic vers une page de stub.
Si possible, vérifiez la détermination de vos clients quant à votre origine à différents endroits si vous avez une candidature. Cela vous aidera à détecter les anomalies de piratage DNS, ce que font parfois les fournisseurs.
Surveillance : où vérifier ?
Il n’y a pas de réponse universelle. Vérifiez d'où vient l'utilisateur. Si les utilisateurs se trouvent en Russie, vérifiez depuis la Russie, mais ne vous limitez pas à cela. Si vos utilisateurs vivent dans des régions différentes, vérifiez dans ces régions. Mais mieux du monde entier.
Surveillance : que vérifier ?
J'ai trouvé trois façons. Si vous en savez plus, écrivez dans les commentaires.
- Atlas MÛR.
- Veille commerciale.
- Votre propre réseau de machines virtuelles.
Parlons de chacun d'eux.
Atlas RIPE - c'est une si petite boîte. Pour ceux qui connaissent "l'Inspecteur" domestique, c'est la même boîte, mais avec un autocollant différent.
RIPE Atlas est un programme gratuit. Vous vous inscrivez, recevez un routeur par mail et branchez-le au réseau. Pour le fait que quelqu'un d'autre utilise votre échantillon, vous obtenez des crédits. Avec ces prêts, vous pouvez faire des recherches vous-même. Vous pouvez tester de différentes manières : ping, traceroute, vérifier les certificats. La couverture est assez large, il existe de nombreux nœuds. Mais il y a des nuances.
Le système de crédit ne permet pas de construire des solutions de production. Il n’y aura pas suffisamment de crédits pour la recherche en cours ou la surveillance commerciale. Les crédits sont suffisants pour une courte étude ou un contrôle unique. La norme quotidienne d'un échantillon est consommée par 1 à 2 contrôles.
La couverture est inégale. Le programme étant gratuit dans les deux sens, la couverture est bonne en Europe, dans la partie européenne de la Russie et dans certaines régions. Mais si vous avez besoin de l'Indonésie ou de la Nouvelle-Zélande, tout est bien pire : vous n'aurez peut-être pas 50 échantillons par pays.
Vous ne pouvez pas vérifier http à partir d'un échantillon. Cela est dû à des nuances techniques. Ils promettent de le corriger dans la nouvelle version, mais pour l'instant, http ne peut pas être vérifié. Seul le certificat peut être vérifié. Une sorte de vérification http ne peut être effectuée que sur un appareil RIPE Atlas spécial appelé Anchor.
La deuxième méthode est la surveillance commerciale. Tout va bien pour lui, vous payez de l'argent, n'est-ce pas ? Ils vous promettent plusieurs dizaines ou centaines de points de surveillance à travers le monde et dessinent de magnifiques tableaux de bord prêts à l'emploi. Mais là encore, il y a des problèmes.
C'est payant, dans certains endroits c'est très. La surveillance Ping, les contrôles mondiaux et de nombreux contrôles HTTP peuvent coûter plusieurs milliers de dollars par an. Si les finances le permettent et que cette solution vous plaît, allez-y.
La couverture peut ne pas être suffisante dans la région d'intérêt. Avec le même ping, une partie maximum d'une partie abstraite du monde est spécifiée - Asie, Europe, Amérique du Nord. Des systèmes de surveillance rares peuvent explorer un pays ou une région spécifique.
Faible prise en charge des tests personnalisés. Si vous avez besoin de quelque chose de personnalisé, et pas seulement d'un « bouclé » sur l'URL, cela pose également des problèmes.
La troisième voie est votre surveillance. C’est un classique : « Écrivons le nôtre ! »
Votre veille se transforme en développement d'un produit logiciel, et distribué. Vous recherchez un fournisseur d'infrastructure, regardez comment le déployer et le surveiller : la surveillance doit être surveillée, n'est-ce pas ? Et du soutien est également nécessaire. Réfléchissez dix fois avant de vous lancer dans cette aventure. Il peut être plus facile de payer quelqu’un pour le faire à votre place.
Surveillance des anomalies BGP et des attaques DDoS
Ici, en fonction des ressources disponibles, tout est encore plus simple. Les anomalies BGP sont détectées à l'aide de services spécialisés tels que QRadar, BGPmon. Ils acceptent une table à vue complète de plusieurs opérateurs. À partir de ce qu’ils voient des différents opérateurs, ils peuvent détecter des anomalies, rechercher des amplificateurs, etc. L'inscription est généralement gratuite - vous entrez votre numéro de téléphone, vous abonnez aux notifications par e-mail et le service vous alertera de vos problèmes.
La surveillance des attaques DDoS est également simple. Généralement, c'est Basé sur NetFlow et journaux. Il existe des systèmes spécialisés comme FastNetMon, modules pour Splunk. En dernier recours, il existe votre fournisseur de protection DDoS. Il peut également divulguer NetFlow et, sur cette base, il vous informera des attaques dans votre direction.
résultats
Ne vous faites pas d'illusions : Internet va définitivement s'effondrer. Tout et tout le monde ne se brisera pas, mais 14 2017 incidents en XNUMX suggèrent qu'il y aura des incidents.
Votre tâche est de détecter les problèmes le plus tôt possible. Au minimum, au plus tard votre utilisateur. Non seulement il est important de noter qu’il faut toujours garder un « Plan B » en réserve. Un plan est une stratégie pour ce que vous ferez lorsque tout s’effondrera.: opérateurs de réserve, DC, CDN. Un plan est une liste de contrôle distincte par rapport à laquelle vous vérifiez le fonctionnement de tout. Le plan devrait fonctionner sans l'intervention d'ingénieurs réseau, car ils sont généralement peu nombreux et veulent dormir.
C'est tout. Je vous souhaite une haute disponibilité et un suivi vert.
La semaine prochaine, sous le soleil de Novossibirsk, une charge élevée et une forte concentration de développeurs sont attendues . En Sibérie, on prévoit une avalanche de rapports sur la surveillance, l'accessibilité et les tests, la sécurité et la gestion. Des précipitations sont attendues sous forme de notes griffonnées, de réseautage, de photographies et de posts sur les réseaux sociaux. Nous recommandons de reporter toutes les activités les 24 et 25 juin et . Nous vous attendons en Sibérie !
Source: habr.com