Tha e coltach gu bheil an eadar-lÏn na structar là idir, neo-eisimeileach agus do-sheachanta. Ann an teòiridh, tha an lÏonra là idir gu leòr airson a bhith beò le spreadhadh niÚclasach. Gu fÏrinneach, faodaidh an eadar-lÏn aon router beag a leigeil sÏos. Gu h-iomlan leis gu bheil an eadar-lÏn na chrann de contrarrachdan, so-leòntachd, mearachdan agus bhideothan mu chait. Tha cnà imh-droma an eadar-lÏn, BGP, là n de dhuilgheadasan. Tha e iongantach gu bheil e fhathast ag anail. A bharrachd air mearachdan san eadar-lÏn fhèin, tha e cuideachd air a bhriseadh leis a h-uile duine: solaraichean eadar-lÏn mòr, corporaidean, stà itean agus ionnsaighean DDoS. Dè a nÏ thu mu dheidhinn agus ciamar a dh'fhuiricheas tu leis?
Tha fios aig an fhreagairt Alexei Uchakin () na stiÚiriche air sgioba de innleadairean lÏonra aig Roghainn IQ. Is e a phrÏomh obair ruigsinneachd an à rd-Úrlar do luchd-cleachdaidh. Anns an tar-sgrÏobhadh de dh'aithisg Alexei air Bruidhnidh sinn mu BGP, ionnsaighean DDOS, suidsichean eadar-lÏn, mearachdan solaraiche, dÏ-mheadhanachadh agus cÚisean nuair a chuir router beag an eadar-lÏn gu cadal. Aig a 'cheann thall - beagan mholaidhean air mar as urrainn dhut seo a chumail beò.
An latha a bhris an eadar-lĂŹon
Bheir mi iomradh air dÏreach beagan thachartasan far an do bhris ceangal an eadar-lÏn sÏos. Bidh seo gu leòr airson an dealbh iomlan.
Tachartas AS7007". Bha aâ chiad uair a bhris an eadar-lĂŹn sa Ghiblean 1997. Bha buga ann am bathar-bog aon router bhon t-siostam fèin-riaghailteach 7007. Aig Ă m air choreigin, dhâ ainmich an router an clĂ r slighe a-staigh aige gu na nĂ baidhean aige agus chuir e leth den lĂŹonra a-steach do tholl dubh.
"Pacastan an aghaidh YouTube". Ann an 2008, cho-dhĂšin daoine gaisgeil Ă Pacastan casg a chuir air YouTube. Rinn iad cho math e gun robh leth an t-saoghail air fhĂ gail gun chat.
âGlac ro-leasachan VISA, MasterCard agus Symantec le Rostelecomâ. Ann an 2017, thòisich Rostelecom gu mearachdach ag ainmeachadh ro-leasachan VISA, MasterCard agus Symantec. Mar thoradh air an sin, chaidh trafaic ionmhais a stiĂšireadh tro shianalan fo smachd an t-solaraiche. Cha do mhair an aodion fada, ach bha e mĂŹ-thlachdmhor dha companaidhean ionmhais.
Google an aghaidh Iapan. Anns an LĂšnastal 2017, thòisich Google ag ainmeachadh ro-leasachain prĂŹomh sholaraichean Iapanach NTT agus KDDI ann an cuid de na ceanglaichean suas aige. Chaidh an trafaic a chuir gu Google mar ghluasad, is dòcha le mearachd. Leis nach e solaraiche a thâ ann an Google agus nach eil e aâ ceadachadh trafaic gluasaid, chaidh pĂ irt chudromach de Iapan fhĂ gail Ă s aonais an eadar-lĂŹn.
âGhlac DV LINK na ro-leasachain aig Google, Apple, Facebook, Microsoftâ. Cuideachd ann an 2017, thòisich an solaraiche Ruiseanach DV LINK airson adhbhar air choireigin ag ainmeachadh lĂŹonraidhean Google, Apple, Facebook, Microsoft agus cuid de phrĂŹomh chluicheadairean eile.
âTha eNet Ă s na SA air ro-leasachan AWS Route53 agus MyEtherwallet a ghlacadhâ. Ann an 2018, dhâainmich an solaraiche Ohio no aon den luchd-dèiligidh aca lĂŹonraidhean wallet crypto Amazon Route53 agus MyEtherwallet. Bha an ionnsaigh soirbheachail: eadhon a dh'aindeoin an teisteanas fèin-shoidhnichte, rabhadh mu dheidhinn a nochd don neach-cleachdaidh nuair a chaidh e a-steach do lĂ rach-lĂŹn MyEtherwallet, chaidh mòran wallets a thoirt thairis agus chaidh pĂ irt den cryptocurrency a ghoid.
Bha còrr air 2017 tachartas mar sin ann an 14 a-mhà in! Tha an lÏonra fhathast dÏ-mheadhanaichte, mar sin chan eil a h-uile cà il agus chan eil a h-uile duine a 'briseadh sÏos. Ach tha mÏltean de thachartasan ann, uile co-cheangailte ri protocol BGP a bheir cumhachd don eadar-lÏn.
BGP agus na duilgheadasan aige
Pròtacal BGP - Pròtacal Geata nan CrĂŹochan, a mhĂŹneachadh an toiseach ann an 1989 le dĂ innleadair bho IBM agus Cisco Systems air trĂŹ ânapccainâ - duilleagan A4. Tha iad seo fhathast nan suidhe aig prĂŹomh oifis Cisco Systems ann an San Francisco mar fhaileas den t-saoghal lĂŹonraidh.
Tha am protocol stèidhichte air eadar-obrachadh siostaman fèin-riaghailteach - Siostaman fèin-riaghlaidh no AS airson Ăšine ghoirid. Chan eil ann an siostam fèin-riaghailteach ach ID far a bheil lĂŹonraidhean IP air an sònrachadh sa chlĂ r poblach. Faodaidh router leis an ID seo na lĂŹonraidhean sin ainmeachadh don t-saoghal. Mar sin, faodar slighe sam bith air an eadar-lĂŹn a riochdachadh mar vectar, ris an canar Slighe AS. Tha an vectar aâ toirt a-steach na h-Ă ireamhan de shiostaman fèin-riaghailteach a dhâ fheumar a dhol tarsainn gus an lĂŹonra ceann-uidhe a ruighinn.
Mar eisimpleir, tha lĂŹonra de ghrunn shiostaman fèin-riaghlaidh ann. Feumaidh tu faighinn bhon t-siostam AS65001 gu siostam AS65003. Tha an t-slighe bho aon shiostam air a riochdachadh le AS Path anns an diagram. Tha e air a dhèanamh suas de dhĂ shiostam fèin-riaghailteach: 65002 agus 65003. Airson gach seòladh ceann-uidhe tha vectar AS Path, anns a bheil na h-Ă ireamhan de shiostaman fèin-riaghailteach a dhâ fheumas sinn a dhol troimhe.
Mar sin dè na duilgheadasan a thâ ann le BGP?
Tha BGP na phròtacal earbsa
Tha protocol BGP stèidhichte air earbsa. Tha seo aâ ciallachadh gu bheil earbsa againn anns an nĂ baidh againn gu bunaiteach. Tha seo na fheart de dhâ iomadh protocol a chaidh a leasachadh aig fĂŹor thoiseach an eadar-lĂŹn. Feuchaidh sinn a-mach dè a tha âearbsaâ aâ ciallachadh.
Gun dearbhadh nĂ baidh. Gu foirmeil, tha MD5 ann, ach tha MD5 ann an 2019 dĂŹreach sin ...
Gun sĂŹoladh. Tha sĂŹoltachain aig BGP agus tha iad air am mĂŹneachadh, ach chan eil iad air an cleachdadh no air an cleachdadh gu ceĂ rr. MĂŹnichidh mi carson nas fhaide air adhart.
Tha e gu math furasta nà bachd a stèidheachadh. Tha stèidheachadh nà bachd ann am protocol BGP air cha mhòr router sam bith na dhà loidhne den config.
Chan eil feum air còraichean riaghlaidh BGP. Chan fheum thu deuchainnean a ghabhail gus na teisteanasan agad a dhearbhadh. Cha toir duine air falbh do chòraichean airson BGP a rèiteachadh fhad âs a tha thu leis an deoch.
DĂ phrĂŹomh dhuilgheadas
Hijacks ro-leasachan. Tha fuadach ro-leasachan aâ sanasachadh lĂŹonra nach buin dhut, mar a tha fĂŹor le MyEtherwallet. Ghabh sinn cuid de ro-leasachain, dhâ aontaich sinn leis an t-solaraiche no hack sinn e, agus troimhe bidh sinn ag ainmeachadh nan lĂŹonraidhean sin.
Slighe ag aoidion. Tha aoidion beagan nas iom-fhillte. Tha aodion na atharrachadh ann an AS Path. Aig aâ char as fheĂ rr, thig an t-atharrachadh gu barrachd dĂ il oir feumaidh tu siubhal air slighe nas fhaide no air ceangal nach eil cho comasach. Aig a 'char as miosa, thèid a' chĂšis le Google agus Iapan a-rithist.
Chan e gnĂŹomhaiche no siostam gluasaid fèin-riaghlaidh a thâ ann an Google fhèin. Ach nuair a dhâ ainmich e lĂŹonraidhean de ghnĂŹomhaichean Iapanach don t-solaraiche aige, bha trafaic tro Google tro AS Path air fhaicinn mar phrĂŹomhachas nas Ă irde. Chaidh trafaic ann agus thuit e dĂŹreach leis gu bheil na roghainnean slighe taobh a-staigh Google nas iom-fhillte na dĂŹreach sĂŹoltachain aig a âchrĂŹch.
Carson nach obraich sĂŹoltachain?
Chan eil duine a âgabhail cĂšram. 'S e seo am prĂŹomh adhbhar - chan eil duine a' gabhail cĂšram. Ghabh rianadair solaraiche beag no companaidh a bha ceangailte ris an t-solaraiche tro BGP MikroTik, shuidhich e BGP air agus chan eil fios aige eadhon gum faodar sĂŹoltachain a rèiteachadh an sin.
Mearachdan rèiteachaidh. Rinn iad rudeigin suas, rinn iad mearachd san masg, chuir iad air aâ mhogal ceĂ rr - agus a-nis tha mearachd ann a-rithist.
Chan eil comas teicnigeach ann. Mar eisimpleir, tha mòran luchd-dèiligidh aig solaraichean telecom. Is e an rud snasail ri dhèanamh na sĂŹoltachain Ăšrachadh gu fèin-ghluasadach airson gach neach-dèiligidh - gus sĂšil a chumail gu bheil lĂŹonra Ăšr aige, gu bheil e air an lĂŹonra aige a thoirt air mĂ l do chuideigin. Tha e duilich seo a leantainn, agus eadhon nas duilghe le do lĂ mhan. Mar sin, bidh iad dĂŹreach aâ stĂ ladh sĂŹoltachain socair no cha bhith iad aâ stĂ ladh sĂŹoltachain idir.
Eisimpleirean. Tha eisgeachdan ann airson luchd-dèiligidh measail agus mòr. Gu sònraichte ann an cÚis eadar-aghaidh eadar-ghnÏomhaiche. Mar eisimpleir, tha dòrlach de lÏonraidhean aig TransTeleCom agus Rostelecom agus tha eadar-aghaidh eatorra. Ma thuiteas an co-bhonn, cha bhith e math do dhuine sam bith, agus mar sin bidh na sÏoltachain air an socair no air an toirt air falbh gu tur.
Fiosrachadh seann-fhasanta no neo-iomchaidh san IRR. Tha sÏoltachain air an togail stèidhichte air fiosrachadh a tha air a chlà radh ann IRR - Clà r slighe eadar-lÏn. Is iad sin clà ran de luchd-clà raidh eadar-lÏn roinneil. Gu tric, bidh fiosrachadh seann-fhasanta no neo-iomchaidh, no an dà chuid, ann an clà ran.
Cò na luchd-clà raidh a tha seo?
Buinidh a h-uile seòladh eadar-lĂŹn don bhuidheann IANA - Ăghdarras Ăireamhan Sònraichte Eadar-lĂŹn. Nuair a cheannaicheas tu lĂŹonra IP bho chuideigin, chan eil thu a 'ceannach seòlaidhean, ach a' chòir a bhith gan cleachdadh. 'S e goireas do-bheantainn a th' ann an seòlaidhean agus le aonta coitcheann 's ann leis an IANA a tha iad uile.
Bidh an siostam ag obair mar seo. Bidh IANA aâ tiomnadh stiĂšireadh sheòlaidhean IP agus Ă ireamhan siostam fèin-riaghailteach gu còignear luchd-clĂ raidh roinneil. Bidh iad a 'toirt seachad siostaman fèin-riaghlaidh LIR - luchd-clĂ raidh eadar-lĂŹn ionadail. Bidh LIRn an uairsin aâ riarachadh sheòlaidhean IP do luchd-cleachdaidh deireannach.
Is e ana-cothrom an t-siostaim gu bheil gach neach-clĂ raidh roinneil aâ cumail a chlĂ ran na dhòigh fhèin. Tha am beachdan fhèin aig a h-uile duine air dè am fiosrachadh a bu chòir a bhith ann an clĂ ran, agus cò bu chòir no nach bu chòir a sgrĂšdadh. Is e an toradh an t-uabhas a th' againn a-nis.
Ciamar eile as urrainn dhut dèiligeadh ris na duilgheadasan sin?
IRR - cĂ ileachd meadhanach. Tha e soilleir le IRR - tha a h-uile dad dona an sin.
BGP - coimhearsnachdan. Is e seo feart sònraichte a tha air a mhĂŹneachadh sa phròtacal. Faodaidh sinn, mar eisimpleir, coimhearsnachd shònraichte a cheangal ris an fhoillseachadh againn gus nach cuir nĂ baidh ar lĂŹonraidhean gu a nĂ baidhean. Nuair a bhios ceangal P2P againn, cha bhith sinn ag iomlaid ach ar lĂŹonraidhean. Gus casg a chuir air an t-slighe bho bhith aâ dol gu lĂŹonraidhean eile gun fhiosta, cuiridh sinn coimhearsnachd ris.
Chan eil coimhearsnachdan gluasadach. Tha e an-còmhnaidh na chĂšmhnant airson dithis, agus is e seo an tarraing air ais aca. Chan urrainn dhuinn coimhearsnachd sam bith a shònrachadh, ach a-mhĂ in aon, ris an gabh a h-uile duine gu bunaiteach. Chan urrainn dhuinn a bhith cinnteach gun gabh a h-uile duine ris aâ choimhearsnachd seo agus gun dèan sinn mĂŹneachadh ceart air. Mar sin, anns aâ chĂšis as fheĂ rr, ma dhâaontaicheas tu leis an uplink agad, tuigidh e na tha thu ag iarraidh bhuaithe a thaobh coimhearsnachd. Ach is dòcha nach tuig do nĂ baidh, no ath-shuidhichidh an gnĂŹomhaiche an taga agad, agus cha choilean thu na bha thu ag iarraidh.
Chan eil RPKI + ROA aâ fuasgladh ach pĂ irt bheag de na duilgheadasan. Tha RPKI Bun-structar PrĂŹomh Stòras Poblach - frèam sònraichte airson soidhnigeadh fiosrachadh slighe. Is e deagh bheachd a thâ ann toirt air LIRn agus an teachdaichean stòr-dĂ ta fĂ nais seòlaidhean as Ăšire a chumail. Ach tha aon duilgheadas ann leis.
Tha RPKI cuideachd na shiostam iuchrach poblach rangachd. Tha iuchair aig IANA Ă s an tèid iuchraichean RIR a chruthachadh, agus Ă s an tèid iuchraichean LIR a chruthachadh? leis am bi iad aâ soidhnigeadh an Ă ite seòlaidh aca aâ cleachdadh ROA - Ăghdarrasan TĂšs Slighe:
- Tha mi aâ dearbhadh dhut gun tèid an ro-leasachan seo ainmeachadh Ă s leth na roinne fèin-riaghailteach seo.
A bharrachd air ROA, tha nithean eile ann, ach barrachd mun deidhinn nas fhaide air adhart. Tha e coltach gur e rud math agus feumail a thâ ann. Ach chan eil e gar dĂŹon bho aoidion bhon fhacal âco-dhiĂšâ agus chan eil e a âfuasgladh a h-uile duilgheadas le hijacking ro-leasachan. Mar sin, chan eil cluicheadairean ann an cabhag airson a chuir an gnĂŹomh. Ged a tha gealltanasan ann mar-thĂ bho chluicheadairean mòra leithid AT&T agus companaidhean mòra IX gun tèid ro-leasachan le clĂ r ROA neo-dhligheach a leigeil seachad.
Is dòcha gun dèan iad seo, ach airson a-nis tha à ireamh mhòr de ro-leasachain againn nach eil air an soidhnigeadh ann an dòigh sam bith. Air an aon là imh, chan eil e soilleir a bheil iad air an ainmeachadh gu dligheach. Air an là imh eile, chan urrainn dhuinn an leigeil sÏos gu bunaiteach, oir chan eil sinn cinnteach a bheil seo ceart no nach eil.
Dè eile a tha ann?
BGPSec. Is e rud math a tha seo a thà inig luchd-foghlaim suas airson lÏonra de phònaidhean pinc. Thuirt iad:
- Tha RPKI + ROA againn - inneal airson dearbhadh ainmean-Ă ite seòlaidh. Cruthaichidh sinn feart BGP air leth agus canar BGPSec Path ris. Bidh gach router aâ soidhnigeadh le ainm-sgrĂŹobhte fhèin na sanasan a dhâ ainmicheas e dha na nĂ baidhean aige. San dòigh seo gheibh sinn slighe earbsach bhon t-sreath de sanasan soidhnichte agus bidh e comasach dhuinn sgrĂšdadh a dhèanamh air.
Math ann an teòiridh, ach ann an cleachdadh tha mòran dhuilgheadasan ann. Bidh BGPSec aâ briseadh mòran de mheacanaig BGP a thâ ann mu thrĂ th airson ath-hops a thaghadh agus trafaic a-steach / a-mach a riaghladh gu dĂŹreach air an router. Cha bhith BGPSec ag ââobair gus am bi 95% den mhargaidh gu lèir air a chuir an gnĂŹomh, rud a tha ann fhèin na utopia.
Tha duilgheadasan coileanaidh mòra aig BGPSec. Air aâ bhathar-cruaidh gnĂ thach, tha astar sgrĂšdaidh fiosan timcheall air 50 ro-leasachan gach diog. Airson coimeas: thèid an clĂ r eadar-lĂŹn gnĂ thach de 700 ro-leasachan a luchdachadh suas ann an 000 uairean, agus atharraichidh e 5 tursan a bharrachd.
Poileasaidh Fosgailte BGP (BGP stèidhichte air dreuchd). Moladh Ăšr stèidhichte air aâ mhodail Gao-Rexford. Seo dithis luchd-saidheans a tha aâ rannsachadh BGP.
Tha modail Gao-Rexford mar a leanas. Gus a dhèanamh nas sÏmplidhe, le BGP tha à ireamh bheag de sheòrsan eadar-obrachaidhean ann:
- Neach-ceannach Solaraiche;
- P2P;
- conaltradh a-staigh, abair iBGP.
Stèidhichte air Ă ite an router, tha e comasach mu thrĂ th cuid de phoileasaidhean in-mhalairt / Ă s-mhalairt a shònrachadh gu bunaiteach. Chan fheum an rianaire liostaichean ro-leasachan a rèiteachadh. Stèidhichte air an Ă ite a tha na routers ag aontachadh eatorra fhèin agus a ghabhas a shuidheachadh, tha sinn mu thrĂ th aâ faighinn cuid de shĂŹoltachain Ă bhaisteach. Is e seo dreach an-drĂ sta air a bheilear aâ bruidhinn san IETF. Tha mi an dòchas gum faic sinn seo a dhâ aithghearr ann an cruth RFC agus buileachadh air bathar-cruaidh.
Solaraichean mòra eadar-lÏn
Bheir sinn sĂšil air eisimpleir solaraiche CenturyLink. Is e an treas solaraiche as motha sna SA, aâ frithealadh 37 stĂ itean agus le 15 ionadan dĂ ta.â
San DÚbhlachd 2018, bha CenturyLink air margaidh na SA airson 50 uair. Rè na thachair, bha duilgheadasan ann le obrachadh ATMan ann an dà stà it, agus cha robh an à ireamh 911 ag obair airson grunn uairean a thÏde ann an còig stà itean. Chaidh an crannchur ann an Idaho a mhilleadh gu tur. Tha an tachartas fo sgrÚdadh le Coimisean Tele-chonaltraidh na SA an-drà sta.
Bâ e adhbhar na bròn-chluich aon chairt lĂŹonra ann an aon ionad dĂ ta. Cha do dhâobraich aâ chairt, chuir i pacaidean ceĂ rr, agus chaidh na 15 ionadan dĂ ta aig an t-solaraiche sĂŹos.
Cha do dh'obraich am beachd airson an t-solaraiche seo "ro mhòr airson tuiteam". Chan eil am beachd seo ag obair idir. Faodaidh tu prĂŹomh chluicheadair sam bith a ghabhail agus cuid de rudan beaga a chuir air aâ mhullach. Tha na SA fhathast aâ dèanamh gu math le ceanglaichean. Chaidh luchd-ceannach CenturyLink aig an robh tèarmann a-steach dha ann an dròbhan. An uairsin ghearain luchd-obrachaidh eile gun robh na ceanglaichean aca gan luchdachadh cus.
Ma thuiteas an Kazakhtelecom cumhach, bidh an dÚthaich gu lèir air fhà gail às aonais an eadar-lÏn.
Corporra
Is dòcha gu bheil Google, Amazon, FaceBook agus corporaidean eile aâ toirt taic don eadar-lĂŹn? Chan e, bidh iad ga bhriseadh cuideachd.
Ann an 2017 ann an St. Petersburg aig co-labhairt ENOG13 Jeff Houston bho APnic toirt a-steach . Tha e ag rĂ dh gu bheil sinn cleachdte ri eadar-obrachaidhean, sruthan airgid agus trafaic air an eadar-lĂŹn a bhith dĂŹreach. Tha solaraichean beaga againn a phĂ igheas airson ceanglaichean ri feadhainn nas motha, agus tha iad mar-thĂ aâ pĂ igheadh ââairson ceangal ri còmhdhail cruinneil.
A-nis tha structar cho dĂŹreach againn. Bhiodh a h-uile dad gu math, ach tha an saoghal ag atharrachadh - tha prĂŹomh chluicheadairean aâ togail na cĂ ballan transoceanic aca gus na cnĂ mhan-droma aca fhèin a thogail.
Naidheachdan mu dheidhinn cĂ ball CDN.
Ann an 2018, leig TeleGeography a-mach sgrĂšdadh nach e an eadar-lĂŹn a thâ ann an còrr air leth den trafaic air an eadar-lĂŹn tuilleadh, ach cnĂ mhan-cĂšil CDN cluicheadairean mòra. Is e seo trafaic a tha co-cheangailte ris an eadar-lĂŹn, ach chan e seo an lĂŹonra air an robh sinn a âbruidhinn tuilleadh.
Tha an eadar-lĂŹn aâ briseadh suas gu seata mòr de lĂŹonraidhean ceangailte gu fuasgailte.
Tha a lĂŹonra fhèin aig Microsoft, tha a chuid fhèin aig Google, agus chan eil mòran tar-cheangail aca ri chèile. Bidh trafaic a thĂ inig am badeigin anns na SA aâ dol tro shianalan Microsoft thairis air aâ chuan chun Roinn Eòrpa am badeigin air CDN, an uairsin tro CDN no IX bidh e aâ ceangal ris an t-solaraiche agad agus aâ faighinn chun router agad.
Tha dĂŹ-mheadhanachadh aâ dol Ă bith.
Tha neart an eadar-lĂŹn seo, a chuidicheas e le bhith aâ mairsinn bho spreadhadh niĂšclasach, ga chall. Bidh Ă iteachan dĂšmhlachd luchd-cleachdaidh agus trafaic aâ nochdadh. Ma thuiteas an suidheachadh Google Cloud, bidh mòran luchd-fulaing ann aig an aon Ă m. Bha sinn aâ faireachdainn seo gu ĂŹre nuair a chuir Roskomnadzor bacadh air AWS. Agus tha eisimpleir CenturyLink aâ sealltainn gu bheil eadhon rudan beaga gu leòr airson seo.
Roimhe sin, cha do bhris a h-uile cĂ il agus cha do bhris a h-uile duine. Anns an Ă m ri teachd, is dòcha gun tig sinn chun cho-dhĂšnadh le bhith aâ toirt buaidh air aon phrĂŹomh chluicheadair, gun urrainn dhuinn tòrr rudan a bhriseadh, ann an iomadh Ă ite agus ann am mòran dhaoine.
StĂ itean
Is e stĂ itean an ath loidhne, agus is e seo a thachras dhaibh mar as trice.
An seo chan eil an Roskomnadzor againn eadhon na thĂšsaire idir. Tha cleachdadh coltach ri dĂšnadh eadar-lĂŹn ann an Ioran, na h-Innseachan agus Pacastan. Ann an Sasainn tha bile ann mu chomas an eadar-lĂŹn a dhĂšnadh sĂŹos.
Tha stĂ it mhòr sam bith ag iarraidh tionndadh gus an eadar-lĂŹn a chuir dheth, gu tur no ann am pĂ irtean: Twitter, Telegram, Facebook. Chan e nach eil iad aâ tuigsinn nach soirbhich leotha gu brĂ th, ach tha iad dha-rĂŹribh ga iarraidh. Tha an tionndadh air a chleachdadh, mar riaghailt, airson adhbharan poilitigeach - gus cuir Ă s do cho-fharpaisich poilitigeach, no tha taghaidhean aâ tighinn dlĂšth, no tha hackers Ruiseanach air rudeigin a bhriseadh a-rithist.
DDoS ionnsaighean
Cha toir mi air falbh aran bho mo chompanaich bho Qrator Labs, bidh iad ga dhèanamh tòrr nas fheà rr na mise. Tha aca air seasmhachd eadar-lÏn. Agus seo na sgrÏobh iad ann an aithisg 2018.
Bidh fad cuibheasach ionnsaighean DDoS aâ tuiteam gu 2.5 uair. Bidh an luchd-ionnsaigh cuideachd a âtòiseachadh aâ cunntadh airgead, agus mura h-eil an goireas ri fhaighinn sa bhad, bidh iad gu sgiobalta ga fhĂ gail leotha fhèin.
Tha dian ionnsaighean a 'fĂ s. Ann an 2018, chunnaic sinn 1.7 Tb / s air lĂŹonra Akamai, agus chan e seo an ĂŹre as Ă irde.
Tha vectaran ionnsaigh Ăšra aâ nochdadh agus seann fheadhainn aâ fĂ s nas dian. Tha protocolaidhean Ăšra aâ nochdadh a tha buailteach do leudachadh, agus tha ionnsaighean Ăšra aâ nochdadh air protocolaidhean a thâ ann mar-thĂ , gu sònraichte TLS agus an leithid.
Tha aâ mhòr-chuid den trafaic bho innealan gluasadach. Aig an aon Ă m, bidh trafaic eadar-lĂŹn a âgluasad gu teachdaichean gluasadach. Feumaidh an dĂ chuid an fheadhainn a bheir ionnsaigh agus an fheadhainn a dhĂŹonas a bhith comasach air obrachadh le seo.
Neo-sheasmhach - chan eil. Is e seo am prĂŹomh bheachd - chan eil dĂŹon uile-choitcheann ann a dhĂŹonas gu cinnteach an aghaidh DDoS sam bith.
Cha ghabh an siostam a stĂ ladh mura h-eil e ceangailte ris an eadar-lĂŹon.
Tha mi an dòchas gu bheil mi air eagal gu leòr a chuir ort. Smaoinich a-nis dè a nÏ sinn mu dheidhinn.
Dè a nÏ thu?!
Ma tha Úine shaor agad, miann agus eòlas air Beurla, gabh pà irt ann am buidhnean obrach: IETF, RIPE WG. Is iad sin liostaichean puist fosgailte, fo-sgrÏobhadh gu liostaichean puist, gabh pà irt ann an còmhraidhean, thig gu co-labhairtean. Ma tha inbhe LIR agad, faodaidh tu bhòtadh, mar eisimpleir, ann an RIPE airson diofar iomairtean.
Airson mortals a-mhà in tha seo cumail sÚil. Gus faighinn a-mach dè a tha briste.
SgrÚdadh: dè a nÏ thu sgrÚdadh?
Ping Ă bhaisteach, agus chan e a-mhĂ in seic binary - bidh e ag obair no nach eil. ClĂ raich RTT ann an eachdraidh gus an urrainn dhut coimhead air neo-riaghailteachdan nas fhaide air adhart.
TracerouteIs e seo goireas airson slighean dĂ ta a dhearbhadh ann an lĂŹonraidhean. TCP/IPAâ cuideachadh le bhith ag aithneachadh ana-cainnt agus bacadh.
SgrĂšdaidhean HTTP airson URLan Ă bhaisteach agus teisteanasan TLS cuidichidh e le bhith aâ lorg bacadh no spoofing DNS airson ionnsaigh, a tha cha mhòr an aon rud. Gu tric bidh bacadh air a dhèanamh le DNS spoofing agus le bhith a 'tionndadh trafaig gu duilleag stub.
Ma ghabhas e dèanamh, thoir sĂšil air fuasgladh an luchd-dèiligidh agad mu thĂšs bho dhiofar Ă iteachan ma tha tagradh agad. Cuidichidh seo thu le bhith aâ lorg neo-riaghailteachdan fuasglaidh DNS, rud a bhios solaraichean uaireannan aâ dèanamh.
SgrÚdadh: cà ite an dèan thu sgrÚdadh?
Chan eil freagairt uile-choitcheann ann. Thoir sĂšil air cò Ă s a tha an neach-cleachdaidh aâ tighinn. Ma tha luchd-cleachdaidh anns an Ruis, thoir sĂšil bhon Ruis, ach na cuir bacadh ort fhèin ris. Ma tha an luchd-cleachdaidh agad aâ fuireach ann an diofar roinnean, thoir sĂšil bho na roinnean sin. Ach nas fheĂ rr bho air feadh an t-saoghail.
SgrÚdadh: dè a nÏ thu sgrÚdadh?
Thà inig mi suas le trÏ dòighean. Ma tha barrachd fios agad, sgrÏobh anns na beachdan.
- Atlas RIPE.
- SgrĂšdadh malairteach.
- An lĂŹonra agad fhèin de dh âinnealan brĂŹgheil.
Bruidhnidh sinn mu gach fear dhiubh.
Atlas RIPE - tha e na bhogsa cho beag. Dhaibhsan a tha eòlach air an "Inspector" dachaigheil - is e seo an aon bhogsa, ach le stiogair eadar-dhealaichte.
Tha prògram RIPE Atlas saor an asgaidh. Bidh thu aâ clĂ radh, aâ faighinn router tron ââââphost agus ga phutadh a-steach don lĂŹonra. Leis gu bheil cuideigin eile a 'cleachdadh an sampall agad, gheibh thu cuid de chreideasan. Leis na h-iasadan sin faodaidh tu beagan rannsachaidh a dhèanamh thu fhèin. Faodaidh tu deuchainn a dhèanamh ann an diofar dhòighean: ping, traceroute, thoir sĂšil air teisteanasan. Tha an còmhdach gu math mòr, tha mòran nodan ann. Ach tha nuances ann.
Chan eil an siostam creideas a 'ceadachadh fuasglaidhean toraidh togail. Cha bhi creideasan gu leòr ann airson rannsachadh leantainneach no sgrÚdadh malairteach. Tha na creideasan gu leòr airson sgrÚdadh goirid no sgrÚdadh aon-Úine. Tha an à bhaist là itheil bho aon sampall air a chaitheamh le sgrÚdaidhean 1-2.
Tha an còmhdach mÏ-chothromach. Leis gu bheil am prògram an-asgaidh anns gach taobh, tha craoladh math san Roinn Eòrpa, ann am pà irt Eòrpach na Ruis agus ann an cuid de roinnean. Ach ma tha feum agad air Indonesia no Sealan Nuadh, tha a h-uile dad tòrr nas miosa - is dòcha nach eil 50 sampall agad gach dÚthaich.
Chan urrainn dhut http a sgrĂšdadh bho shampall. Tha seo air sgĂ th nuances teicnigeach. Tha iad aâ gealltainn a chĂ radh san dreach Ăšr, ach airson a-nis cha ghabh http a sgrĂšdadh. Chan urrainnear ach an teisteanas a dhearbhadh. Chan urrainnear seòrsa de sgrĂšdadh http a dhèanamh ach air inneal sònraichte RIPE Atlas ris an canar Anchor.
Is e an dĂ rna dòigh sgrĂšdadh malairteach. Tha a h-uile dad gu math leis, tha thu aâ pĂ igheadh ââairgead, ceart? Bidh iad aâ gealltainn grunn dhusan no ceudan de phuingean sgrĂšdaidh air feadh an t-saoghail agus aâ tarraing chlĂ ran-deasachaidh Ă lainn a-mach Ă s aâ bhogsa. Ach, a-rithist, tha duilgheadasan ann.
Tha e pà ighte, ann an cuid de dh'à iteachan tha e glè. Faodaidh sgrÚdadh ping, sgrÚdaidhean air feadh an t-saoghail, agus tòrr sgrÚdaidhean http grunn mhÏltean dolar a chosg gach bliadhna. Ma cheadaicheas ionmhas agus gur toil leat am fuasgladh seo, rachaibh air adhart.
Is dòcha nach bi còmhdach gu leòr anns an raon Ăšidheil. Leis an aon ping, tha an ĂŹre as Ă irde de phĂ irt eas-chruthach den t-saoghal air a shònrachadh - Ăisia, an Roinn Eòrpa, Ameireagadh a Tuath. Faodaidh siostaman sgrĂšdaidh tearc drileadh sĂŹos gu dĂšthaich no sgĂŹre sònraichte.
Taic lag airson deuchainnean Ă bhaisteach. Ma tha feum agad air rudeigin Ă bhaisteach, agus chan e dĂŹreach âcurlyâ air an url, tha duilgheadasan ann le sin cuideachd.
Is e an treas dòigh do sgrĂšdadh. Is e clasaig a tha seo: âSgrĂŹobhaidh sinn ar cuid fhèin!â
Bidh an sgrĂšdadh agad aâ tionndadh gu bhith aâ leasachadh toradh bathar-bog, agus toradh sgaoilte. Tha thu aâ coimhead airson solaraiche bun-structair, thoir sĂšil air mar a chleachdas tu agus a chumas tu sĂšil air - feumar sĂšil a chumail air sgrĂšdadh, ceart? Agus tha feum air taic cuideachd. Smaoinich deich tursan mus gabh thu seo. Is dòcha gum bi e nas fhasa cuideigin a phĂ igheadh ââââairson a dhèanamh dhut.
Aâ cumail sĂšil air neo-riaghailteachdan BGP agus ionnsaighean DDoS
An seo, stèidhichte air na goireasan a tha rim faighinn, tha a h-uile dad eadhon nas sĂŹmplidh. Thathas aâ lorg neo-riaghailteachdan BGP aâ cleachdadh seirbheisean sònraichte leithid QRadar, BGPmon. Gabhaidh iad ri clĂ r lĂ n-shealladh bho ioma-ghnĂŹomhaiche. Stèidhichte air na chĂŹ iad bho dhiofar ghnĂŹomhaichean, is urrainn dhaibh neo-riaghailteachdan a lorg, coimhead airson amplifiers, agus mar sin air adhart. Mar as trice bidh clĂ radh an-asgaidh - cuiridh tu a-steach an Ă ireamh fòn agad, fo-sgrĂŹobh gu brathan post-d, agus bheir an t-seirbheis fios dhut mu na duilgheadasan agad.
Tha sÚil a chumail air ionnsaighean DDoS cuideachd sÏmplidh. Mar as trice tha seo Stèidhichte air NetFlow agus logaichean. Tha siostaman sònraichte mar FastNetMon, modalan airson Spunk. Mar an roghainn mu dheireadh, tha an solaraiche dÏon DDoS agad. Faodaidh e cuideachd NetFlow a leigeil ma sgaoil agus, stèidhichte air, bheir e fios dhut mu ionnsaighean nad stiÚir.
toraidhean
Na bi mĂŹ-mhodhail - bidh an eadar-lĂŹn gu cinnteach a 'briseadh. Cha bhith a h-uile cĂ il agus cha bhith a h-uile duine aâ briseadh, ach tha 14 mĂŹle tachartas ann an 2017 aâ nochdadh gum bi tachartasan ann.
Is e an obair agad a bhith mothachail air duilgheadasan cho trĂ th 'sa ghabhas. Aig a 'char as lugha, gun a bhith nas fhaide na an neach-cleachdaidh agad. Chan e a-mhĂ in gu bheil e cudromach toirt fa-near, an-còmhnaidh cĂšm âPlana Bâ ann an tèarmann. Tha plana na ro-innleachd airson na nĂŹ thu nuair a bhriseas a h-uile cĂ il.: oibrichean tèarmann, DC, CDN. Is e liosta sgrĂšdaidh fa leth a thâ ann am plana far am bi thu aâ sgrĂšdadh obair a h-uile cĂ il. Bu chòir don phlana obrachadh Ă s aonais innleadairean lĂŹonraidh, oir mar as trice chan eil mòran dhiubh ann agus tha iad airson cadal.
Sin e. Tha mi aâ guidhe dhut ruigsinneachd Ă rd agus sgrĂšdadh uaine.
An ath sheachdain ann an Novosibirsk sunshine, tha dĂšil ri Ă rd luchd agus dĂšmhlachd Ă rd de luchd-leasachaidh . Ann an Siberia, tha dĂšil ri aghaidh aithisgean mu sgrĂšdadh, ruigsinneachd agus deuchainn, tèarainteachd agus riaghladh. Tha dĂšil ri sileadh ann an cruth notaichean sgrĂŹobhte, lĂŹonrachadh, dealbhan agus puist air lĂŹonraidhean sòisealta. Tha sinn aâ moladh a h-uile gnĂŹomh a chuir dheth air 24 agus 25 Ăgmhios agus . Tha sinn a 'feitheamh riut ann an Siberia!
Source: www.habr.com
