Tha e coltach gu bheil an eadar-lìn na structar làidir, neo-eisimeileach agus do-sheachanta. Ann an teòiridh, tha an lìonra làidir gu leòr airson a bhith beò le spreadhadh niùclasach. Gu fìrinneach, faodaidh an eadar-lìn aon router beag a leigeil sìos. Gu h-iomlan leis gu bheil an eadar-lìn na chrann de contrarrachdan, so-leòntachd, mearachdan agus bhideothan mu chait. Tha cnàimh-droma an eadar-lìn, BGP, làn de dhuilgheadasan. Tha e iongantach gu bheil e fhathast ag anail. A bharrachd air mearachdan san eadar-lìn fhèin, tha e cuideachd air a bhriseadh leis a h-uile duine: solaraichean eadar-lìn mòr, corporaidean, stàitean agus ionnsaighean DDoS. Dè a nì thu mu dheidhinn agus ciamar a dh'fhuiricheas tu leis?
Tha fios aig an fhreagairt Alexei Uchakin () na stiùiriche air sgioba de innleadairean lìonra aig Roghainn IQ. Is e a phrìomh obair ruigsinneachd an àrd-ùrlar do luchd-cleachdaidh. Anns an tar-sgrìobhadh de dh'aithisg Alexei air Bruidhnidh sinn mu BGP, ionnsaighean DDOS, suidsichean eadar-lìn, mearachdan solaraiche, dì-mheadhanachadh agus cùisean nuair a chuir router beag an eadar-lìn gu cadal. Aig a 'cheann thall - beagan mholaidhean air mar as urrainn dhut seo a chumail beò.
An latha a bhris an eadar-lìon
Bheir mi iomradh air dìreach beagan thachartasan far an do bhris ceangal an eadar-lìn sìos. Bidh seo gu leòr airson an dealbh iomlan.
Tachartas AS7007". Bha a’ chiad uair a bhris an eadar-lìn sa Ghiblean 1997. Bha buga ann am bathar-bog aon router bhon t-siostam fèin-riaghailteach 7007. Aig àm air choreigin, dh’ ainmich an router an clàr slighe a-staigh aige gu na nàbaidhean aige agus chuir e leth den lìonra a-steach do tholl dubh.
"Pacastan an aghaidh YouTube". Ann an 2008, cho-dhùin daoine gaisgeil à Pacastan casg a chuir air YouTube. Rinn iad cho math e gun robh leth an t-saoghail air fhàgail gun chat.
“Glac ro-leasachan VISA, MasterCard agus Symantec le Rostelecom”. Ann an 2017, thòisich Rostelecom gu mearachdach ag ainmeachadh ro-leasachan VISA, MasterCard agus Symantec. Mar thoradh air an sin, chaidh trafaic ionmhais a stiùireadh tro shianalan fo smachd an t-solaraiche. Cha do mhair an aodion fada, ach bha e mì-thlachdmhor dha companaidhean ionmhais.
Google an aghaidh Iapan. Anns an Lùnastal 2017, thòisich Google ag ainmeachadh ro-leasachain prìomh sholaraichean Iapanach NTT agus KDDI ann an cuid de na ceanglaichean suas aige. Chaidh an trafaic a chuir gu Google mar ghluasad, is dòcha le mearachd. Leis nach e solaraiche a th’ ann an Google agus nach eil e a’ ceadachadh trafaic gluasaid, chaidh pàirt chudromach de Iapan fhàgail às aonais an eadar-lìn.
“Ghlac DV LINK na ro-leasachain aig Google, Apple, Facebook, Microsoft”. Cuideachd ann an 2017, thòisich an solaraiche Ruiseanach DV LINK airson adhbhar air choireigin ag ainmeachadh lìonraidhean Google, Apple, Facebook, Microsoft agus cuid de phrìomh chluicheadairean eile.
“Tha eNet às na SA air ro-leasachan AWS Route53 agus MyEtherwallet a ghlacadh”. Ann an 2018, dh’ainmich an solaraiche Ohio no aon den luchd-dèiligidh aca lìonraidhean wallet crypto Amazon Route53 agus MyEtherwallet. Bha an ionnsaigh soirbheachail: eadhon a dh'aindeoin an teisteanas fèin-shoidhnichte, rabhadh mu dheidhinn a nochd don neach-cleachdaidh nuair a chaidh e a-steach do làrach-lìn MyEtherwallet, chaidh mòran wallets a thoirt thairis agus chaidh pàirt den cryptocurrency a ghoid.
Bha còrr air 2017 tachartas mar sin ann an 14 a-mhàin! Tha an lìonra fhathast dì-mheadhanaichte, mar sin chan eil a h-uile càil agus chan eil a h-uile duine a 'briseadh sìos. Ach tha mìltean de thachartasan ann, uile co-cheangailte ri protocol BGP a bheir cumhachd don eadar-lìn.
BGP agus na duilgheadasan aige
Pròtacal BGP - Pròtacal Geata nan Crìochan, a mhìneachadh an toiseach ann an 1989 le dà innleadair bho IBM agus Cisco Systems air trì “napccain” - duilleagan A4. Tha iad seo fhathast nan suidhe aig prìomh oifis Cisco Systems ann an San Francisco mar fhaileas den t-saoghal lìonraidh.
Tha am protocol stèidhichte air eadar-obrachadh siostaman fèin-riaghailteach - Siostaman fèin-riaghlaidh no AS airson ùine ghoirid. Chan eil ann an siostam fèin-riaghailteach ach ID far a bheil lìonraidhean IP air an sònrachadh sa chlàr poblach. Faodaidh router leis an ID seo na lìonraidhean sin ainmeachadh don t-saoghal. Mar sin, faodar slighe sam bith air an eadar-lìn a riochdachadh mar vectar, ris an canar Slighe AS. Tha an vectar a’ toirt a-steach na h-àireamhan de shiostaman fèin-riaghailteach a dh’ fheumar a dhol tarsainn gus an lìonra ceann-uidhe a ruighinn.
Mar eisimpleir, tha lìonra de ghrunn shiostaman fèin-riaghlaidh ann. Feumaidh tu faighinn bhon t-siostam AS65001 gu siostam AS65003. Tha an t-slighe bho aon shiostam air a riochdachadh le AS Path anns an diagram. Tha e air a dhèanamh suas de dhà shiostam fèin-riaghailteach: 65002 agus 65003. Airson gach seòladh ceann-uidhe tha vectar AS Path, anns a bheil na h-àireamhan de shiostaman fèin-riaghailteach a dh’ fheumas sinn a dhol troimhe.
Mar sin dè na duilgheadasan a th’ ann le BGP?
Tha BGP na phròtacal earbsa
Tha protocol BGP stèidhichte air earbsa. Tha seo a’ ciallachadh gu bheil earbsa againn anns an nàbaidh againn gu bunaiteach. Tha seo na fheart de dh’ iomadh protocol a chaidh a leasachadh aig fìor thoiseach an eadar-lìn. Feuchaidh sinn a-mach dè a tha “earbsa” a’ ciallachadh.
Gun dearbhadh nàbaidh. Gu foirmeil, tha MD5 ann, ach tha MD5 ann an 2019 dìreach sin ...
Gun sìoladh. Tha sìoltachain aig BGP agus tha iad air am mìneachadh, ach chan eil iad air an cleachdadh no air an cleachdadh gu ceàrr. Mìnichidh mi carson nas fhaide air adhart.
Tha e gu math furasta nàbachd a stèidheachadh. Tha stèidheachadh nàbachd ann am protocol BGP air cha mhòr router sam bith na dhà loidhne den config.
Chan eil feum air còraichean riaghlaidh BGP. Chan fheum thu deuchainnean a ghabhail gus na teisteanasan agad a dhearbhadh. Cha toir duine air falbh do chòraichean airson BGP a rèiteachadh fhad ‘s a tha thu leis an deoch.
Dà phrìomh dhuilgheadas
Hijacks ro-leasachan. Tha fuadach ro-leasachan a’ sanasachadh lìonra nach buin dhut, mar a tha fìor le MyEtherwallet. Ghabh sinn cuid de ro-leasachain, dh’ aontaich sinn leis an t-solaraiche no hack sinn e, agus troimhe bidh sinn ag ainmeachadh nan lìonraidhean sin.
Slighe ag aoidion. Tha aoidion beagan nas iom-fhillte. Tha aodion na atharrachadh ann an AS Path. Aig a’ char as fheàrr, thig an t-atharrachadh gu barrachd dàil oir feumaidh tu siubhal air slighe nas fhaide no air ceangal nach eil cho comasach. Aig a 'char as miosa, thèid a' chùis le Google agus Iapan a-rithist.
Chan e gnìomhaiche no siostam gluasaid fèin-riaghlaidh a th’ ann an Google fhèin. Ach nuair a dh’ ainmich e lìonraidhean de ghnìomhaichean Iapanach don t-solaraiche aige, bha trafaic tro Google tro AS Path air fhaicinn mar phrìomhachas nas àirde. Chaidh trafaic ann agus thuit e dìreach leis gu bheil na roghainnean slighe taobh a-staigh Google nas iom-fhillte na dìreach sìoltachain aig a ’chrìch.
Carson nach obraich sìoltachain?
Chan eil duine a ’gabhail cùram. 'S e seo am prìomh adhbhar - chan eil duine a' gabhail cùram. Ghabh rianadair solaraiche beag no companaidh a bha ceangailte ris an t-solaraiche tro BGP MikroTik, shuidhich e BGP air agus chan eil fios aige eadhon gum faodar sìoltachain a rèiteachadh an sin.
Mearachdan rèiteachaidh. Rinn iad rudeigin suas, rinn iad mearachd san masg, chuir iad air a’ mhogal ceàrr - agus a-nis tha mearachd ann a-rithist.
Chan eil comas teicnigeach ann. Mar eisimpleir, tha mòran luchd-dèiligidh aig solaraichean telecom. Is e an rud snasail ri dhèanamh na sìoltachain ùrachadh gu fèin-ghluasadach airson gach neach-dèiligidh - gus sùil a chumail gu bheil lìonra ùr aige, gu bheil e air an lìonra aige a thoirt air màl do chuideigin. Tha e duilich seo a leantainn, agus eadhon nas duilghe le do làmhan. Mar sin, bidh iad dìreach a’ stàladh sìoltachain socair no cha bhith iad a’ stàladh sìoltachain idir.
Eisimpleirean. Tha eisgeachdan ann airson luchd-dèiligidh measail agus mòr. Gu sònraichte ann an cùis eadar-aghaidh eadar-ghnìomhaiche. Mar eisimpleir, tha dòrlach de lìonraidhean aig TransTeleCom agus Rostelecom agus tha eadar-aghaidh eatorra. Ma thuiteas an co-bhonn, cha bhith e math do dhuine sam bith, agus mar sin bidh na sìoltachain air an socair no air an toirt air falbh gu tur.
Fiosrachadh seann-fhasanta no neo-iomchaidh san IRR. Tha sìoltachain air an togail stèidhichte air fiosrachadh a tha air a chlàradh ann IRR - Clàr slighe eadar-lìn. Is iad sin clàran de luchd-clàraidh eadar-lìn roinneil. Gu tric, bidh fiosrachadh seann-fhasanta no neo-iomchaidh, no an dà chuid, ann an clàran.
Cò na luchd-clàraidh a tha seo?
Buinidh a h-uile seòladh eadar-lìn don bhuidheann IANA - Ùghdarras Àireamhan Sònraichte Eadar-lìn. Nuair a cheannaicheas tu lìonra IP bho chuideigin, chan eil thu a 'ceannach seòlaidhean, ach a' chòir a bhith gan cleachdadh. 'S e goireas do-bheantainn a th' ann an seòlaidhean agus le aonta coitcheann 's ann leis an IANA a tha iad uile.
Bidh an siostam ag obair mar seo. Bidh IANA a’ tiomnadh stiùireadh sheòlaidhean IP agus àireamhan siostam fèin-riaghailteach gu còignear luchd-clàraidh roinneil. Bidh iad a 'toirt seachad siostaman fèin-riaghlaidh LIR - luchd-clàraidh eadar-lìn ionadail. Bidh LIRn an uairsin a’ riarachadh sheòlaidhean IP do luchd-cleachdaidh deireannach.
Is e ana-cothrom an t-siostaim gu bheil gach neach-clàraidh roinneil a’ cumail a chlàran na dhòigh fhèin. Tha am beachdan fhèin aig a h-uile duine air dè am fiosrachadh a bu chòir a bhith ann an clàran, agus cò bu chòir no nach bu chòir a sgrùdadh. Is e an toradh an t-uabhas a th' againn a-nis.
Ciamar eile as urrainn dhut dèiligeadh ris na duilgheadasan sin?
IRR - càileachd meadhanach. Tha e soilleir le IRR - tha a h-uile dad dona an sin.
BGP - coimhearsnachdan. Is e seo feart sònraichte a tha air a mhìneachadh sa phròtacal. Faodaidh sinn, mar eisimpleir, coimhearsnachd shònraichte a cheangal ris an fhoillseachadh againn gus nach cuir nàbaidh ar lìonraidhean gu a nàbaidhean. Nuair a bhios ceangal P2P againn, cha bhith sinn ag iomlaid ach ar lìonraidhean. Gus casg a chuir air an t-slighe bho bhith a’ dol gu lìonraidhean eile gun fhiosta, cuiridh sinn coimhearsnachd ris.
Chan eil coimhearsnachdan gluasadach. Tha e an-còmhnaidh na chùmhnant airson dithis, agus is e seo an tarraing air ais aca. Chan urrainn dhuinn coimhearsnachd sam bith a shònrachadh, ach a-mhàin aon, ris an gabh a h-uile duine gu bunaiteach. Chan urrainn dhuinn a bhith cinnteach gun gabh a h-uile duine ris a’ choimhearsnachd seo agus gun dèan sinn mìneachadh ceart air. Mar sin, anns a’ chùis as fheàrr, ma dh’aontaicheas tu leis an uplink agad, tuigidh e na tha thu ag iarraidh bhuaithe a thaobh coimhearsnachd. Ach is dòcha nach tuig do nàbaidh, no ath-shuidhichidh an gnìomhaiche an taga agad, agus cha choilean thu na bha thu ag iarraidh.
Chan eil RPKI + ROA a’ fuasgladh ach pàirt bheag de na duilgheadasan. Tha RPKI Bun-structar Prìomh Stòras Poblach - frèam sònraichte airson soidhnigeadh fiosrachadh slighe. Is e deagh bheachd a th’ ann toirt air LIRn agus an teachdaichean stòr-dàta fànais seòlaidhean as ùire a chumail. Ach tha aon duilgheadas ann leis.
Tha RPKI cuideachd na shiostam iuchrach poblach rangachd. Tha iuchair aig IANA às an tèid iuchraichean RIR a chruthachadh, agus às an tèid iuchraichean LIR a chruthachadh? leis am bi iad a’ soidhnigeadh an àite seòlaidh aca a’ cleachdadh ROA - Ùghdarrasan Tùs Slighe:
- Tha mi a’ dearbhadh dhut gun tèid an ro-leasachan seo ainmeachadh às leth na roinne fèin-riaghailteach seo.
A bharrachd air ROA, tha nithean eile ann, ach barrachd mun deidhinn nas fhaide air adhart. Tha e coltach gur e rud math agus feumail a th’ ann. Ach chan eil e gar dìon bho aoidion bhon fhacal “co-dhiù” agus chan eil e a ’fuasgladh a h-uile duilgheadas le hijacking ro-leasachan. Mar sin, chan eil cluicheadairean ann an cabhag airson a chuir an gnìomh. Ged a tha gealltanasan ann mar-thà bho chluicheadairean mòra leithid AT&T agus companaidhean mòra IX gun tèid ro-leasachan le clàr ROA neo-dhligheach a leigeil seachad.
Is dòcha gun dèan iad seo, ach airson a-nis tha àireamh mhòr de ro-leasachain againn nach eil air an soidhnigeadh ann an dòigh sam bith. Air an aon làimh, chan eil e soilleir a bheil iad air an ainmeachadh gu dligheach. Air an làimh eile, chan urrainn dhuinn an leigeil sìos gu bunaiteach, oir chan eil sinn cinnteach a bheil seo ceart no nach eil.
Dè eile a tha ann?
BGPSec. Is e rud math a tha seo a thàinig luchd-foghlaim suas airson lìonra de phònaidhean pinc. Thuirt iad:
- Tha RPKI + ROA againn - inneal airson dearbhadh ainmean-àite seòlaidh. Cruthaichidh sinn feart BGP air leth agus canar BGPSec Path ris. Bidh gach router a’ soidhnigeadh le ainm-sgrìobhte fhèin na sanasan a dh’ ainmicheas e dha na nàbaidhean aige. San dòigh seo gheibh sinn slighe earbsach bhon t-sreath de sanasan soidhnichte agus bidh e comasach dhuinn sgrùdadh a dhèanamh air.
Math ann an teòiridh, ach ann an cleachdadh tha mòran dhuilgheadasan ann. Bidh BGPSec a’ briseadh mòran de mheacanaig BGP a th’ ann mu thràth airson ath-hops a thaghadh agus trafaic a-steach / a-mach a riaghladh gu dìreach air an router. Cha bhith BGPSec ag obair gus am bi 95% den mhargaidh gu lèir air a chuir an gnìomh, rud a tha ann fhèin na utopia.
Tha duilgheadasan coileanaidh mòra aig BGPSec. Air a’ bhathar-cruaidh gnàthach, tha astar sgrùdaidh fiosan timcheall air 50 ro-leasachan gach diog. Airson coimeas: thèid an clàr eadar-lìn gnàthach de 700 ro-leasachan a luchdachadh suas ann an 000 uairean, agus atharraichidh e 5 tursan a bharrachd.
Poileasaidh Fosgailte BGP (BGP stèidhichte air dreuchd). Moladh ùr stèidhichte air a’ mhodail Gao-Rexford. Seo dithis luchd-saidheans a tha a’ rannsachadh BGP.
Tha modail Gao-Rexford mar a leanas. Gus a dhèanamh nas sìmplidhe, le BGP tha àireamh bheag de sheòrsan eadar-obrachaidhean ann:
- Neach-ceannach Solaraiche;
- P2P;
- conaltradh a-staigh, abair iBGP.
Stèidhichte air àite an router, tha e comasach mu thràth cuid de phoileasaidhean in-mhalairt / às-mhalairt a shònrachadh gu bunaiteach. Chan fheum an rianaire liostaichean ro-leasachan a rèiteachadh. Stèidhichte air an àite a tha na routers ag aontachadh eatorra fhèin agus a ghabhas a shuidheachadh, tha sinn mu thràth a’ faighinn cuid de shìoltachain àbhaisteach. Is e seo dreach an-dràsta air a bheilear a’ bruidhinn san IETF. Tha mi an dòchas gum faic sinn seo a dh’ aithghearr ann an cruth RFC agus buileachadh air bathar-cruaidh.
Solaraichean mòra eadar-lìn
Bheir sinn sùil air eisimpleir solaraiche CenturyLink. Is e an treas solaraiche as motha sna SA, a’ frithealadh 37 stàitean agus le 15 ionadan dàta.
San Dùbhlachd 2018, bha CenturyLink air margaidh na SA airson 50 uair. Rè na thachair, bha duilgheadasan ann le obrachadh ATMan ann an dà stàit, agus cha robh an àireamh 911 ag obair airson grunn uairean a thìde ann an còig stàitean. Chaidh an crannchur ann an Idaho a mhilleadh gu tur. Tha an tachartas fo sgrùdadh le Coimisean Tele-chonaltraidh na SA an-dràsta.
B’ e adhbhar na bròn-chluich aon chairt lìonra ann an aon ionad dàta. Cha do dh’obraich a’ chairt, chuir i pacaidean ceàrr, agus chaidh na 15 ionadan dàta aig an t-solaraiche sìos.
Cha do dh'obraich am beachd airson an t-solaraiche seo "ro mhòr airson tuiteam". Chan eil am beachd seo ag obair idir. Faodaidh tu prìomh chluicheadair sam bith a ghabhail agus cuid de rudan beaga a chuir air a’ mhullach. Tha na SA fhathast a’ dèanamh gu math le ceanglaichean. Chaidh luchd-ceannach CenturyLink aig an robh tèarmann a-steach dha ann an dròbhan. An uairsin ghearain luchd-obrachaidh eile gun robh na ceanglaichean aca gan luchdachadh cus.
Ma thuiteas an Kazakhtelecom cumhach, bidh an dùthaich gu lèir air fhàgail às aonais an eadar-lìn.
Corporra
Is dòcha gu bheil Google, Amazon, FaceBook agus corporaidean eile a’ toirt taic don eadar-lìn? Chan e, bidh iad ga bhriseadh cuideachd.
Ann an 2017 ann an St. Petersburg aig co-labhairt ENOG13 Jeff Houston bho APnic toirt a-steach . Tha e ag ràdh gu bheil sinn cleachdte ri eadar-obrachaidhean, sruthan airgid agus trafaic air an eadar-lìn a bhith dìreach. Tha solaraichean beaga againn a phàigheas airson ceanglaichean ri feadhainn nas motha, agus tha iad mar-thà a’ pàigheadh airson ceangal ri còmhdhail cruinneil.
A-nis tha structar cho dìreach againn. Bhiodh a h-uile dad gu math, ach tha an saoghal ag atharrachadh - tha prìomh chluicheadairean a’ togail na càballan transoceanic aca gus na cnàmhan-droma aca fhèin a thogail.
Naidheachdan mu dheidhinn càball CDN.
Ann an 2018, leig TeleGeography a-mach sgrùdadh nach e an eadar-lìn a th’ ann an còrr air leth den trafaic air an eadar-lìn tuilleadh, ach cnàmhan-cùil CDN cluicheadairean mòra. Is e seo trafaic a tha co-cheangailte ris an eadar-lìn, ach chan e seo an lìonra air an robh sinn a ’bruidhinn tuilleadh.
Tha an eadar-lìn a’ briseadh suas gu seata mòr de lìonraidhean ceangailte gu fuasgailte.
Tha a lìonra fhèin aig Microsoft, tha a chuid fhèin aig Google, agus chan eil mòran tar-cheangail aca ri chèile. Bidh trafaic a thàinig am badeigin anns na SA a’ dol tro shianalan Microsoft thairis air a’ chuan chun Roinn Eòrpa am badeigin air CDN, an uairsin tro CDN no IX bidh e a’ ceangal ris an t-solaraiche agad agus a’ faighinn chun router agad.
Tha dì-mheadhanachadh a’ dol à bith.
Tha neart an eadar-lìn seo, a chuidicheas e le bhith a’ mairsinn bho spreadhadh niùclasach, ga chall. Bidh àiteachan dùmhlachd luchd-cleachdaidh agus trafaic a’ nochdadh. Ma thuiteas an suidheachadh Google Cloud, bidh mòran luchd-fulaing ann aig an aon àm. Bha sinn a’ faireachdainn seo gu ìre nuair a chuir Roskomnadzor bacadh air AWS. Agus tha eisimpleir CenturyLink a’ sealltainn gu bheil eadhon rudan beaga gu leòr airson seo.
Roimhe sin, cha do bhris a h-uile càil agus cha do bhris a h-uile duine. Anns an àm ri teachd, is dòcha gun tig sinn chun cho-dhùnadh le bhith a’ toirt buaidh air aon phrìomh chluicheadair, gun urrainn dhuinn tòrr rudan a bhriseadh, ann an iomadh àite agus ann am mòran dhaoine.
Stàitean
Is e stàitean an ath loidhne, agus is e seo a thachras dhaibh mar as trice.
An seo chan eil an Roskomnadzor againn eadhon na thùsaire idir. Tha cleachdadh coltach ri dùnadh eadar-lìn ann an Ioran, na h-Innseachan agus Pacastan. Ann an Sasainn tha bile ann mu chomas an eadar-lìn a dhùnadh sìos.
Tha stàit mhòr sam bith ag iarraidh tionndadh gus an eadar-lìn a chuir dheth, gu tur no ann am pàirtean: Twitter, Telegram, Facebook. Chan e nach eil iad a’ tuigsinn nach soirbhich leotha gu bràth, ach tha iad dha-rìribh ga iarraidh. Tha an tionndadh air a chleachdadh, mar riaghailt, airson adhbharan poilitigeach - gus cuir às do cho-fharpaisich poilitigeach, no tha taghaidhean a’ tighinn dlùth, no tha hackers Ruiseanach air rudeigin a bhriseadh a-rithist.
DDoS ionnsaighean
Cha toir mi air falbh aran bho mo chompanaich bho Qrator Labs, bidh iad ga dhèanamh tòrr nas fheàrr na mise. Tha aca air seasmhachd eadar-lìn. Agus seo na sgrìobh iad ann an aithisg 2018.
Bidh fad cuibheasach ionnsaighean DDoS a’ tuiteam gu 2.5 uair. Bidh an luchd-ionnsaigh cuideachd a ’tòiseachadh a’ cunntadh airgead, agus mura h-eil an goireas ri fhaighinn sa bhad, bidh iad gu sgiobalta ga fhàgail leotha fhèin.
Tha dian ionnsaighean a 'fàs. Ann an 2018, chunnaic sinn 1.7 Tb / s air lìonra Akamai, agus chan e seo an ìre as àirde.
Tha vectaran ionnsaigh ùra a’ nochdadh agus seann fheadhainn a’ fàs nas dian. Tha protocolaidhean ùra a’ nochdadh a tha buailteach do leudachadh, agus tha ionnsaighean ùra a’ nochdadh air protocolaidhean a th’ ann mar-thà, gu sònraichte TLS agus an leithid.
Tha a’ mhòr-chuid den trafaic bho innealan gluasadach. Aig an aon àm, bidh trafaic eadar-lìn a ’gluasad gu teachdaichean gluasadach. Feumaidh an dà chuid an fheadhainn a bheir ionnsaigh agus an fheadhainn a dhìonas a bhith comasach air obrachadh le seo.
Neo-sheasmhach - chan eil. Is e seo am prìomh bheachd - chan eil dìon uile-choitcheann ann a dhìonas gu cinnteach an aghaidh DDoS sam bith.
Cha ghabh an siostam a stàladh mura h-eil e ceangailte ris an eadar-lìon.
Tha mi an dòchas gu bheil mi air eagal gu leòr a chuir ort. Smaoinich a-nis dè a nì sinn mu dheidhinn.
Dè a nì thu?!
Ma tha ùine shaor agad, miann agus eòlas air Beurla, gabh pàirt ann am buidhnean obrach: IETF, RIPE WG. Is iad sin liostaichean puist fosgailte, fo-sgrìobhadh gu liostaichean puist, gabh pàirt ann an còmhraidhean, thig gu co-labhairtean. Ma tha inbhe LIR agad, faodaidh tu bhòtadh, mar eisimpleir, ann an RIPE airson diofar iomairtean.
Airson mortals a-mhàin tha seo cumail sùil. Gus faighinn a-mach dè a tha briste.
Sgrùdadh: dè a nì thu sgrùdadh?
Ping àbhaisteach, agus chan e a-mhàin seic binary - bidh e ag obair no nach eil. Clàraich RTT ann an eachdraidh gus an urrainn dhut coimhead air neo-riaghailteachdan nas fhaide air adhart.
Traceroute. Is e prògram goireis a tha seo airson slighean dàta a dhearbhadh air lìonraidhean TCP/IP. A’ cuideachadh le bhith ag aithneachadh neo-riaghailteachdan agus bacaidhean.
Sgrùdaidhean HTTP airson URLan àbhaisteach agus teisteanasan TLS cuidichidh e le bhith a’ lorg bacadh no spoofing DNS airson ionnsaigh, a tha cha mhòr an aon rud. Gu tric bidh bacadh air a dhèanamh le DNS spoofing agus le bhith a 'tionndadh trafaig gu duilleag stub.
Ma ghabhas e dèanamh, thoir sùil air fuasgladh an luchd-dèiligidh agad mu thùs bho dhiofar àiteachan ma tha tagradh agad. Cuidichidh seo thu le bhith a’ lorg neo-riaghailteachdan fuasglaidh DNS, rud a bhios solaraichean uaireannan a’ dèanamh.
Sgrùdadh: càite an dèan thu sgrùdadh?
Chan eil freagairt uile-choitcheann ann. Thoir sùil air cò às a tha an neach-cleachdaidh a’ tighinn. Ma tha luchd-cleachdaidh anns an Ruis, thoir sùil bhon Ruis, ach na cuir bacadh ort fhèin ris. Ma tha an luchd-cleachdaidh agad a’ fuireach ann an diofar roinnean, thoir sùil bho na roinnean sin. Ach nas fheàrr bho air feadh an t-saoghail.
Sgrùdadh: dè a nì thu sgrùdadh?
Thàinig mi suas le trì dòighean. Ma tha barrachd fios agad, sgrìobh anns na beachdan.
- Atlas RIPE.
- Sgrùdadh malairteach.
- An lìonra agad fhèin de dh ’innealan brìgheil.
Bruidhnidh sinn mu gach fear dhiubh.
Atlas RIPE - tha e na bhogsa cho beag. Dhaibhsan a tha eòlach air an "Inspector" dachaigheil - is e seo an aon bhogsa, ach le stiogair eadar-dhealaichte.
Tha prògram RIPE Atlas saor an asgaidh. Bidh thu a’ clàradh, a’ faighinn router tron phost agus ga phutadh a-steach don lìonra. Leis gu bheil cuideigin eile a 'cleachdadh an sampall agad, gheibh thu cuid de chreideasan. Leis na h-iasadan sin faodaidh tu beagan rannsachaidh a dhèanamh thu fhèin. Faodaidh tu deuchainn a dhèanamh ann an diofar dhòighean: ping, traceroute, thoir sùil air teisteanasan. Tha an còmhdach gu math mòr, tha mòran nodan ann. Ach tha nuances ann.
Chan eil an siostam creideas a 'ceadachadh fuasglaidhean toraidh togail. Cha bhi creideasan gu leòr ann airson rannsachadh leantainneach no sgrùdadh malairteach. Tha na creideasan gu leòr airson sgrùdadh goirid no sgrùdadh aon-ùine. Tha an àbhaist làitheil bho aon sampall air a chaitheamh le sgrùdaidhean 1-2.
Tha an còmhdach mì-chothromach. Leis gu bheil am prògram an-asgaidh anns gach taobh, tha craoladh math san Roinn Eòrpa, ann am pàirt Eòrpach na Ruis agus ann an cuid de roinnean. Ach ma tha feum agad air Indonesia no Sealan Nuadh, tha a h-uile dad tòrr nas miosa - is dòcha nach eil 50 sampall agad gach dùthaich.
Chan urrainn dhut http a sgrùdadh bho shampall. Tha seo air sgàth nuances teicnigeach. Tha iad a’ gealltainn a chàradh san dreach ùr, ach airson a-nis cha ghabh http a sgrùdadh. Chan urrainnear ach an teisteanas a dhearbhadh. Chan urrainnear seòrsa de sgrùdadh http a dhèanamh ach air inneal sònraichte RIPE Atlas ris an canar Anchor.
Is e an dàrna dòigh sgrùdadh malairteach. Tha a h-uile dad gu math leis, tha thu a’ pàigheadh airgead, ceart? Bidh iad a’ gealltainn grunn dhusan no ceudan de phuingean sgrùdaidh air feadh an t-saoghail agus a’ tarraing chlàran-deasachaidh àlainn a-mach às a’ bhogsa. Ach, a-rithist, tha duilgheadasan ann.
Tha e pàighte, ann an cuid de dh'àiteachan tha e glè. Faodaidh sgrùdadh ping, sgrùdaidhean air feadh an t-saoghail, agus tòrr sgrùdaidhean http grunn mhìltean dolar a chosg gach bliadhna. Ma cheadaicheas ionmhas agus gur toil leat am fuasgladh seo, rachaibh air adhart.
Is dòcha nach bi còmhdach gu leòr anns an raon ùidheil. Leis an aon ping, tha an ìre as àirde de phàirt eas-chruthach den t-saoghal air a shònrachadh - Àisia, an Roinn Eòrpa, Ameireagadh a Tuath. Faodaidh siostaman sgrùdaidh tearc drileadh sìos gu dùthaich no sgìre sònraichte.
Taic lag airson deuchainnean àbhaisteach. Ma tha feum agad air rudeigin àbhaisteach, agus chan e dìreach “curly” air an url, tha duilgheadasan ann le sin cuideachd.
Is e an treas dòigh do sgrùdadh. Is e clasaig a tha seo: “Sgrìobhaidh sinn ar cuid fhèin!”
Bidh an sgrùdadh agad a’ tionndadh gu bhith a’ leasachadh toradh bathar-bog, agus toradh sgaoilte. Tha thu a’ coimhead airson solaraiche bun-structair, thoir sùil air mar a chleachdas tu agus a chumas tu sùil air - feumar sùil a chumail air sgrùdadh, ceart? Agus tha feum air taic cuideachd. Smaoinich deich tursan mus gabh thu seo. Is dòcha gum bi e nas fhasa cuideigin a phàigheadh airson a dhèanamh dhut.
A’ cumail sùil air neo-riaghailteachdan BGP agus ionnsaighean DDoS
An seo, stèidhichte air na goireasan a tha rim faighinn, tha a h-uile dad eadhon nas sìmplidh. Thathas a’ lorg neo-riaghailteachdan BGP a’ cleachdadh seirbheisean sònraichte leithid QRadar, BGPmon. Gabhaidh iad ri clàr làn-shealladh bho ioma-ghnìomhaiche. Stèidhichte air na chì iad bho dhiofar ghnìomhaichean, is urrainn dhaibh neo-riaghailteachdan a lorg, coimhead airson amplifiers, agus mar sin air adhart. Mar as trice bidh clàradh an-asgaidh - cuiridh tu a-steach an àireamh fòn agad, fo-sgrìobh gu brathan post-d, agus bheir an t-seirbheis fios dhut mu na duilgheadasan agad.
Tha sùil a chumail air ionnsaighean DDoS cuideachd sìmplidh. Mar as trice tha seo Stèidhichte air NetFlow agus logaichean. Tha siostaman sònraichte mar FastNetMon, modalan airson Spunk. Mar an roghainn mu dheireadh, tha an solaraiche dìon DDoS agad. Faodaidh e cuideachd NetFlow a leigeil ma sgaoil agus, stèidhichte air, bheir e fios dhut mu ionnsaighean nad stiùir.
toraidhean
Na bi mì-mhodhail - bidh an eadar-lìn gu cinnteach a 'briseadh. Cha bhith a h-uile càil agus cha bhith a h-uile duine a’ briseadh, ach tha 14 mìle tachartas ann an 2017 a’ nochdadh gum bi tachartasan ann.
Is e an obair agad a bhith mothachail air duilgheadasan cho tràth 'sa ghabhas. Aig a 'char as lugha, gun a bhith nas fhaide na an neach-cleachdaidh agad. Chan e a-mhàin gu bheil e cudromach toirt fa-near, an-còmhnaidh cùm “Plana B” ann an tèarmann. Tha plana na ro-innleachd airson na nì thu nuair a bhriseas a h-uile càil.: oibrichean tèarmann, DC, CDN. Is e liosta sgrùdaidh fa leth a th’ ann am plana far am bi thu a’ sgrùdadh obair a h-uile càil. Bu chòir don phlana obrachadh às aonais innleadairean lìonraidh, oir mar as trice chan eil mòran dhiubh ann agus tha iad airson cadal.
Sin e. Tha mi a’ guidhe dhut ruigsinneachd àrd agus sgrùdadh uaine.
An ath sheachdain ann an Novosibirsk sunshine, tha dùil ri àrd luchd agus dùmhlachd àrd de luchd-leasachaidh . Ann an Siberia, tha dùil ri aghaidh aithisgean mu sgrùdadh, ruigsinneachd agus deuchainn, tèarainteachd agus riaghladh. Tha dùil ri sileadh ann an cruth notaichean sgrìobhte, lìonrachadh, dealbhan agus puist air lìonraidhean sòisealta. Tha sinn a’ moladh a h-uile gnìomh a chuir dheth air 24 agus 25 Ògmhios agus . Tha sinn a 'feitheamh riut ann an Siberia!
Source: www.habr.com