Az internet erős, független és elpusztíthatatlan struktúrának tűnik. Elméletileg a hálózat elég erős ahhoz, hogy túléljen egy nukleáris robbanást. A valóságban az internet egy kis routert is eldobhat. Mindezt azért, mert az internet ellentmondások, sebezhetőségek, hibák és macskákról szóló videók halmaza. Az internet gerince, a BGP tele van problémákkal. Elképesztő, hogy még mindig lélegzik. Amellett, hogy magában az interneten előfordulnak hibák, azt is mindenki megtöri: nagy internetszolgáltatók, vállalatok, államok és DDoS-támadások. Mit tegyünk ellene és hogyan éljünk vele?
Tudja a választ Alekszej Uchakin () az IQ Option hálózatmérnökeiből álló csapat vezetője. Fő feladata a platform hozzáférhetősége a felhasználók számára. Alekszej jelentésének átiratában Beszéljünk a BGP-ről, a DDOS támadásokról, az internetváltásokról, a szolgáltatói hibákról, a decentralizációról és azokról az esetekről, amikor egy kis router alvó állapotba küldte az internetet. A végén - néhány tipp, hogyan lehet túlélni mindezt.
A nap, amikor megszakadt az internet
Csak néhány olyan esetet említek meg, amikor az internetkapcsolat megszakadt. Ez elég lesz a teljes képhez.
"AS7007 incidens". Az internet először 1997 áprilisában szakadt meg. A 7007-es autonóm rendszer egyik routerének szoftverében hiba lépett fel. Valamikor az útválasztó bejelentette belső útválasztási tábláját a szomszédjainak, és a hálózat felét egy fekete lyukba küldte.
"Pakisztán a YouTube ellen". 2008-ban bátor pakisztáni srácok úgy döntöttek, hogy letiltják a YouTube-ot. Olyan jól csinálták, hogy a fél világ macskák nélkül maradt.
„VISA, MasterCard és Symantec előtagok rögzítése a Rostelecom által”. 2017-ben a Rostelecom tévedésből megkezdte a VISA, MasterCard és Symantec előtagok bejelentését. Ennek eredményeként a pénzügyi forgalmat a szolgáltató által ellenőrzött csatornákon irányították. A szivárgás nem tartott sokáig, de a pénzügyi cégek számára kellemetlen volt.
Google vs Japán. 2017 augusztusában a Google megkezdte a nagy japán szolgáltatók, az NTT és a KDDI előtagjainak bejelentését egyes uplinkjein. A forgalmat tömegközlekedésként küldték a Google-nak, valószínűleg tévedésből. Mivel a Google nem szolgáltató és nem engedélyezi a tranzitforgalmat, Japán jelentős része internet nélkül maradt.
„A DV LINK rögzítette a Google, Apple, Facebook, Microsoft előtagjait”. Szintén 2017-ben az orosz DV LINK szolgáltató valamilyen okból elkezdte bejelenteni a Google, az Apple, a Facebook, a Microsoft és néhány más jelentős szereplő hálózatát.
„Az USA-ból származó eNet rögzítette az AWS Route53 és a MyEtherwallet előtagokat”. 2018-ban az ohiói szolgáltató vagy annak egyik ügyfele bejelentette az Amazon Route53 és a MyEtherwallet kriptopénztárca hálózatokat. A támadás sikeres volt: az önaláírt tanúsítvány ellenére is, amelyre figyelmeztetés jelent meg a felhasználónak, amikor belépett a MyEtherwallet weboldalára, sok pénztárcát eltérítettek, és a kriptovaluta egy részét ellopták.
Csak 2017-ben több mint 14 000 ilyen esemény történt! A hálózat továbbra is decentralizált, így nem minden és nem mindenki megy tönkre. De több ezer incidens van, amelyek mindegyike az internetet működtető BGP protokollhoz kapcsolódik.
BGP és problémái
Jegyzőkönyv BGP – Border Gateway Protocol1989-ben írta le először az IBM és a Cisco Systems két mérnöke három „szalvétára” – A4-es lapra. Ezek még mindig a Cisco Systems San Franciscó-i központjában ül a hálózati világ ereklyéjeként.
A protokoll autonóm rendszerek interakcióján alapul - Autonóm rendszerek vagy röviden AS. Az autonóm rendszer egyszerűen egy azonosító, amelyhez az IP-hálózatok hozzá vannak rendelve a nyilvános nyilvántartásban. Az ezzel az azonosítóval rendelkező útválasztó bejelentheti ezeket a hálózatokat a világnak. Ennek megfelelően az Internet bármely útvonala vektorként ábrázolható, amelyet ún AS Path. A vektor azon autonóm rendszerek számából áll, amelyeken át kell haladni a célhálózat eléréséhez.
Például létezik egy számos autonóm rendszerből álló hálózat. Az AS65001 rendszerről át kell jutni az AS65003 rendszerre. Az egyik rendszer elérési útját az AS Path jelöli a diagramon. Két autonóm rendszerből áll: 65002 és 65003. Minden célcímhez tartozik egy AS Path vektor, amely azon autonóm rendszerek számából áll, amelyeken keresztül kell mennünk.
Tehát mi a probléma a BGP-vel?
A BGP egy bizalmi protokoll
A BGP protokoll bizalom alapú. Ez azt jelenti, hogy alapértelmezés szerint megbízunk a szomszédunkban. Ez sok olyan protokoll jellemzője, amelyeket az internet hajnalán fejlesztettek ki. Nézzük meg, mit jelent a „bizalom”.
Nincs szomszéd hitelesítés. Formálisan létezik MD5, de az MD5 2019-ben már csak ilyen...
Nincs szűrés. A BGP-nek vannak szűrői és le vannak írva, de nem vagy rosszul használják őket. Később elmagyarázom, miért.
Nagyon könnyű egy környéket létrehozni. A szomszédság beállítása a BGP protokollban szinte minden útválasztón a konfiguráció néhány sora.
Nincs szükség BGP-kezelési jogokra. Nem kell vizsgát tennie képesítésének igazolására. Senki nem veszi el a jogait a BGP ittas állapotban történő konfigurálásához.
Két fő probléma
Előtag-eltérítések. Az előtag-eltérítés egy olyan hálózat hirdetése, amely nem az Öné, mint a MyEtherwallet esetében. Felvettünk néhány előtagot, egyeztettünk a szolgáltatóval vagy feltörtük, és ezen keresztül hirdetjük meg ezeket a hálózatokat.
Útvonal szivárgások. A szivárgások egy kicsit bonyolultabbak. A szivárgás az AS Path változása. A változtatás a legjobb esetben is nagyobb késést eredményez, mert hosszabb útvonalon vagy kisebb kapacitású összeköttetésen kell utaznia. A legrosszabb esetben a Google és Japán esete megismétlődik.
A Google maga nem üzemeltető vagy tranzit autonóm rendszer. Ám amikor bejelentette szolgáltatójának a japán szolgáltatók hálózatait, az AS Path-en keresztül a Google-on keresztüli forgalom nagyobb prioritásnak számított. A forgalom egyszerűen azért csökkent, mert a Google-on belüli útválasztási beállítások bonyolultabbak, mint a határon lévő szűrők.
Miért nem működnek a szűrők?
Senkit sem érdekel. Ez a fő ok – senkit nem érdekel. Egy kis szolgáltató vagy cég adminisztrátora, aki BGP-n keresztül csatlakozott a szolgáltatóhoz, fogta a MikroTik-et, beállította rajta a BGP-t és nem is tudja, hogy ott lehet szűrőket beállítani.
Konfigurációs hibák. Valamit elrontottak, hibáztak a maszkban, rossz hálót vettek fel - és most megint hiba történt.
Nincs műszaki lehetőség. Például a távközlési szolgáltatóknak sok ügyfele van. Az okos dolog, hogy minden ügyfélnél automatikusan frissítjük a szűrőket – figyeljük, hogy van-e új hálózata, kiadta-e a hálózatát valakinek. Nehéz ezt követni, és még nehezebb a kezével. Ezért egyszerűen telepítenek laza szűrőket, vagy egyáltalán nem telepítenek szűrőket.
kivételek. Vannak kivételek a szeretett és nagy ügyfelek számára. Főleg az interoperátor interfészek esetében. Például a TransTeleCom és a Rostelecom egy csomó hálózattal rendelkezik, és van köztük interfész. Ha az ízület leesik, az senkinek nem tesz jót, ezért a szűrőket lazítják vagy teljesen eltávolítják.
Elavult vagy irreleváns információ az IRR-ben. A szűrők a rögzített információk alapján épülnek fel IRR – Internet Routing Registry. Ezek a regionális internetes regisztrátorok nyilvántartásai. A nyilvántartások gyakran elavult vagy irreleváns információkat tartalmaznak, vagy mindkettőt.
Kik ezek az anyakönyvvezetők?
Minden internetcím a szervezethez tartozik IANA – Internet Assigned Numbers Authority. Amikor valakitől IP-hálózatot vásárol, akkor nem címeket vásárol, hanem használati jogot. A címek immateriális erőforrást jelentenek, és közös megegyezés szerint mindegyik az IANA tulajdonában van.
A rendszer így működik. Az IANA öt regionális regisztrátorra delegálja az IP-címek és autonóm rendszerszámok kezelését. Önálló rendszereket adnak ki LIR - helyi internetes regisztrátorok. A LIR-ek ezután IP-címeket osztanak ki a végfelhasználóknak.
A rendszer hátránya, hogy a regionális anyakönyvvezetők mindegyike a maga módján vezeti nyilvántartását. Mindenkinek megvan a maga véleménye arról, hogy milyen információkat kell tartalmaznia a nyilvántartásoknak, és kinek kell ellenőriznie vagy nem. Az eredmény a mostani rendetlenség.
Hogyan lehet másként küzdeni ezekkel a problémákkal?
IRR - közepes minőség. Az IRR-nél egyértelmű - ott minden rossz.
BGP-közösségek. Ez egy olyan attribútum, amelyet a protokoll leír. A hirdetményünkhöz csatolhatunk például egy speciális közösséget, hogy a szomszéd ne küldje el hálózatainkat a szomszédjainak. Ha van P2P kapcsolatunk, akkor csak a hálózatainkat cseréljük. Annak elkerülése érdekében, hogy az útvonal véletlenül más hálózatokhoz jusson, közösséget adunk hozzá.
A közösségek nem tranzitívek. Mindig kettőre kötik a szerződést, és ez a hátrányuk. Egyetlen közösséget sem tudunk hozzárendelni, egy kivételével, amelyet alapból mindenki elfogad. Nem lehetünk biztosak abban, hogy mindenki elfogadja és helyesen értelmezi ezt a közösséget. Ezért a legjobb esetben, ha egyetértesz az uplinkeddel, akkor megérti, hogy mit akarsz tőle közösségi szempontból. De előfordulhat, hogy a szomszéd nem érti, vagy az operátor egyszerűen visszaállítja a címkét, és Ön nem fogja elérni, amit akart.
Az RPKI + ROA a problémáknak csak egy kis részét oldja meg. Az RPKI az Erőforrás nyilvános kulcsú infrastruktúra — speciális keretrendszer az útválasztási információk aláírására. Célszerű rákényszeríteni a LIR-eket és ügyfeleit egy naprakész címtér-adatbázis fenntartására. De van vele egy probléma.
Az RPKI egy hierarchikus nyilvános kulcsú rendszer is. Az IANA-nak van egy kulcsa, amelyből a RIR-kulcsok generálódnak, és amelyből a LIR-kulcsok generálódnak? amellyel aláírják címterüket ROA-k segítségével – Útvonal-eredet-engedélyezések:
— Biztosíthatom, hogy ezt az előtagot ennek az autonóm régiónak a nevében közöljük.
A ROA-n kívül vannak más objektumok is, de róluk később. Jó és hasznos dolognak tűnik. De nem véd meg minket az „egyáltalán” szó kiszivárgásától, és nem oldja meg az előtag-eltérítéssel kapcsolatos összes problémát. Ezért a játékosok nem sietnek a megvalósítással. Bár a nagy szereplők, például az AT&T és a nagy IX-es cégek már ígérik, hogy az érvénytelen ROA rekordot tartalmazó előtagokat el fogják hagyni.
Talán megteszik ezt, de egyelőre rengeteg olyan előtagunk van, amelyeket semmilyen módon nem írnak alá. Egyrészt nem világos, hogy érvényesen bejelentették-e. Másrészt alapértelmezés szerint nem ejthetjük el őket, mert nem vagyunk biztosak abban, hogy ez helyes-e vagy sem.
Mi más van még?
BGPSec. Ez egy klassz dolog, amit az akadémikusok találtak ki a rózsaszín pónik hálózatához. Azt mondták:
- Van RPKI + ROA - egy mechanizmus a címtér-aláírások ellenőrzésére. Hozzunk létre egy külön BGP attribútumot, és nevezzük BGPSec Path-nek. Minden útválasztó saját aláírásával írja alá azokat a bejelentéseket, amelyeket a szomszédjainak közöl. Így megbízható útvonalat kapunk az aláírt hirdetmények láncolatából, és ellenőrizni tudjuk azt.
Elméletileg jó, de a gyakorlatban sok probléma van. A BGPSec számos meglévő BGP-mechanikát megszakít a következő ugrások kiválasztásához és a bejövő/kimenő forgalom közvetlenül az útválasztón történő kezeléséhez. A BGPSec addig nem működik, amíg a teljes piac 95%-a be nem vezeti, ami önmagában utópia.
A BGPSec-nek hatalmas teljesítményproblémái vannak. A jelenlegi hardveren a közlemények ellenőrzésének sebessége körülbelül 50 előtag másodpercenként. Összehasonlításképpen: a jelenlegi 700 000 előtagot tartalmazó internetes tábla 5 óra alatt kerül feltöltésre, ezalatt még 10-szer változik.
BGP Open Policy (szerepkör-alapú BGP). Friss ajánlat a modell alapján Gao-Rexford. Ez két tudós, akik a BGP-t kutatják.
A Gao-Rexford modell a következő. Az egyszerűsítés kedvéért a BGP-vel néhány interakciótípus létezik:
- Szolgáltató Ügyfél;
- P2P;
- belső kommunikáció, mondjuk az iBGP.
A router szerepe alapján már alapértelmezésben is lehetséges bizonyos import/export házirendek hozzárendelése. Az adminisztrátornak nem kell előtaglistákat konfigurálnia. A routerek egymás között megegyező és beállítható szerepe alapján már kapunk néhány alapértelmezett szűrőt. Ez jelenleg egy tervezet, amelyet az IETF tárgyal. Remélem hamarosan ezt is láthatjuk RFC formájában és hardveres implementációban.
Nagy internetszolgáltatók
Nézzünk egy szolgáltató példáját CenturyLink. Ez a harmadik legnagyobb amerikai szolgáltató, 37 államot szolgál ki, és 15 adatközponttal rendelkezik.
2018 decemberében a CenturyLink 50 órán keresztül volt az Egyesült Államok piacán. Az eset során két államban volt probléma az ATM-ek működésével, öt államban pedig több órán keresztül nem működött a 911-es szám. Az idahói lottó teljesen tönkrement. Az esetet jelenleg az Egyesült Államok Távközlési Bizottsága vizsgálja.
A tragédia oka egy hálózati kártya volt egy adatközpontban. A kártya meghibásodott, hibás csomagokat küldött, és a szolgáltató mind a 15 adatközpontja leállt.
Az ötlet nem működött ennél a szolgáltatónál "túl nagy ahhoz, hogy leessen". Ez az ötlet egyáltalán nem működik. Bármelyik nagy játékost elfoglalhat, és néhány apró dolgot a tetejére tehet. Az Egyesült Államok továbbra is jól teljesít a csatlakozással. A CenturyLink-ügyfelek, akiknek volt tartalékuk, tömegesen mentek bele. Ezután az alternatív szolgáltatók panaszkodtak a linkjeik túlterheltsége miatt.
Ha a feltételes Kazakhtelecom bedől, akkor az egész ország internet nélkül marad.
Vállalatok
Valószínűleg a Google, az Amazon, a FaceBook és más vállalatok támogatják az internetet? Nem, ők is megtörik.
2017-ben Szentpéterváron az ENOG13 konferencián Jeff Houston A APNIC benyújtott . Azt mondja, hogy megszoktuk, hogy az interneten folyó interakciók, pénzáramlások és forgalom vertikális. Vannak kis szolgáltatóink, akik fizetnek a nagyobbakhoz való csatlakozásért, és már fizetnek a globális tranzithoz való csatlakozásért.
Most van egy ilyen függőlegesen orientált szerkezetünk. Minden rendben lenne, de a világ változik – a főbb szereplők építik a transzóceáni kábeleiket, hogy saját gerincet építsenek.
Hírek a CDN kábelről.
2018-ban a TeleGeography kiadott egy tanulmányt, amely szerint az internet forgalmának több mint fele már nem az internet, hanem a nagy játékosok gerinchálózata. Ez az internethez kapcsolódó forgalom, de ez már nem az a hálózat, amelyről beszéltünk.
Az internet lazán összefüggő hálózatok nagy halmazára bomlik fel.
A Microsoftnak van saját hálózata, a Google-nek saját hálózata, és alig van átfedésük egymással. A valahonnan az USA-ból induló forgalom a Microsoft csatornáin keresztül az óceánon át Európába, valahol CDN-en halad, majd CDN-en vagy IX-en keresztül csatlakozik az Ön szolgáltatójához, és eljut az útválasztóhoz.
A decentralizáció eltűnik.
Az internetnek ez az erőssége, amely segít túlélni egy nukleáris robbanást, elvész. Megjelennek a felhasználók és a forgalom koncentrációs helyek. Ha a feltételes Google Cloud bedől, akkor egyszerre sok áldozat lesz. Ezt részben akkor éreztük, amikor a Roskomnadzor blokkolta az AWS-t. A CenturyLink példája pedig azt mutatja, hogy ehhez apróságok is elegendőek.
Korábban nem minden és nem mindenki tört össze. A jövőben arra a következtetésre juthatunk, hogy egy-egy jelentős szereplő befolyásolásával sok mindent eltörhetünk, sok helyen és sok emberben.
Államok
Az államok következnek a sorban, és általában ez történik velük.
Itt a mi Roskomnadzorunk egyáltalán nem is úttörő. Hasonló internetleállási gyakorlat létezik Iránban, Indiában és Pakisztánban. Angliában törvényjavaslat készül az internet leállításának lehetőségéről.
Bármely nagy állam szeretne kapni egy kapcsolót, hogy teljesen vagy részben kikapcsolja az internetet: Twitter, Telegram, Facebook. Nem arról van szó, hogy nem értik, hogy soha nem fog sikerülni, de nagyon akarják. A kapcsolót általában politikai célokra használják - politikai versenytársak kiiktatására, vagy közelednek a választások, vagy az orosz hackerek ismét elrontottak valamit.
DDoS támadások
Nem veszek el kenyeret a Qrator Labs társaimtól, sokkal jobban csinálják, mint én. Van nekik az internet stabilitásáról. És ezt írták a 2018-as jelentésben.
A DDoS támadások átlagos időtartama 2.5 órára csökken. A támadók pénzt is elkezdenek számolni, és ha az erőforrás nem áll azonnal rendelkezésre, akkor gyorsan békén hagyják.
A támadások intenzitása nő. 2018-ban 1.7 Tb/s-ot láttunk az Akamai hálózaton, és ez nem a határ.
Új támadási vektorok jelennek meg, a régiek pedig erősödnek. Új protokollok jelennek meg, amelyek érzékenyek az erősítésre, és új támadások jelennek meg a meglévő protokollok, különösen a TLS és hasonlók ellen.
A forgalom nagy része mobileszközökről érkezik. Ugyanakkor az internetes forgalom a mobil kliensek felé tolódik el. Mind a támadóknak, mind a védekezőknek tudniuk kell ezzel dolgozni.
Sebezhetetlen – nem. Ez a fő gondolat - nincs olyan univerzális védelem, amely határozottan védene bármilyen DDoS ellen.
A rendszer csak akkor telepíthető, ha csatlakozik az internethez.
Remélem, eléggé megijesztettem. Most gondoljuk át, mit tegyünk ellene.
Mit kell tenni?!
Ha van szabadidőd, vágyad és angoltudásod, vegyen részt munkacsoportokban: IETF, RIPE WG. Ezek nyitott levelezőlisták, feliratkozás levelezőlistákra, beszélgetéseken való részvétel, konferenciákra való eljövetel. Ha LIR státusszal rendelkezik, szavazhat például a RIPE-ban különböző kezdeményezésekre.
Egyszerű halandók számára ez megfigyelés. Hogy tudja, mi tört el.
Monitoring: mit kell ellenőrizni?
Normál Ping, és nem csak egy bináris ellenőrzés – működik vagy sem. Rögzítse az RTT-t a történelemben, hogy később megnézhesse az anomáliákat.
traceroute. Ez egy segédprogram adatútvonalak meghatározására TCP/IP hálózatokon. Segít azonosítani az anomáliákat és elzáródásokat.
A HTTP ellenőrzi az egyéni URL-eket és a TLS-tanúsítványokat segít észlelni a blokkolást vagy a DNS-hamisítást egy támadásnál, ami gyakorlatilag ugyanaz. A blokkolás gyakran DNS-hamisítással és a forgalom csonkoldalra irányítása révén történik.
Ha lehetséges, különböző helyekről ellenőrizze ügyfelei elhatározását az Ön származására vonatkozóan, ha van kérelme. Ez segít észlelni a DNS-eltérítési anomáliákat, amit a szolgáltatók néha megtesznek.
Monitoring: hol lehet ellenőrizni?
Nincs egyetemes válasz. Ellenőrizze, honnan érkezik a felhasználó. Ha a felhasználók Oroszországban vannak, ellenőrizze Oroszországból, de ne korlátozza magát. Ha felhasználói különböző régiókban élnek, ellenőrizze ezekből a régiókból. De jobb a világ minden tájáról.
Monitoring: mit kell ellenőrizni?
Három módszert találtam ki. Ha többet tudsz, írd meg kommentben.
- ÉRETT atlasz.
- Kereskedelmi megfigyelés.
- Saját virtuális gépek hálózata.
Beszéljünk mindegyikről.
ÉRETT atlasz - Ez egy olyan kis doboz. Azok számára, akik ismerik a hazai "Inspector" - ez ugyanaz a doboz, de más matricával.
A RIPE Atlas egy ingyenes program. Regisztrálsz, postai úton kapsz egy routert, és csatlakoztatod a hálózathoz. Azért, mert valaki más használja a mintáját, kap némi kreditet. Ezekkel a kölcsönökkel Ön is kutakodhat. Különféle módon tesztelhet: ping, traceroute, tanúsítványok ellenőrzése. A lefedettség elég nagy, sok csomópont van. De vannak árnyalatok.
A kreditrendszer nem teszi lehetővé a termelési megoldások építését. Nem lesz elegendő kredit a folyamatos kutatásra vagy a kereskedelmi megfigyelésre. A kreditek elegendőek egy rövid tanulásra vagy egyszeri ellenőrzésre. A napi normát egy mintából 1-2 csekk fogyasztja el.
A lefedettség egyenetlen. Mivel a program mindkét irányban ingyenes, a lefedettség Európában, Oroszország európai részén és egyes régiókban jó. De ha Indonéziára vagy Új-Zélandra van szüksége, akkor minden sokkal rosszabb - előfordulhat, hogy országonként nem lesz 50 mintája.
A http nem ellenőrizhető mintából. Ennek oka a technikai árnyalatok. Azt ígérik, hogy az új verzióban kijavítják, de egyelőre a http nem ellenőrizhető. Csak a tanúsítvány ellenőrizhető. Valamiféle http-ellenőrzést csak egy speciális RIPE Atlas eszközön, az Anchor-on lehet elvégezni.
A második módszer a kereskedelmi megfigyelés. Minden rendben vele, pénzt fizetsz, igaz? Több tucat vagy száz megfigyelési pontot ígérnek a világ minden tájáról, és gyönyörű műszerfalakat rajzolnak ki a dobozból. De ismét vannak problémák.
Fizetős, néhol nagyon. A ping-figyelés, a világméretű ellenőrzések és a rengeteg http-ellenőrzés évente több ezer dollárba kerülhet. Ha a pénzügyek megengedik, és tetszik ez a megoldás, menjen tovább.
Előfordulhat, hogy a fedezet nem elegendő az érdeklődési körben. Ugyanazzal a ping-el a világ maximum egy absztrakt része van megadva - Ázsia, Európa, Észak-Amerika. A ritka megfigyelőrendszerek egy adott országra vagy régióra vonatkozhatnak.
Gyenge támogatás az egyéni tesztekhez. Ha valami egyedi kell, és nem csak egy „göndör” az url-en, akkor azzal is vannak problémák.
A harmadik módszer a megfigyelés. Ez egy klasszikus: „Írjuk meg a magunkét!”
Az Ön monitorozása egy szoftvertermék és egy elosztott termék fejlesztésévé válik. Infrastruktúra-szolgáltatót keres, nézze meg, hogyan telepítheti és felügyelheti – a monitorozást figyelni kell, igaz? Ehhez támogatás is kell. Tízszer gondold meg, mielőtt belevágsz. Könnyebb lehet fizetni valakinek, hogy megcsinálja helyetted.
BGP anomáliák és DDoS támadások figyelése
Itt a rendelkezésre álló források alapján minden még egyszerűbb. A BGP anomáliáit speciális szolgáltatások, például QRadar, BGPmon segítségével észlelik. Elfogadnak egy teljes nézet táblázatot több operátortól. A különböző operátoroktól látottak alapján észlelhetik az anomáliákat, kereshetnek erősítőket stb. A regisztráció általában ingyenes - megadja telefonszámát, feliratkozik az e-mail értesítésekre, és a szolgáltatás figyelmezteti Önt a problémákra.
A DDoS támadások figyelése szintén egyszerű. Tipikusan ez NetFlow alapú és naplók. Vannak speciális rendszerek, mint pl FastNetMon, modulok számára Splunk. Végső megoldásként ott van a DDoS védelem szolgáltatója. Kiszivárogtathatja a NetFlow-t is, és ez alapján értesíti az Ön irányába érkező támadásokról.
Álláspontja
Ne legyenek illúzióid – az internet biztosan összeomlik. Nem minden és nem mindenki fog eltörni, de 14-ben 2017 ezer incidens utal arra, hogy lesznek incidensek.
Az Ön feladata, hogy a lehető legkorábban észrevegye a problémákat. Legalábbis legkésőbb a felhasználónál. Nem csak azt fontos megjegyezni, hogy mindig tartsunk tartalékban egy „B tervet”. A terv egy stratégia arra vonatkozóan, hogy mit fogsz tenni, ha minden összeomlik.: tartalék operátorok, DC, CDN. A terv egy külön ellenőrző lista, amely alapján ellenőrizheti mindennek a működését. A tervnek hálózati mérnökök bevonása nélkül kell működnie, mert általában kevesen vannak, és aludni akarnak.
Ez minden. Magas rendelkezésre állást és zöld megfigyelést kívánok.
A jövő héten Novoszibirszkben napsütés, nagy terhelés és nagy fejlesztői koncentráció várható . Szibériában a megfigyelésről, a hozzáférhetőségről és a tesztelésről, a biztonságról és a kezelésről szóló jelentések frontja várható. Csapadék várható feljegyzések, hálózatépítés, fényképek és közösségi oldalakon közzétett bejegyzések formájában. Javasoljuk minden tevékenység elhalasztását június 24-én és 25-én és . Várunk Szibériában!
Forrás: will.com