Internet tampaknya merupakan struktur yang kuat, mandiri, dan tidak dapat dihancurkan. Secara teori, jaringan tersebut cukup kuat untuk bertahan dari ledakan nuklir. Pada kenyataannya, Internet dapat menjatuhkan satu router kecil. Ini karena Internet adalah tumpukan kontradiksi, kerentanan, kesalahan, dan video tentang kucing. Tulang punggung Internet, BGP, penuh dengan masalah. Sungguh menakjubkan bahwa dia masih bernapas. Selain kesalahan di Internet itu sendiri, hal ini juga dirusak oleh semua orang: penyedia Internet besar, perusahaan, negara bagian, dan serangan DDoS. Apa yang harus dilakukan dan bagaimana menghadapinya?
Tahu jawabannya Alexei Uchakin () adalah pemimpin tim insinyur jaringan di IQ Option. Tugas utamanya adalah aksesibilitas platform bagi pengguna. Dalam transkrip laporan Alexei tentang Mari kita bicara tentang BGP, serangan DDOS, peralihan Internet, kesalahan penyedia, desentralisasi, dan kasus ketika router kecil membuat Internet tertidur. Pada akhirnya - beberapa tips tentang cara bertahan dari semua ini.
Hari dimana Internet Rusak
Saya akan mengutip beberapa kejadian dimana konektivitas Internet terputus. Ini akan cukup untuk gambaran lengkapnya.
"Insiden AS7007". Internet pertama kali rusak pada bulan April 1997. Terdapat bug pada perangkat lunak salah satu router dari sistem otonom 7007. Pada titik tertentu, router mengumumkan tabel perutean internalnya ke tetangganya dan mengirimkan separuh jaringan ke dalam lubang hitam.
"Pakistan melawan YouTube". Pada tahun 2008, orang-orang pemberani dari Pakistan memutuskan untuk memblokir YouTube. Mereka melakukannya dengan sangat baik sehingga separuh dunia tidak memiliki kucing.
“Penangkapan awalan VISA, MasterCard, dan Symantec oleh Rostelecom”. Pada tahun 2017, Rostelecom secara keliru mulai mengumumkan awalan VISA, MasterCard, dan Symantec. Akibatnya, lalu lintas keuangan dialihkan melalui saluran yang dikendalikan oleh penyedia. Kebocoran tersebut tidak berlangsung lama, namun menimbulkan ketidaknyamanan bagi perusahaan keuangan.
Google vs Jepang. Pada bulan Agustus 2017, Google mulai mengumumkan awalan penyedia besar Jepang NTT dan KDDI di beberapa uplink-nya. Lalu lintas dikirim ke Google sebagai transit, kemungkinan besar karena kesalahan. Karena Google bukan penyedia dan tidak mengizinkan lalu lintas transit, sebagian besar wilayah Jepang dibiarkan tanpa Internet.
“DV LINK menangkap awalan Google, Apple, Facebook, Microsoft”. Juga pada tahun 2017, penyedia Rusia DV LINK karena alasan tertentu mulai mengumumkan jaringan Google, Apple, Facebook, Microsoft dan beberapa pemain besar lainnya.
“eNet dari AS telah menangkap awalan AWS Route53 dan MyEtherwallet”. Pada tahun 2018, penyedia Ohio atau salah satu kliennya mengumumkan jaringan dompet kripto Amazon Route53 dan MyEtherwallet. Serangan itu berhasil: meskipun ada sertifikat yang ditandatangani sendiri, peringatan yang muncul kepada pengguna saat memasuki situs web MyEtherwallet, banyak dompet yang dibajak dan sebagian mata uang kripto dicuri.
Terdapat lebih dari 2017 insiden serupa pada tahun 14 saja! Jaringannya masih terdesentralisasi, jadi tidak semuanya atau semua orang rusak. Namun ada ribuan insiden, semuanya terkait dengan protokol BGP yang menggerakkan Internet.
BGP dan permasalahannya
Protokol BGP - Protokol Gerbang Perbatasan, pertama kali dijelaskan pada tahun 1989 oleh dua insinyur dari IBM dan Cisco Systems pada tiga “serbet” - lembar A4. Ini masih duduk di kantor pusat Cisco Systems di San Francisco sebagai peninggalan dunia jaringan.
Protokol ini didasarkan pada interaksi sistem otonom - Sistem Otonom atau disingkat AS. Sistem otonom hanyalah sebuah ID yang jaringan IP-nya ditetapkan dalam registri publik. Router dengan ID ini dapat mengumumkan jaringan ini kepada dunia. Oleh karena itu, setiap rute di Internet dapat direpresentasikan sebagai vektor, yang disebut SEBAGAI Jalur. Vektor terdiri dari jumlah sistem otonom yang harus dilalui untuk mencapai jaringan tujuan.
Misalnya, terdapat jaringan sejumlah sistem otonom. Anda perlu berpindah dari sistem AS65001 ke sistem AS65003. Jalur dari satu sistem diwakili oleh AS Path pada diagram. Terdiri dari dua sistem otonom: 65002 dan 65003. Untuk setiap alamat tujuan terdapat vektor AS Path, yang terdiri dari jumlah sistem otonom yang perlu kita lalui.
Lalu apa saja masalah BGP?
BGP adalah protokol kepercayaan
Protokol BGP berbasis kepercayaan. Ini berarti kita mempercayai tetangga kita secara default. Ini adalah fitur dari banyak protokol yang dikembangkan pada awal mula Internet. Mari kita cari tahu apa arti “kepercayaan”.
Tidak ada otentikasi tetangga. Secara formal ada MD5, tapi MD5 di tahun 2019 hanya itu saja...
Tidak ada penyaringan. BGP memiliki filter dan dijelaskan, tetapi tidak digunakan atau digunakan secara tidak benar. Saya akan menjelaskan alasannya nanti.
Sangat mudah untuk mendirikan lingkungan. Menyiapkan lingkungan dalam protokol BGP di hampir semua router hanya membutuhkan beberapa baris konfigurasi.
Tidak diperlukan hak pengelolaan BGP. Anda tidak perlu mengikuti ujian untuk membuktikan kualifikasi Anda. Tidak ada yang akan mengambil hak Anda untuk mengkonfigurasi BGP saat mabuk.
Dua masalah utama
Pembajakan awalan. Pembajakan awalan mengiklankan jaringan yang bukan milik Anda, seperti halnya dengan MyEtherwallet. Kami mengambil beberapa awalan, menyetujui penyedia atau meretasnya, dan melaluinya kami mengumumkan jaringan ini.
Kebocoran rute. Kebocoran sedikit lebih rumit. Kebocoran adalah perubahan pada AS Path. Kemungkinan terbaiknya, perubahan ini akan mengakibatkan penundaan yang lebih lama karena Anda harus menempuh rute yang lebih panjang atau jalur yang lebih kecil. Kemungkinan terburuknya, kasus yang menimpa Google dan Jepang akan terulang kembali.
Google sendiri bukanlah operator atau sistem otonom transit. Namun ketika dia mengumumkan jaringan operator Jepang kepada penyedianya, lalu lintas melalui Google melalui AS Path dipandang sebagai prioritas yang lebih tinggi. Lalu lintas menuju ke sana dan turun hanya karena pengaturan perutean di dalam Google lebih kompleks daripada sekadar filter di perbatasan.
Mengapa filter tidak berfungsi?
Tidak ada yang peduli. Inilah alasan utamanya - tidak ada yang peduli. Administrator penyedia kecil atau perusahaan yang terhubung ke penyedia melalui BGP menggunakan MikroTik, mengkonfigurasi BGP di dalamnya dan bahkan tidak mengetahui bahwa filter dapat dikonfigurasi di sana.
Kesalahan konfigurasi. Mereka mengacaukan sesuatu, membuat kesalahan pada topengnya, memasang jaring yang salah - dan sekarang ada kesalahan lagi.
Tidak ada kemungkinan teknis. Misalnya, penyedia telekomunikasi memiliki banyak klien. Hal cerdas yang harus dilakukan adalah memperbarui filter secara otomatis untuk setiap klien - untuk memantau apakah ia memiliki jaringan baru, bahwa ia telah menyewakan jaringannya kepada seseorang. Sulit untuk mengikuti ini, dan bahkan lebih sulit lagi dengan tangan Anda. Oleh karena itu, mereka cukup memasang filter yang santai atau tidak memasang filter sama sekali.
Pengecualian. Ada pengecualian untuk klien tercinta dan klien besar. Terutama dalam hal antarmuka antar operator. Misalnya, TransTeleCom dan Rostelecom memiliki banyak jaringan dan terdapat antarmuka di antara keduanya. Jika sambungannya jatuh, itu tidak akan baik bagi siapa pun, jadi filternya dilonggarkan atau dilepas seluruhnya.
Informasi yang ketinggalan jaman atau tidak relevan dalam IRR. Filter dibangun berdasarkan informasi yang dicatat IRR - Registri Perutean Internet. Ini adalah pendaftar pendaftar Internet regional. Seringkali, register berisi informasi yang ketinggalan jaman atau tidak relevan, atau keduanya.
Siapa saja pendaftar ini?
Semua alamat Internet adalah milik organisasi IANA - Otoritas Nomor yang Ditugaskan Internet. Saat Anda membeli jaringan IP dari seseorang, Anda tidak membeli alamat, namun hak untuk menggunakannya. Alamat adalah sumber daya tidak berwujud dan berdasarkan kesepakatan bersama semuanya dimiliki oleh IANA.
Sistem bekerja seperti ini. IANA mendelegasikan pengelolaan alamat IP dan nomor sistem otonom kepada lima registrar regional. Mereka mengeluarkan sistem otonom LIR - pendaftar internet lokal. LIR kemudian mengalokasikan alamat IP ke pengguna akhir.
Kekurangan dari sistem ini adalah masing-masing panitera daerah menyelenggarakan registernya sendiri-sendiri. Setiap orang memiliki pandangannya masing-masing tentang informasi apa yang harus dimuat dalam register, dan siapa yang harus atau tidak harus memeriksanya. Hasilnya adalah kekacauan yang kita alami sekarang.
Bagaimana lagi Anda dapat mengatasi masalah ini?
IRR - kualitas biasa-biasa saja. Jelas dengan IRR - semuanya buruk di sana.
Komunitas BGP. Ini adalah beberapa atribut yang dijelaskan dalam protokol. Kita bisa melampirkan, misalnya, komunitas khusus pada pengumuman kita agar tetangga kita tidak mengirimkan jaringan kita ke tetangganya. Ketika kami memiliki tautan P2P, kami hanya bertukar jaringan. Untuk mencegah rute menuju ke jaringan lain secara tidak sengaja, kami menambahkan komunitas.
Komunitas tidak bersifat transitif. Itu selalu merupakan kontrak untuk dua orang, dan inilah kelemahan mereka. Kami tidak dapat menetapkan komunitas mana pun, kecuali satu komunitas, yang diterima secara default oleh semua orang. Kami tidak dapat memastikan bahwa setiap orang akan menerima komunitas ini dan menafsirkannya dengan benar. Oleh karena itu, dalam kasus terbaik, jika Anda setuju dengan uplink Anda, dia akan memahami apa yang Anda inginkan darinya dalam hal komunitas. Namun tetangga Anda mungkin tidak mengerti, atau operator hanya akan menyetel ulang tag Anda, dan Anda tidak akan mencapai apa yang Anda inginkan.
RPKI + ROA hanya menyelesaikan sebagian kecil permasalahan. RPKI adalah Infrastruktur Kunci Publik Sumber Daya — kerangka kerja khusus untuk menandatangani informasi perutean. Merupakan ide bagus untuk memaksa LIR dan klien mereka untuk memelihara database ruang alamat yang terkini. Tapi ada satu masalah dengan itu.
RPKI juga merupakan sistem kunci publik yang hierarkis. IANA memiliki kunci dari mana kunci RIR dihasilkan, dan dari kunci LIR manakah dihasilkan? yang dengannya mereka menandatangani ruang alamatnya menggunakan ROA - Otorisasi Asal Rute:
— Saya jamin awalan ini akan diumumkan atas nama daerah otonom ini.
Selain ROA, ada objek lain, tetapi akan dibahas lebih lanjut nanti. Sepertinya hal yang baik dan bermanfaat. Tapi itu tidak melindungi kita dari kebocoran kata "sama sekali" dan tidak menyelesaikan semua masalah dengan pembajakan awalan. Oleh karena itu, para pemain tidak terburu-buru untuk menerapkannya. Meskipun sudah ada jaminan dari pemain besar seperti AT&T dan perusahaan besar IX bahwa awalan dengan catatan ROA yang tidak valid akan dihilangkan.
Mungkin mereka akan melakukan ini, tetapi untuk saat ini kami memiliki banyak sekali awalan yang tidak ditandatangani dengan cara apa pun. Di satu sisi, tidak jelas apakah pengumuman tersebut sah atau tidak. Di sisi lain, kami tidak dapat menghapusnya secara default, karena kami tidak yakin apakah ini benar atau tidak.
Apalagi yang ada disana?
BGPSec. Ini adalah hal keren yang dikemukakan oleh para akademisi untuk jaringan kuda poni merah muda. Mereka berkata:
- Kami memiliki RPKI + ROA - mekanisme untuk memverifikasi tanda tangan ruang alamat. Mari buat atribut BGP terpisah dan beri nama BGPSec Path. Setiap router akan menandatangani dengan tanda tangannya sendiri pengumuman yang diumumkannya kepada tetangganya. Dengan cara ini kami akan mendapatkan jalur tepercaya dari rangkaian pengumuman yang ditandatangani dan dapat memeriksanya.
Secara teori bagus, namun dalam praktiknya banyak kendala. BGPSec merusak banyak mekanisme BGP yang ada untuk memilih lompatan berikutnya dan mengelola lalu lintas masuk/keluar langsung di router. BGPSec tidak akan berfungsi sampai 95% dari seluruh pasar telah mengimplementasikannya, yang merupakan utopia.
BGPSec memiliki masalah kinerja yang besar. Pada perangkat keras saat ini, kecepatan pengecekan pengumuman kira-kira 50 prefiks per detik. Sebagai perbandingan: tabel Internet saat ini yang berisi 700 awalan akan diunggah dalam 000 jam, dan selama itu akan berubah 5 kali lagi.
Kebijakan Terbuka BGP (BGP berbasis peran). Proposal baru berdasarkan model Gao-Rexford. Inilah dua ilmuwan yang sedang meneliti BGP.
Model Gao-Rexford adalah sebagai berikut. Untuk menyederhanakannya, dengan BGP ada beberapa jenis interaksi:
- Pelanggan Penyedia;
- P2P;
- komunikasi internal, misalnya iBGP.
Berdasarkan peran router, kebijakan impor/ekspor tertentu dapat ditetapkan secara default. Administrator tidak perlu mengonfigurasi daftar awalan. Berdasarkan peran yang disetujui oleh router di antara mereka sendiri dan yang dapat diatur, kami telah menerima beberapa filter default. Saat ini rancangan tersebut sedang dibahas di IETF. Saya berharap kita akan segera melihat ini dalam bentuk RFC dan implementasi pada perangkat keras.
Penyedia Internet besar
Mari kita lihat contoh penyedia CenturyLink. Ini adalah penyedia terbesar ketiga di AS, melayani 37 negara bagian dan memiliki 15 pusat data.
Pada bulan Desember 2018, CenturyLink berada di pasar AS selama 50 jam. Dalam kejadian tersebut, terdapat masalah pada pengoperasian ATM di dua negara bagian, dan nomor 911 tidak berfungsi selama beberapa jam di lima negara bagian. Lotere di Idaho hancur total. Insiden tersebut saat ini sedang diselidiki oleh Komisi Telekomunikasi AS.
Penyebab tragedi itu adalah satu kartu jaringan di satu pusat data. Kartu tidak berfungsi, mengirim paket yang salah, dan 15 pusat data penyedia mati.
Idenya tidak berhasil untuk penyedia ini "terlalu besar untuk jatuh". Ide ini tidak berhasil sama sekali. Anda dapat mengambil pemain besar mana pun dan menempatkan beberapa hal kecil di atasnya. Amerika masih memiliki kinerja yang baik dalam hal konektivitas. Pelanggan CenturyLink yang memiliki cadangan berbondong-bondong datang ke sana. Kemudian operator alternatif mengeluhkan link mereka yang kelebihan beban.
Jika Kazakhtelecom bersyarat jatuh, seluruh negara akan dibiarkan tanpa Internet.
Korporasi
Mungkin Google, Amazon, Facebook, dan perusahaan lain mendukung Internet? Tidak, mereka juga merusaknya.
Pada tahun 2017 di St. Petersburg pada konferensi ENOG13 Jeff Houston dari APNIC diperkenalkan . Dikatakan bahwa kita terbiasa dengan interaksi, arus uang, dan lalu lintas di Internet yang bersifat vertikal. Kita mempunyai penyedia layanan kecil yang membayar untuk konektivitas ke penyedia yang lebih besar, dan mereka sudah membayar untuk konektivitas ke angkutan global.
Sekarang kita memiliki struktur yang berorientasi vertikal. Semuanya akan baik-baik saja, tetapi dunia sedang berubah - para pemain besar sedang membangun kabel lintas samudera untuk membangun tulang punggung mereka sendiri.
Berita tentang kabel CDN.
Pada tahun 2018, TeleGeography merilis sebuah penelitian bahwa lebih dari separuh lalu lintas di Internet bukan lagi Internet, melainkan tulang punggung CDN para pemain besar. Ini adalah lalu lintas yang berhubungan dengan Internet, tapi ini bukan lagi jaringan yang kita bicarakan.
Internet terpecah menjadi sejumlah besar jaringan yang terhubung secara longgar.
Microsoft mempunyai jaringannya sendiri, Google mempunyai jaringannya sendiri, dan keduanya tidak banyak tumpang tindih satu sama lain. Lalu lintas yang berasal dari suatu tempat di AS melewati saluran Microsoft melintasi lautan ke Eropa di suatu tempat melalui CDN, kemudian melalui CDN atau IX terhubung dengan penyedia Anda dan sampai ke router Anda.
Desentralisasi menghilang.
Kekuatan Internet, yang akan membantunya bertahan dari ledakan nuklir, kini sedang hilang. Tempat konsentrasi pengguna dan lalu lintas muncul. Jika syarat Google Cloud tumbang maka akan banyak korban sekaligus. Kami merasakan hal ini sebagian ketika Roskomnadzor memblokir AWS. Dan contoh CenturyLink menunjukkan bahwa hal kecil saja sudah cukup untuk ini.
Sebelumnya, tidak semuanya dan tidak semua orang rusak. Di masa depan, kita mungkin sampai pada kesimpulan bahwa dengan mempengaruhi satu pemain besar, kita dapat menghancurkan banyak hal, banyak tempat, dan banyak orang.
negara bagian
Negara-negara bagian berada di urutan berikutnya, dan inilah yang biasanya terjadi pada mereka.
Di sini Roskomnadzor kita bahkan bukan pionir sama sekali. Praktik penutupan Internet serupa juga terjadi di Iran, India, dan Pakistan. Di Inggris, ada undang-undang tentang kemungkinan mematikan Internet.
Setiap negara besar ingin mendapatkan saklar untuk mematikan Internet, baik seluruhnya atau sebagian: Twitter, Telegram, Facebook. Bukannya mereka tidak paham bahwa mereka tidak akan pernah sukses, tapi mereka sangat menginginkannya. Sakelar ini biasanya digunakan untuk tujuan politik - untuk menghilangkan pesaing politik, atau pemilu semakin dekat, atau peretas Rusia kembali merusak sesuatu.
serangan DDoS
Saya tidak akan mengambil roti dari rekan-rekan saya di Qrator Labs, mereka melakukannya jauh lebih baik daripada saya. Mereka punya tentang stabilitas Internet. Dan inilah yang mereka tulis dalam laporan tahun 2018.
Durasi rata-rata serangan DDoS turun menjadi 2.5 jam. Para penyerang juga mulai menghitung uang, dan jika sumber daya tidak segera tersedia, maka mereka segera membiarkannya.
Intensitas serangan semakin meningkat. Pada tahun 2018, kami melihat 1.7 Tb/s di jaringan Akamai, dan ini bukanlah batasnya.
Vektor serangan baru bermunculan dan vektor serangan lama semakin intensif. Muncul protokol-protokol baru yang rentan terhadap amplifikasi, dan serangan-serangan baru bermunculan terhadap protokol-protokol yang sudah ada, terutama TLS dan sejenisnya.
Sebagian besar lalu lintas berasal dari perangkat seluler. Pada saat yang sama, lalu lintas Internet beralih ke klien seluler. Baik mereka yang menyerang maupun yang bertahan harus mampu mengatasi hal ini.
Kebal - tidak. Ini adalah ide utamanya - tidak ada perlindungan universal yang secara pasti akan melindungi terhadap DDoS apa pun.
Sistem tidak dapat diinstal kecuali terhubung ke Internet.
Kuharap aku sudah cukup membuatmu takut. Sekarang mari kita pikirkan apa yang harus dilakukan.
Apa yang harus dilakukan?!
Jika Anda memiliki waktu luang, keinginan dan pengetahuan bahasa Inggris, ikutilah kelompok kerja: IETF, RIPE WG. Ini adalah milis terbuka, berlangganan milis, berpartisipasi dalam diskusi, datang ke konferensi. Jika Anda berstatus LIR, Anda dapat memilih, misalnya, di RIPE untuk berbagai inisiatif.
Bagi manusia biasa, inilah yang terjadi pemantauan. Untuk mengetahui apa yang rusak.
Pemantauan: apa yang harus diperiksa?
Ping Biasa, dan bukan hanya pemeriksaan biner - berfungsi atau tidak. Catat RTT dalam riwayat sehingga Anda dapat melihat anomalinya nanti.
Traceroute. Ini adalah program utilitas untuk menentukan rute data pada jaringan TCP/IP. Membantu mengidentifikasi anomali dan penyumbatan.
HTTP memeriksa URL khusus dan sertifikat TLS akan membantu mendeteksi pemblokiran atau spoofing DNS untuk suatu serangan, yang pada dasarnya sama. Pemblokiran sering kali dilakukan dengan spoofing DNS dan dengan mengalihkan lalu lintas ke halaman rintisan.
Jika memungkinkan, periksa tekad klien Anda tentang asal Anda dari tempat yang berbeda jika Anda memiliki permohonan. Ini akan membantu Anda mendeteksi anomali pembajakan DNS, sesuatu yang terkadang dilakukan oleh penyedia layanan.
Pemantauan: di mana harus memeriksanya?
Tidak ada jawaban universal. Periksa dari mana pengguna tersebut berasal. Jika pengguna berada di Rusia, periksa dari Rusia, tetapi jangan membatasi diri Anda hanya pada itu. Jika pengguna Anda tinggal di wilayah yang berbeda, periksa dari wilayah tersebut. Tapi lebih baik dari seluruh dunia.
Pemantauan: apa yang harus diperiksa?
Saya menemukan tiga cara. Jika Anda tahu lebih banyak, tulis di komentar.
- Atlas matang.
- Pemantauan komersial.
- Jaringan mesin virtual Anda sendiri.
Mari kita bicara tentang masing-masingnya.
Atlas matang - itu kotak kecil. Bagi yang mengetahui "Inspektur" dalam negeri - ini adalah kotak yang sama, tetapi dengan stiker yang berbeda.
RIPE Atlas adalah program gratis. Anda mendaftar, menerima router melalui surat dan menghubungkannya ke jaringan. Fakta bahwa orang lain menggunakan sampel Anda, Anda mendapat sejumlah penghargaan. Dengan pinjaman ini Anda dapat melakukan riset sendiri. Anda dapat menguji dengan berbagai cara: ping, traceroute, periksa sertifikat. Cakupannya cukup luas, nodenya banyak. Tapi ada nuansanya.
Sistem kredit tidak mengizinkan pembangunan solusi produksi. Kredit yang diberikan tidak akan cukup untuk penelitian yang sedang berlangsung atau pemantauan komersial. Kredit tersebut cukup untuk studi singkat atau pemeriksaan satu kali. Norma harian dari satu sampel dikonsumsi 1-2 cek.
Cakupan tidak merata. Karena program ini gratis di kedua arah, cakupannya bagus di Eropa, di bagian Eropa Rusia, dan beberapa wilayah. Namun jika Anda membutuhkan Indonesia atau Selandia Baru, keadaannya jauh lebih buruk - Anda mungkin tidak memiliki 50 sampel per negara.
Anda tidak dapat memeriksa http dari sampel. Hal ini disebabkan oleh nuansa teknis. Mereka berjanji akan memperbaikinya di versi baru, tetapi untuk saat ini http tidak dapat diperiksa. Hanya sertifikat yang dapat diverifikasi. Beberapa jenis pengecekan http hanya bisa dilakukan pada perangkat RIPE Atlas khusus bernama Anchor.
Metode kedua adalah pemantauan komersial. Semuanya baik-baik saja dengan dia, Anda membayar uang, bukan? Mereka menjanjikan Anda beberapa lusin atau ratusan titik pemantauan di seluruh dunia dan membuat dasbor yang indah. Tapi, sekali lagi, ada masalah.
Berbayar, di beberapa tempat sangat. Pemantauan ping, pemeriksaan di seluruh dunia, dan banyak pemeriksaan http dapat menghabiskan biaya beberapa ribu dolar setahun. Jika keuangan memungkinkan dan Anda menyukai solusi ini, silakan.
Cakupan mungkin tidak mencukupi di wilayah yang diminati. Dengan ping yang sama, maksimum bagian dunia yang abstrak ditentukan - Asia, Eropa, Amerika Utara. Sistem pemantauan yang langka dapat menelusuri hingga ke negara atau wilayah tertentu.
Dukungan lemah untuk pengujian khusus. Jika Anda memerlukan sesuatu yang khusus, dan bukan hanya "keriting" pada url, maka ada masalah dengan itu juga.
Cara ketiga adalah pemantauan Anda. Ini adalah kalimat klasik: “Ayo menulis sendiri!”
Pemantauan Anda berubah menjadi pengembangan produk perangkat lunak, dan produk terdistribusi. Anda sedang mencari penyedia infrastruktur, lihat cara menerapkan dan memantaunya - pemantauan perlu dipantau, bukan? Dan dukungan juga diperlukan. Pikirkan sepuluh kali sebelum Anda melakukan ini. Mungkin lebih mudah membayar seseorang untuk melakukannya untuk Anda.
Memantau anomali BGP dan serangan DDoS
Di sini, berdasarkan sumber daya yang tersedia, semuanya menjadi lebih sederhana. Anomali BGP dideteksi menggunakan layanan khusus seperti QRadar, BGPmon. Mereka menerima tabel tampilan penuh dari beberapa operator. Berdasarkan apa yang mereka lihat dari operator berbeda, mereka dapat mendeteksi anomali, mencari amplifier, dan sebagainya. Pendaftaran biasanya gratis - Anda memasukkan nomor telepon Anda, berlangganan pemberitahuan email, dan layanan akan mengingatkan Anda tentang masalah Anda.
Memantau serangan DDoS juga sederhana. Biasanya ini adalah Berbasis NetFlow dan log. Ada sistem khusus seperti FastNetMon, modul untuk Splunk. Sebagai upaya terakhir, ada penyedia perlindungan DDoS Anda. Itu juga dapat membocorkan NetFlow dan, berdasarkan itu, itu akan memberi tahu Anda tentang serangan ke arah Anda.
Temuan
Jangan berilusi - Internet pasti akan rusak. Tidak semuanya dan tidak semua orang akan rusak, namun 14 ribu kejadian di tahun 2017 mengisyaratkan akan ada kejadian.
Tugas Anda adalah memperhatikan masalah sedini mungkin. Minimal, paling lambat dari pengguna Anda. Tidak hanya penting untuk diperhatikan, selalu simpan “Rencana B” sebagai cadangan. Rencana adalah strategi tentang apa yang akan Anda lakukan ketika segala sesuatunya gagal.: operator cadangan, DC, CDN. Rencana adalah daftar periksa terpisah yang dengannya Anda memeriksa kinerja segala sesuatunya. Rencana tersebut harus berjalan tanpa keterlibatan insinyur jaringan, karena biasanya jumlah mereka sedikit dan mereka ingin tidur.
Itu saja. Saya berharap Anda memiliki ketersediaan tinggi dan pemantauan ramah lingkungan.
Minggu depan di Novosibirsk sinar matahari diperkirakan akan tinggi dan konsentrasi pengembang tinggi . Di Siberia, laporan tentang pemantauan, aksesibilitas dan pengujian, keamanan dan manajemen diperkirakan akan muncul. Curah hujan diharapkan dalam bentuk coretan catatan, jejaring, foto, dan postingan di jejaring sosial. Kami merekomendasikan untuk menunda semua kegiatan pada tanggal 24 dan 25 Juni dan . Kami menunggu Anda di Siberia!
Sumber: www.habr.com