Internetið virðist vera sterk, sjálfstæð og óslítandi uppbygging. Í orði kveðnu er netið nógu sterkt til að lifa af kjarnorkusprengingu. Í raun og veru getur einn lítill leiðari eyðilagt internetið. Þetta er vegna þess að internetið er hrærigrautur af mótsögnum, veikleikum, villum og spjallmyndböndum. Grunnur internetsins - BGP samskiptareglurnar - eru fullir af vandamálum. Það er ótrúlegt að það sé enn á lífi. Auk galla internetsins sjálfs er það einnig raskað af öllum og öllum: stórum internetþjónustuaðilum, fyrirtækjum, stjórnvöldum og DDoS árásum. Hvað getum við gert í þessu og hvernig getum við lifað með því?
Hann veit svarið Alexey Uchakin () er leiðtogi netverkfræðiteymisins hjá IQ Option. Helsta verkefni hans er að tryggja aðgengi notenda að kerfinu. Í afriti af kynningu Alexey, Við munum ræða um BGP, DDOS árásir, lokun á internetinu, villur hjá þjónustuveitum, dreifingu og tilvik þar sem lítill leiðari sendi internetið í dvala. Að lokum, nokkur ráð um hvernig á að lifa af allt þetta.
Dagurinn sem internetið bilaði
Ég ætla aðeins að nefna nokkur tilvik þar sem nettenging rofnaði. Þetta nægir til að gefa heildarmynd.
AS7007 atvikiðInternetið bilaði í fyrsta skipti í apríl 1997. Það kom upp villa í hugbúnaði eins af leiðarunum í sjálfvirka kerfinu 7007. Á einhverjum tímapunkti tilkynnti leiðin innri leiðartöflu sína til nágranna sinna og sendi helming netsins í svarthol.
„Pakistan gegn YouTube“Árið 2008 ákváðu nokkrir hugrakkir menn frá Pakistan að loka fyrir YouTube. Þeim tókst það svo vel að helmingur heimsins var eftir án katta.
Yfirtaka Rostelecom á forskeytum VISA, MasterCard og SymantecÁrið 2017 byrjaði Rostelecom fyrir mistök að tilkynna forskeyti VISA, MasterCard og Symantec. Fyrir vikið var fjárhagsumferð beint í gegnum rásir sem fyrirtækið stjórnaði. Lekinn varði ekki lengi en var vandræðalegur fyrir fjármálafyrirtæki.
Google gegn JapanÍ ágúst 2017 byrjaði Google að tilkynna forskeyti frá helstu japönsku netþjónustuaðilum, NTT og KDDI, í sumum upptengingum sínum. Umferðin var send til Google sem almenn netumferð, líklega fyrir mistök. Þar sem Google er ekki netþjónusta og leyfir ekki almenna netumferð, varð verulegur hluti Japans án internetþjónustu.
„DV LINK hefur náð tökum á forskeytum Google, Apple, Facebook og Microsoft.“Sama ár, 2017, byrjaði rússneski þjónustuaðilinn DV LINK, af einhverjum ástæðum, að tilkynna um net frá Google, Apple, Facebook, Microsoft og nokkrum öðrum stórum aðilum.
Bandaríska fyrirtækið eNet rænir forskeytum AWS Route53 og MyEtherwallet.Árið 2018 tilkynnti netþjónusta í Ohio eða einn af viðskiptavinum hans um Amazon Route53 netið og dulritunarveskið MyEtherwallet. Árásin tókst: þrátt fyrir sjálfritað vottorð, sem birtist notendum viðvörun um þegar þeir heimsóttu vefsíðu MyEtherwallet, voru mörg veski stolin og hluta af dulritunargjaldmiðlum þeirra stolið.
Það voru yfir 14.000 slík atvik árið 2017 einu saman! Netið er enn dreifstýrt, svo ekki allt bilar hjá öllum. En atvik eiga sér stað í þúsundum og þau tengjast öll BGP samskiptareglunum sem knýja internetið.
BGP og vandamál þess
Bókun BGP - Border Gateway Protocol, var fyrst lýst árið 1989 af tveimur verkfræðingum frá IBM og Cisco Systems á þremur „servíettum“ - A4 blöðum. Þessar sitja enn í höfuðstöðvum Cisco Systems í San Francisco sem leifar af netheiminum.
Samskiptareglurnar byggjast á samspili sjálfstæðra kerfa. — Sjálfvirk kerfi, eða AS í stuttu máli. Sjálfvirkt kerfi er einfaldlega auðkenni sem er úthlutað IP-netum í opinberri skrá. Leið með slíku auðkenni getur auglýst þessi net fyrir heiminum. Þar af leiðandi er hægt að tákna hvaða leið sem er á internetinu sem vektor, sem kallast AS-slóðVigurinn samanstendur af fjölda sjálfstæðra kerfa sem þarf að fara framhjá til að ná áfangastaðarnetinu.
Til dæmis, gerum ráð fyrir að það sé net sem samanstendur af fjölda sjálfstæðra kerfa. Við þurfum að komast frá AS65001 til AS65003. Leiðin frá einu kerfi er táknuð með AS-leiðinni á myndritinu. Hún samanstendur af tveimur sjálfstæðum kerfum: 65002 og 65003. Fyrir hvert áfangastað er AS-leiðarvigur, sem samanstendur af tölum sjálfstæðu kerfanna sem við þurfum að fara í gegnum.
Svo hver eru vandamálin með BGP?
BGP er traustssamskiptaregla
BGP er traustsbundin samskiptaregla. Þetta þýðir að við treystum nágrönnum okkar sjálfkrafa. Þetta er einkenni margra samskiptareglna sem þróaðar voru strax á upphafi internetsins. Við skulum skoða hvað „traust“ þýðir.
Engin nágrannavottunTæknilega séð er MD5 til, en MD5 árið 2019—ja, það er...
Engin síunBGP hefur síur, og þær eru skjalfestar, en þær eru annað hvort ekki notaðar eða notaðar rangt. Ég mun útskýra hvers vegna síðar.
Það er mjög auðvelt að stofna hverfiAð setja upp nágrannatengsl í BGP samskiptareglunum á næstum hvaða leið sem er er aðeins nokkrar línur af stillingum.
Engin stjórnunarréttindi fyrir BGP krafistÞú þarft ekki að taka nein próf til að sanna hæfni þína. Enginn mun afturkalla leyfið þitt fyrir að stilla BGP undir áhrifum áfengis.
Tvö meginvandamál
ForskeytaræningForskeytaræning er þegar tilkynnt er um net sem tilheyrir þér ekki, eins og í tilviki MyEtherwallet. Við höfum tekið nokkur forskeyti, samið við þjónustuveituna eða tölvuþrjótað þau og notum þau til að tilkynna þessi net.
Leka í leiðumLekar eru aðeins flóknari. Lekinn er breyting á AS-leiðinniÍ besta falli mun breytingin leiða til meiri tafa þar sem hún krefst lengri leiðar eða minni tengingar. Í versta falli mun atvikið milli Google og Japans endurtaka sig.
Google sjálft er hvorki rekstraraðili né sjálfstætt almenningssamgöngukerfi. En þegar það tilkynnti japönsk fjarskiptakerfi til internetþjónustuaðila síns, var umferð í gegnum Google í gegnum AS Path talin vera forgangsverkefni. Umferð fór þangað og datt svo niður einfaldlega vegna þess að innri leiðarstillingar Google eru flóknari en einfaldar síur á landamærunum.
Af hverju virka síurnar ekki?
Öllum er samaÞetta er aðalástæðan — engum er sama. Stjórnandi lítils þjónustuaðila eða fyrirtækis sem tengdist þjónustuaðilanum í gegnum BGP tók MikroTik, stillti BGP á það og veit ekki einu sinni að hægt er að stilla síur.
StillingarvillurÞeir leiðréttu eitthvað, gerðu mistök með grímuna, settu upp rangt möskva - og nú er það þarna aftur.
Það er enginn tæknilegur möguleikiTil dæmis hafa símafyrirtæki marga viðskiptavini. Snjallasta leiðin væri að uppfæra síur sjálfkrafa fyrir hvern viðskiptavin - til að fylgjast með því hvenær nýtt net bætist við eða hvenær þeir leigja netið sitt til einhvers annars. Það er erfitt að fylgjast með þessu, og enn erfiðara handvirkt. Þess vegna setja þeir einfaldlega upp slakar síur eða engar síur yfir höfuð.
UndantekningarUndantekningar eru fyrir stóra viðskiptavini og þá sem eru í uppáhaldi, sérstaklega þegar kemur að tengingum milli fjarskiptafyrirtækja. Til dæmis eru TransTeleCom og Rostelecom með fjölda neta og það er tenging á milli þeirra. Ef tengingin bilar er það slæmt fyrir alla, þannig að síur eru slakaðar á eða fjarlægðar alveg.
Úreltar eða úreltar upplýsingar í IRRSíur eru byggðar á upplýsingum sem eru skráðar í IRR - Skrá yfir netleiðirÞetta eru skrár yfir svæðisbundna netskráningaraðila. Oft eru upplýsingarnar í þessum skrám úreltar, óviðkomandi eða hvort tveggja.
Hverjir eru þessir skrásetjarar?
Öll netföng tilheyra stofnuninni IANA - Heimild til úthlutaðra númera á netinuÞegar þú kaupir IP-net frá einhverjum ertu ekki að kaupa vistföng, heldur réttinn til að nota þau. Vistföng eru óáþreifanleg auðlind og samkvæmt almennri samstöðu tilheyra þau öll IANA.
Kerfið virkar svona: IANA úthlutar stjórnun IP-talna og sjálfvirkra kerfisnúmera til fimm svæðisbundinna skráningarstofnana. Þær gefa út sjálfvirk kerfisnúmer. LIR — staðbundnir netskráningaraðilarLIR úthluta síðan IP-tölum til notenda.
Galli kerfisins er sá að hver svæðisbundinn skráningaraðili heldur utan um sínar eigin skrár. Hver hefur sínar eigin skoðanir á því hvaða upplýsingar eiga að vera í skránum og hver ætti eða ætti ekki að staðfesta þær. Afleiðingin er sú ringulreið sem við þekkjum í dag.
Hvernig getum við annars barist gegn þessum vandamálum?
IRR - miðlungs gæðiÞað er ljóst með IRR - allt er slæmt þar.
BGP samfélögÞetta er eiginleiki sem lýst er í samskiptareglunum. Við getum til dæmis bætt við sérstöku samfélagi í tilkynningu okkar til að koma í veg fyrir að nágranni áframsendi net okkar til nágranna sinna. Þegar við höfum P2P tengingu skiptumst við aðeins á okkar eigin netum. Til að koma í veg fyrir að leið berist óvart til annarra neta bætum við samfélagi við.
Samfélagið er ekki tímabundiðÞetta er alltaf tvíhliða gata og það er gallinn við þá. Við getum ekki þvingað neinn samfélagshóp nema einn, sem allir samþykkja sjálfkrafa. Við getum ekki verið viss um að allir muni samþykkja þennan samfélagshóp og túlka hann rétt. Þess vegna, í besta falli, ef þú nærð samkomulagi við upphleðslutækið þitt, munu þeir skilja hvað þú vilt frá þeim hvað varðar samfélagið. En nágranni þeirra gæti ekki gert það, eða rekstraraðilinn gæti einfaldlega endurstillt merkið þitt og þú munt ekki ná því sem þú vildir.
RPKI + ROA leysir aðeins lítinn hluta vandamálannaRPKI er Innviðir opinberra lykla fyrir auðlindir — sérstakt rammaverk fyrir undirritun leiðarupplýsinga. Það er góð hugmynd að neyða LIR-a og viðskiptavini þeirra til að viðhalda uppfærðum gagnagrunni með vistfangsrými. En það er eitt vandamál með það.
RPKI er einnig stigskipt opinber lyklakerfi. IANA hefur lykil sem RIR lyklar eru búnir til úr, og úr þessum lyklum eru LIR lyklar búnir til, sem þeir nota til að undirrita vistfangsrými sitt með ROAs - Route Origin Authorizations:
— Ég fullvissa ykkur um að þetta forskeyti verður tilkynnt fyrir hönd þessarar sjálfstæðu stofnunar.
Það eru fleiri hlutir en ROA, en við munum ræða þá síðar. Þetta virðist vera góður og gagnlegur eiginleiki. En hann verndar okkur ekki að fullu fyrir leka og leysir ekki öll vandamál með forskeytaárásum. Þess vegna eru leikmenn ekki í neinum flýti að innleiða hann. Hins vegar hafa stórir leikmenn eins og AT&T og helstu IX-veitur þegar fullvissað okkur um að forskeyti með ógildum ROA-færslum verði felld niður.
Þeir gætu gert þetta, en eins og er höfum við gríðarlegan fjölda forskeyta sem eru ekki merkt á nokkurn hátt. Annars vegar er óljóst hvort þau eru auglýst rétt. Hins vegar getum við ekki sleppt þeim sjálfkrafa því við erum óviss um hvort það sé rétt eða ekki.
Hvað er annað?
BGPSecÞetta er flott hugmynd sem fræðimenn fundu upp fyrir Pink Pony netið. Þeir sögðu:
„Við höfum RPKI + ROA—aðferð til að staðfesta undirskrift vistfangsrýmis. Við skulum búa til sérstakan BGP eigind og köllum hann BGPSec slóð. Hver leið mun undirrita tilkynningarnar sem hún tilkynnir nágranna sínum. Þannig fáum við trausta slóð úr keðjunni af undirrituðum tilkynningum og getum staðfest hana.“
Þetta er frábært í orði kveðnu, en í framkvæmd eru mörg vandamál. BGPSec brýtur niður margar núverandi BGP aðferðir fyrir val á næstu hoppum og stjórnun á inn-/útleiðandi umferð beint á leiðinni. BGPSec mun ekki virka fyrr en 95% markaðsaðila innleiða það, sem er útópía í sjálfu sér.
BGPSec á við mikil afköst að stríða. Í núverandi vélbúnaði er auglýsingaathugunin um það bil 50 forskeyti á sekúndu. Til samanburðar myndi það taka fimm klukkustundir að uppfæra núverandi tafla yfir internetforskeyti, sem inniheldur 700.000 forskeyti, og á þeim tíma myndi hún breytast 10 sinnum í viðbót.
BGP Open Policy (hlutverkabundin BGP)Ný tillaga byggð á fyrirmyndinni Gao-RexfordÞetta eru tveir vísindamenn sem rannsaka BGP.
Gao-Rexford líkanið er sem hér segir. Til einföldunar eru fáeinar gerðir af víxlverkunum í tilviki BGP:
- Viðskiptavinur þjónustuveitanda;
- P2P;
- innri samskipti, til dæmis iBGP.
Nú er hægt að úthluta ákveðnum inn-/útflutningsstefnum sjálfgefið, byggt á hlutverki leiðarans. Stjórnandinn þarf ekki að stilla forskeytalista. Við höfum nú þegar sjálfgefin síur, byggt á því hlutverki sem leiðirnar eru sammála um og hægt er að stilla. Þetta er nú drög að umræðum hjá IETF. Ég vona að við sjáum þetta fljótlega sem RFC og vélbúnaðarútfærslu.
Helstu internetþjónustuaðilar
Við skulum skoða dæmi um veitanda CenturyLinkÞað er þriðji stærsti þjónustuaðilinn í Bandaríkjunum, þjónustar 37 fylki og rekur 15 gagnaver.
Í desember 2018 var CenturyLink niðri í 50 klukkustundir á bandaríska markaðnum. Á meðan atvikið átti sér stað voru hraðbankar í tveimur ríkjum niðri og neyðarlínan 911 var úti í nokkrar klukkustundir í fimm ríkjum. Til viðbótar við allt saman truflaðist happdrætti í Idaho. Fjarskiptaeftirlit Bandaríkjanna rannsakar nú atvikið.
Slysið varð vegna eins netkorts í einni gagnaveri. Kortið bilaði, sendi ógild pakka og öll 15 gagnaver þjónustuveitunnar fóru niður.
Hugmyndin virkaði ekki fyrir þennan veitanda. „of stór til að falla“Þessi hugmynd virkar alls ekki. Þú getur tekið hvaða stóran leikmann sem er og slegið hann niður með smáfiski. Tengimöguleikarnir í Bandaríkjunum eru enn góðir. Viðskiptavinir CenturyLink, sem höfðu varaafl, skiptu yfir í þá í stórum stíl. Síðan kvörtuðu aðrir símafyrirtæki undan því að tengingar þeirra væru ofhlaðnar.
Ef, til dæmis, Kazakhtelecom fer niður, verður allt landið án internets.
Fyrirtæki
Það eru örugglega Google, Amazon, Facebook og önnur fyrirtæki sem halda internetinu gangandi? Nei, þau eru líka að eyðileggja það.
Árið 2017, á ENOG13 ráðstefnunni í Sankti Pétursborg Jeff Huston á APNÍKUR kynnt Þar segir að við séum vön því að samskipti, peningaflæði og netumferð séu lóðrétt. Við höfum litla þjónustuaðila sem greiða stærri þjónustuaðilum fyrir tengingu og stærri þjónustuaðilar greiða alþjóðlegum samgönguaðilum fyrir tengingu.
Við höfum núna lóðrétta uppbyggingu. Allt væri í lagi, en heimurinn er að breytast — stórir aðilar eru að byggja sína eigin þvert yfir hafstrengi til að byggja sínar eigin burðarásir.
Fréttir um CDN kapal.
Árið 2018 birti TeleGeography rannsókn sem sýndi að meira en helmingur netumferðar er ekki lengur internetið sjálft, heldur CDN-burðarásar helstu aðila. Þessi umferð tengist internetinu, en það er ekki lengur netið sem við vorum að tala um.
Internetið er að sundrast í stórt safn lauslega tengdra neta.
Microsoft hefur sitt eigið net og Google hefur sitt eigið, og þau skarast aðeins lítillega. Umferð sem á uppruna sinn einhvers staðar í Bandaríkjunum ferðast yfir hafið í gegnum rásir Microsoft til CDN einhvers staðar í Evrópu, tengist síðan í gegnum CDN eða IX við internetþjónustuaðila þinn og endar á leiðinni þinni.
Dreifstýring er að hverfa.
Þessi styrkur internetsins, sem myndi hjálpa því að lifa af kjarnorkusprengingu, er að tapast. Þéttni notenda og umferðar er að myndast. Ef, til dæmis, Google Cloud myndi hrynja, yrðu mörg fórnarlömb í einu. Við upplifðum þetta að hluta til þegar Roskomnadzor lokaði á AWS. Og dæmið um CenturyLink sýnir að jafnvel lítill skaði er nóg.
Áður fyrr bilaði ekki allt, og ekki fyrir alla. Í framtíðinni gætum við náð þeim punkti þar sem við, með því að hafa áhrif á einn stóran aðila, getum eyðilagt margt, á mörgum stöðum og fyrir marga.
Ríki
Næst í röðinni eru ríkin, og þetta er það sem venjulega gerist hjá þeim.
Roskomnadzor okkar er varla brautryðjandi hér. Svipaðar aðferðir við lokun internetsins eru til staðar í Íran, Indlandi og Pakistan. Í Englandi er til frumvarp sem heimilar lokun internetsins.
Öll helstu ríkin vilja nota rofa til að loka internetinu, annað hvort alveg eða að hluta: Twitter, Telegram, Facebook. Það er ekki það að þau skilji ekki að þeim muni aldrei takast það, en þau vilja það virkilega. Þau nota venjulega rofann í pólitískum tilgangi - til að útrýma pólitískum keppinautum, eða vegna þess að kosningar eru framundan, eða vegna þess að rússneskir tölvuþrjótar hafa tölvuþrjótað eitthvað aftur.
DDoS árásir
Ég ætla ekki að taka frá mér reynsluna af strákunum hjá Qrator Labs, þeir gera þetta miklu betur en ég. Þeir hafa... um stöðugleika internetsins. Og hér er það sem þeir skrifuðu í skýrslu sinni frá árinu 2018.
Meðallengd DDoS-árása lækkar niður í 2.5 klukkustundir.Árásarmennirnir byrja líka að telja peningana sína og ef auðlindin fer ekki niður strax er hún fljótt yfirgefin.
Álag árásanna eykstÁrið 2018 sáum við 1.7 Tbps á Akamai netinu, og það er ekki takmörkunin.
Nýjar árásarleiðir eru að koma fram og gamlar eru að magnast.Nýjar samskiptareglur sem eru viðkvæmar fyrir mögnun eru að koma fram og nýjar árásir á núverandi samskiptareglur, sérstaklega TLS og þess háttar.
Mest umferð er frá snjalltækjumÁ sama tíma er netumferð að færast yfir á farsímaforrit. Bæði árásarmenn og varnaraðilar þurfa að geta tekist á við þetta.
Það eru engir ósæranlegirÞetta er aðalatriðið: það er engin alhliða vörn sem mun áreiðanlega vernda gegn hverri DDoS árás, og hún mun aldrei vera til.
Ekki er hægt að slökkva á kerfinu nema það sé tengt við internetið.
Ég vona að ég hafi hrætt þig nógu mikið. Nú skulum við hugsa um hvað við getum gert í því.
Hvað á að gera?!
Ef þú hefur frítíma, löngun og enskukunnáttu, taktu þátt í vinnuhópum eins og IETF og RIPE WG. Þetta eru opnir póstlistar; gerstu áskrifandi að póstlistunum, taktu þátt í umræðum og sæktu ráðstefnur. Ef þú ert með LIR-stöðu geturðu kosið um ýmis verkefni, til dæmis í RIPE.
Fyrir venjulegt dauðlegt fólk er þetta eftirlitAð vita hvað er bilað.
Eftirlit: Hvað á að athuga?
Venjulegt ping, og ekki bara tvíundarprófun á því hvort það virkar eða ekki. Skráðu RTT í söguna svo þú getir komið auga á frávik síðar.
TracerouteÞetta er tól til að ákvarða gagnaleiðir í netum. TCP/IPHjálpar til við að bera kennsl á frávik og stíflur.
HTTP athugar sérsniðnar vefslóðir og TLS vottorð Þau munu hjálpa til við að greina blokkun eða DNS-svik, sem er í raun það sama. Blokkun er oft framkvæmd með DNS-svikum og beina umferð á stubbsíðu.
Ef mögulegt er, láttu viðskiptavini þína finna uppruna þinn frá mismunandi stöðum ef þú ert með forrit. Þetta mun hjálpa þér að greina frávik í DNS-ræningjum, sem þjónustuaðilar gera stundum seka um.
Eftirlit: hvar á að athuga?
Það er ekkert algilt svar. Athugaðu hvaðan notandinn kemur. Ef notendur þínir eru í Rússlandi, athugaðu þaðan, en takmarkaðu þig ekki við það. Ef notendur þínir eru á mismunandi svæðum, athugaðu frá þeim svæðum. En það er betra að athuga hvar sem er í heiminum.
Eftirlit: með hverju á að athuga?
Ég hef fundið upp þrjár leiðir. Ef þið vitið meira, látið mig vita í athugasemdunum.
- RIPE Atlas.
- Eftirlit með viðskiptum.
- Eigin net sýndarvéla.
Við skulum tala um hvert og eitt þeirra.
ÞRÓAÐUR Atlas — þetta er lítill kassi. Fyrir þá sem þekkja rússneska tímaritið „Revizor“, þá er þetta sami kassi, en með öðrum límmiða.
RIPE Atlas er ókeypis forritÞú skráir þig, færð beini sendan í pósti og tengir hann við netið. Þú færð einhverjar einingar þegar einhver annar notar prófið þitt. Þú getur notað þessar einingar til að framkvæma þínar eigin rannsóknir. Þú getur prófað á ýmsa vegu: með ping, traceroute og staðfest vottorð. Umfang prófsins er nokkuð víðtækt, með mörgum hnútum. En það eru nokkrir blæbrigði.
Lánakerfið leyfir ekki smíði framleiðslulausnaÞað eru ekki nægar einingar fyrir áframhaldandi rannsóknir eða viðskiptavöktun. Einingar nægja fyrir stutta rannsókn eða eina skoðun. Daglegt takmörk fyrir eitt sýni er notað af einni eða tveimur skoðunum.
Umfjöllunin er ójöfnÞar sem forritið er ókeypis í báðar áttir er umfangið gott í Evrópu, evrópska hluta Rússlands og sumum svæðum. Hins vegar, ef þú þarft að komast til Indónesíu eða Nýja-Sjálands, er ástandið mun verra - það gætu ekki verið næg sýni í hverju landi.
Þú getur ekki athugað http með sýnishorniÞetta er vegna tæknilegra vandamála. Þeir lofa að laga þetta í næstu útgáfu, en í bili er HTTP staðfesting ekki möguleg. Aðeins er hægt að staðfesta vottorðið. Öll HTTP athugun er aðeins hægt að framkvæma á sérstöku RIPE Atlas tæki sem kallast Anchor.
Önnur aðferðin er viðskiptaeftirlitAllt er í lagi með það, ekki satt? Þú ert að borga peninga, ekki satt? Þeir lofa þér tugum eða hundruðum eftirlitsstaða um allan heim og fallegum mælaborðum strax úr kassanum. En aftur, það eru vandamál.
Það er greitt, sums staðar er það mjögPing-eftirlit, alþjóðlegar athuganir og fjölmargar HTTP-athuganir geta kostað nokkur þúsund dollara á ári. Ef þú hefur efni á því og líkar við þessa lausn, þá skaltu prófa hana.
Þekjan gæti ekki verið nægjanleg á svæðinu sem um ræðirSama ping er notað til að tilgreina, í mesta lagi, almennt svæði í heiminum — Asíu, Evrópu, Norður-Ameríku. Sjaldgæf eftirlitskerfi geta nákvæmt úrtakið niður í tiltekið land eða svæði.
Veikur stuðningur við sérsniðnar prófanirEf þú þarft eitthvað sérsniðið, ekki bara einfalda vefslóð, þá er það líka vandamál.
Þriðja leiðin er þín eigin eftirlitÞetta er klassískt: „Skrifum okkar eigið!“
Innra eftirlit verður að hugbúnaðarþróun, og það dreifðri þróun. Þú leitar að þjónustuaðila innviða, finnur út hvernig á að setja það upp og fylgjast með því – jú, eftirlit þarf að vera fylgst með, ekki satt? Og þú þarft líka stuðning. Hugsaðu þig tvisvar um áður en þú tekur þetta að þér. Það gæti verið auðveldara að borga einhverjum fyrir að gera þetta fyrir þig.
Eftirlit með BGP frávikum og DDoS árásum
Hér, hvað varðar tiltæk úrræði, er allt enn einfaldara. Frávik í BGP eru greind með sérhæfðum þjónustum eins og QRadar og BGPmon.Þeir fá töflur með heildarsýn frá mörgum rekstraraðilum. Byggt á því sem þeir sjá frá mismunandi rekstraraðilum geta þeir greint frávik, leitað að magnurum og fleira. Skráning er venjulega ókeypis — þú slærð inn sjálfvirka kerfisnúmerið þitt, gerist áskrifandi að tölvupósttilkynningum og þjónustan mun láta þig vita af vandamálum þínum.
Það er líka einfalt að fylgjast með DDoS árásum. Venjulega er það NetFlow-byggð og skrárÞað eru til sérhæfð kerfi eins og FastNetMon, einingar fyrir GeggjaðSem síðasta úrræði er DDoS varnaraðilinn þinn. Þú getur líka sent þeim NetFlow gögn og þeir munu nota þau til að láta þig vita af árásum.
Niðurstöður
Ekki gera þér neinar blekkingar - internetið mun örugglega hrynja.Ekki mun allt bila hjá öllum, en 14 atvik árið 2017 benda til þess að svo verði.
Verkefni þitt er að greina vandamál eins snemma og mögulegt er.Að minnsta kosti ekki síðar en notandinn þinn. Það er ekki aðeins nauðsynlegt að taka eftir því, heldur er alltaf nauðsynlegt að hafa „áætlun B“ til taks. Áætlun er stefna um hvað þú ætlar að gera þegar eitthvað fer úrskeiðis.Afritunaraðilar, gagnaver og CDN-net. Áætlun er sérstakur gátlisti sem þú notar til að staðfesta að allt virki rétt. Áætlunin ætti að virka án þess að þörf sé á netverkfræðingum, þar sem þeir eru yfirleitt fáir og þeir eru svefnvana.
Þetta er allt í bili. Ég óska þér mikillar aðgengileika og græns eftirlits.
Í næstu viku í Novosibirsk má búast við sólskini, miklum álagi og mikilli þéttni verktaka Búist er við að fjöldi skýrslna um eftirlit, aðgengi og prófanir, öryggi og stjórnun verði í Síberíu. Búist er við nokkrum dreifðum minnispunktum, tengslamyndun, myndum og færslum á samfélagsmiðlum. Við mælum með að fresta öllum viðburðum 24. og 25. júní. Við erum að bíða eftir þér í Síberíu!
Heimild: www.habr.com
