Netið virðist vera sterkt, sjálfstæð og óslítandi uppbygging. Fræðilega séð er netið nógu sterkt til að lifa af kjarnorkusprengingu. Í raun og veru getur internetið sleppt einum litlum beini. Allt vegna þess að internetið er hrúga af mótsögnum, veikleikum, villum og myndböndum um ketti. Hryggjarstykkið á netinu, BGP, er þrungið vandamálum. Það er ótrúlegt að hann andar enn. Til viðbótar við villur á internetinu sjálfu er það líka brotið af öllum og ýmsu: stórum netveitum, fyrirtækjum, ríkjum og DDoS árásum. Hvað á að gera við það og hvernig á að lifa með því?
Veit svarið Alexey Uchakin () er leiðtogi teymi netverkfræðinga hjá IQ Option. Meginverkefni þess er aðgengi vettvangsins fyrir notendur. Í afriti af skýrslu Alexey um Við skulum tala um BGP, DDOS árásir, netrofa, villur í þjónustuveitum, valddreifingu og tilvik þegar lítill beini sendi internetið að sofa. Í lokin - nokkrar ábendingar um hvernig á að lifa af allt þetta.
Dagurinn sem internetið bilaði
Ég ætla að nefna örfá atvik þar sem nettengingin bilaði. Þetta mun duga fyrir heildarmyndina.
"AS7007 atvik". Fyrsta skiptið sem internetið bilaði var í apríl 1997. Það var villa í hugbúnaði eins beinar frá sjálfvirka kerfinu 7007. Á einhverjum tímapunkti tilkynnti beininn innri leiðartöflu sína til nágranna sinna og sendi helming netsins í svarthol.
„Pakistan gegn YouTube“. Árið 2008 ákváðu hugrakkir krakkar frá Pakistan að loka á YouTube. Þeir gerðu það svo vel að hálfur heimurinn var eftir án katta.
„Fanga VISA, MasterCard og Symantec forskeyti af Rostelecom“. Árið 2017 byrjaði Rostelecom fyrir mistök að tilkynna VISA, MasterCard og Symantec forskeyti. Fyrir vikið var fjármálaumferð flutt í gegnum rásir undir stjórn þjónustuveitunnar. Lekinn varði ekki lengi en hann var óþægilegur fyrir fjármálafyrirtæki.
Google gegn Japan. Í ágúst 2017 byrjaði Google að tilkynna forskeyti helstu japönsku veitenda NTT og KDDI í sumum upptengingum sínum. Umferðin var send til Google sem flutningur, líklega fyrir mistök. Þar sem Google er ekki veitandi og leyfir ekki flutningaumferð, var verulegur hluti Japans án internetsins.
„DV LINK náði forskeytum Google, Apple, Facebook, Microsoft“. Einnig árið 2017 byrjaði rússneska veitandinn DV LINK af einhverjum ástæðum að tilkynna netkerfi Google, Apple, Facebook, Microsoft og nokkurra annarra stórra leikmanna.
„eNet frá Bandaríkjunum hefur náð AWS Route53 og MyEtherwallet forskeytum“. Árið 2018 tilkynnti veitandinn í Ohio eða einn af viðskiptavinum hans Amazon Route53 og MyEtherwallet dulritunarveskisnet. Árásin tókst: jafnvel þrátt fyrir sjálfundirritað vottorð, viðvörun um það birtist notandanum þegar hann fór inn á MyEtherwallet vefsíðuna, var mörgum veskjum rænt og hluta dulritunargjaldmiðilsins stolið.
Það voru meira en 2017 slík atvik bara árið 14! Netið er enn dreifstýrt þannig að ekki er allt og ekki allir að bila. En það eru þúsundir atvika, öll tengd BGP samskiptareglunum sem knýr internetið.
BGP og vandamál þess
Bókun BGP - Border Gateway Protocol, var fyrst lýst árið 1989 af tveimur verkfræðingum frá IBM og Cisco Systems á þremur „servíettum“ - A4 blöðum. Þessar situr enn í höfuðstöðvum Cisco Systems í San Francisco sem minjar um netheiminn.
Bókunin byggir á samspili sjálfstæðra kerfa - Autonomous Systems eða AS í stuttu máli. Sjálfstætt kerfi er einfaldlega auðkenni sem IP-netum er úthlutað í opinberri skráningu. Bein með þessu auðkenni getur tilkynnt umheiminum þessi net. Í samræmi við það er hægt að tákna hvaða leið sem er á netinu sem vektor, sem er kallaður AS leið. Vigurinn samanstendur af fjölda sjálfstæðra kerfa sem þarf að fara yfir til að ná áfanganetinu.
Til dæmis er til netkerfi fjölda sjálfstæðra kerfa. Þú þarft að komast frá AS65001 kerfinu yfir í AS65003 kerfið. Slóðin frá einu kerfi er táknuð með AS Path á skýringarmyndinni. Það samanstendur af tveimur sjálfstæðum kerfum: 65002 og 65003. Fyrir hvert áfangastað er AS Path vektor, sem samanstendur af fjölda sjálfstæðra kerfa sem við þurfum að fara í gegnum.
Svo hver eru vandamálin með BGP?
BGP er traust siðareglur
BGP siðareglur byggjast á trausti. Þetta þýðir að við treystum náunganum sjálfgefið. Þetta er eiginleiki margra samskiptareglna sem voru þróaðar í dögun internetsins. Við skulum reikna út hvað "traust" þýðir.
Engin nágrannaauðkenning. Formlega er til MD5, en MD5 árið 2019 er einmitt það...
Engin síun. BGP er með síur og þeim er lýst, en þær eru ekki notaðar eða notaðar rangt. Ég skal útskýra hvers vegna síðar.
Það er mjög auðvelt að setja upp hverfi. Að setja upp hverfi í BGP samskiptareglunum á næstum hvaða leið sem er er nokkrar línur af stillingunni.
Engin BGP stjórnunarréttindi krafist. Þú þarft ekki að taka próf til að sanna hæfni þína. Enginn mun taka af þér réttindi þín til að stilla BGP á meðan þú er drukkinn.
Tvö meginvandamál
Forskeyti ræning. Forskeytisræning er að auglýsa net sem tilheyrir þér ekki, eins og er með MyEtherwallet. Við tókum nokkur forskeyti, sömdum við þjónustuveituna eða hökkuðum á það og í gegnum það tilkynnum við þessi net.
Leiðarleki. Leki er aðeins flóknari. Leki er breyting á AS Path. Í besta falli mun breytingin hafa í för með sér meiri töf vegna þess að þú þarft að fara lengri leið eða á minna rúmgóða hlekk. Í versta falli verður málið með Google og Japan endurtekið.
Google sjálft er ekki rekstraraðili eða sjálfstætt flutningskerfi. En þegar hann tilkynnti net japönsku rekstraraðila til þjónustuveitanda síns, var umferð í gegnum Google um AS Path litið á sem meiri forgang. Umferð fór þangað og minnkaði einfaldlega vegna þess að leiðarstillingar innan Google eru flóknari en bara síur á landamærunum.
Af hverju virka síur ekki?
Öllum er sama. Þetta er aðalástæðan - engum er sama. Stjórnandi lítillar þjónustuveitu eða fyrirtækis sem tengdist þjónustuveitunni í gegnum BGP tók MikroTik, stillti BGP á það og veit ekki einu sinni að hægt sé að stilla síur þar.
Stillingarvillur. Þeir klúðruðu einhverju, gerðu mistök í grímunni, settu á rangan möskva - og nú eru mistök aftur.
Enginn tæknilegur möguleiki. Til dæmis hafa fjarskiptafyrirtæki marga viðskiptavini. Snjallt er að uppfæra síurnar sjálfkrafa fyrir hvern viðskiptavin - til að fylgjast með því að hann sé með nýtt net, að hann hafi leigt netið sitt út til einhvers. Það er erfitt að fylgja þessu eftir og enn erfiðara með hendurnar. Þess vegna setja þeir einfaldlega slakar síur eða setja alls ekki upp síur.
Undantekningar. Það eru undantekningar fyrir ástsæla og stóra viðskiptavini. Sérstaklega þegar um er að ræða viðmót milli rekstraraðila. Til dæmis, TransTeleCom og Rostelecom hafa fullt af netum og það er tengi á milli þeirra. Ef samskeytin dettur, mun það ekki vera gott fyrir neinn, þannig að síurnar eru slakar á eða fjarlægðar alveg.
Úreltar eða óviðkomandi upplýsingar í IRR. Síur eru byggðar út frá upplýsingum sem eru skráðar í IRR - Internet Routing Registry. Þetta eru skrár svæðisbundinna netritara. Oft innihalda skrár úreltar eða óviðkomandi upplýsingar, eða hvort tveggja.
Hverjir eru þessir skrásetjarar?
Öll netföng tilheyra samtökunum IANA - Internet Assigned Numbers Authority. Þegar þú kaupir IP net af einhverjum ertu ekki að kaupa heimilisföng heldur réttinn til að nota þau. Heimilisföng eru óefnisleg auðlind og samkvæmt sameiginlegu samkomulagi eru þau öll í eigu IANA.
Kerfið virkar svona. IANA felur fimm svæðisskrárstjórum umsjón með IP-tölum og sjálfstætt kerfisnúmer. Þeir gefa út sjálfstæð kerfi LIR - staðbundnir internet skrásetjarar. LIR úthlutar síðan IP tölum til endanotenda.
Ókostur kerfisins er að hver og einn byggðaskrárstjóri heldur sínum skrám á sinn hátt. Hver og einn hefur sínar skoðanir á því hvaða upplýsingar eigi að vera í skrám og hver eigi að athuga þær eða ekki. Niðurstaðan er sú klúður sem við höfum núna.
Hvernig er annars hægt að berjast gegn þessum vandamálum?
IRR - miðlungs gæði. Það er ljóst með IRR - allt er slæmt þar.
BGP-samfélög. Þetta er einhver eiginleiki sem er lýst í bókuninni. Við getum til dæmis tengt sérstakt samfélag við tilkynningu okkar svo að nágranni sendi ekki net okkar til nágranna sinna. Þegar við erum með P2P tengil, skiptum við aðeins um netkerfi okkar. Til að koma í veg fyrir að leiðin fari óvart á önnur net bætum við við samfélagi.
Samfélög eru ekki breytileg. Það er alltaf samningur fyrir tvo og þetta er galli þeirra. Við getum ekki úthlutað neinu samfélagi, nema einu, sem er sjálfgefið samþykkt af öllum. Við getum ekki verið viss um að allir sætti sig við þetta samfélag og túlki það rétt. Þess vegna, í besta falli, ef þú ert sammála uplink þinni, mun hann skilja hvað þú vilt frá honum hvað varðar samfélag. En nágranni þinn skilur kannski ekki, eða símafyrirtækið mun einfaldlega endurstilla merkið þitt og þú munt ekki ná því sem þú vildir.
RPKI + ROA leysir aðeins lítinn hluta vandamálanna. RPKI er Resource Public Key Infrastructure — sérstakur rammi fyrir undirritun leiðarupplýsinga. Það er góð hugmynd að þvinga LIR og viðskiptavini þeirra til að viðhalda uppfærðum heimilisfangagagnagrunni. En það er eitt vandamál við það.
RPKI er einnig stigveldiskerfi almenningslykils. IANA er með lykil sem RIR lyklar eru búnir til og úr hvaða LIR lyklar eru búnir til? sem þeir skrifa undir heimilisfangsrýmið sitt með með því að nota ROAs - Leið upprunaheimildir:
— Ég fullvissa þig um að þetta forskeyti verður tilkynnt fyrir hönd þessa sjálfstjórnarsvæðis.
Auk ROA eru aðrir hlutir, en meira um þá síðar. Það virðist vera gott og gagnlegt. En það verndar okkur ekki fyrir leka frá orðinu „alls“ og leysir ekki öll vandamál með forskeytisrán. Því eru leikmenn ekkert að flýta sér að innleiða það. Þó að það séu nú þegar tryggingar frá stórum aðilum eins og AT&T og stórum IX fyrirtækjum að forskeyti með ógildri ROA skrá verði hætt.
Kannski munu þeir gera þetta, en í augnablikinu erum við með gríðarlegan fjölda af forskeytum sem eru ekki undirrituð á nokkurn hátt. Annars vegar er óljóst hvort þau séu löglega tilkynnt. Á hinn bóginn getum við ekki sleppt þeim sjálfgefið, vegna þess að við erum ekki viss um hvort þetta sé rétt eða ekki.
Hvað er annað?
BGPSec. Þetta er töff hlutur sem fræðimenn komu með fyrir net af bleikum hestum. Þau sögðu:
- Við höfum RPKI + ROA - kerfi til að sannreyna undirskrift heimilisfangarýmis. Búum til sérstaka BGP eigind og köllum það BGPSec Path. Hver leið mun skrifa undir með sinni eigin undirskrift tilkynningarnar sem hann tilkynnir nágrönnum sínum. Þannig munum við fá trausta leið frá keðjunni af undirrituðum tilkynningum og getum athugað það.
Gott í orði, en í reynd eru mörg vandamál. BGPSec brýtur marga núverandi BGP vélfræði til að velja næstu hopp og stjórna komandi/útleiðandi umferð beint á leiðinni. BGPSec virkar ekki fyrr en 95% af öllum markaðnum hafa innleitt það, sem í sjálfu sér er útópía.
BGPSec hefur gríðarleg afköst vandamál. Á núverandi vélbúnaði er hraði að athuga tilkynningar um það bil 50 forskeyti á sekúndu. Til samanburðar: núverandi nettafla með 700 forskeytum verður hlaðið upp eftir 000 klukkustundir, en á þeim tíma mun hún breytast 5 sinnum í viðbót.
BGP opin stefna (BGP með hlutverki). Ný tillaga byggð á fyrirmyndinni Gao-Rexford. Þetta eru tveir vísindamenn sem eru að rannsaka BGP.
Gao-Rexford líkanið er sem hér segir. Til að einfalda, með BGP er lítill fjöldi tegunda samskipta:
- Viðskiptavinur veitanda;
- P2P;
- innri samskipti, segja iBGP.
Byggt á hlutverki leiðarinnar er nú þegar hægt að úthluta ákveðnum inn-/útflutningsreglum sjálfgefið. Kerfisstjórinn þarf ekki að stilla forskeytislista. Byggt á því hlutverki sem beinarnir koma sér saman um og sem hægt er að stilla, fáum við nú þegar nokkrar sjálfgefnar síur. Um er að ræða drög sem eru til umfjöllunar í IETF. Ég vona að fljótlega munum við sjá þetta í formi RFC og útfærslu á vélbúnaði.
Stórar netveitur
Við skulum skoða dæmi um þjónustuveitanda CenturyLink. Það er þriðji stærsti bandaríski veitandinn, þjónar 37 ríkjum og hefur 15 gagnaver.
Í desember 2018 var CenturyLink á Bandaríkjamarkaði í 50 klukkustundir. Á meðan á atvikinu stóð voru vandamál með rekstur hraðbanka í tveimur ríkjum og 911 númerið virkaði ekki í nokkrar klukkustundir í fimm ríkjum. Lottóið í Idaho var gjörspillt. Atvikið er nú til rannsóknar hjá bandaríska fjarskiptanefndinni.
Orsök harmleiksins var eitt netkort í einni gagnaver. Kortið bilaði, sendi ranga pakka og allar 15 gagnaver þjónustuveitunnar fóru niður.
Hugmyndin virkaði ekki fyrir þennan þjónustuaðila "of stór til að falla". Þessi hugmynd gengur alls ekki upp. Þú getur tekið hvaða stóra leikmann sem er og sett smá hluti ofan á. Bandaríkin standa sig enn vel með tengingar. Viðskiptavinir CenturyLink sem áttu varasjóð fóru í hann í hópi. Þá kvörtuðu aðrir rekstraraðilar yfir því að tenglar þeirra væru ofhlaðnir.
Ef skilyrt Kazakhtelecom fellur verður allt landið eftir án internetsins.
Fyrirtæki
Sennilega styðja Google, Amazon, Facebook og önnur fyrirtæki internetið? Nei, þeir brjóta það líka.
Árið 2017 í Sankti Pétursborg á ENOG13 ráðstefnunni Jeff Houston á APNÍKUR kynnt . Þar segir að við séum vön því að samskipti, peningaflæði og umferð á netinu sé lóðrétt. Við erum með litla þjónustuaðila sem borga fyrir tengingu við stærri og þeir borga nú þegar fyrir tengingu við alþjóðlega flutninga.
Nú erum við með svona lóðrétt stillta uppbyggingu. Allt væri í lagi, en heimurinn er að breytast - stórir leikmenn eru að byggja yfirhafsstrengi sína til að byggja upp eigin burðarás.
Fréttir um CDN snúru.
Árið 2018 gaf TeleGeography út rannsókn þar sem meira en helmingur umferðar á internetinu er ekki lengur internetið, heldur burðarás CDN stórra leikmanna. Þetta er umferð sem tengist internetinu en þetta er ekki lengur netið sem við vorum að tala um.
Netið er að sundrast í stóran hóp af laustengdum netkerfum.
Microsoft er með sitt eigið net, Google hefur sitt eigið og þau skarast lítið hvert við annað. Umferð sem átti uppruna sinn einhvers staðar í Bandaríkjunum fer í gegnum Microsoft rásir yfir hafið til Evrópu einhvers staðar á CDN, síðan í gegnum CDN eða IX tengist hún við þjónustuveituna þína og kemst að leiðinni þinni.
Valddreifing er að hverfa.
Þessi styrkur internetsins, sem mun hjálpa því að lifa af kjarnorkusprengingu, er að glatast. Einbeitingarstaðir notenda og umferð birtast. Ef skilyrta Google Cloud fellur verða mörg fórnarlömb í einu. Okkur fannst þetta að hluta til þegar Roskomnadzor lokaði AWS. Og dæmið um CenturyLink sýnir að jafnvel litlu hlutir eru nóg fyrir þetta.
Áður fyrr brotnuðu ekki allt og ekki allir. Í framtíðinni gætum við komist að þeirri niðurstöðu að með því að hafa áhrif á einn stóran aðila getum við brotið niður ýmislegt, víða og hjá mörgum.
Ríki
Ríki eru næst í röðinni og þetta er það sem gerist venjulega fyrir þau.
Hér er Roskomnadzor okkar ekki einu sinni brautryðjandi. Svipuð aðferð við lokun á internetinu er til í Íran, Indlandi og Pakistan. Í Englandi liggur fyrir frumvarp um möguleika á að loka netinu.
Sérhvert stórt ríki vill fá rofa til að slökkva á internetinu, annað hvort alveg eða í hluta: Twitter, Telegram, Facebook. Það er ekki það að þeir skilji ekki að þeir muni aldrei ná árangri, en þeir vilja það virkilega. Rofinn er að jafnaði notaður í pólitískum tilgangi - til að útrýma pólitískum keppinautum, eða kosningar nálgast, eða rússneskir tölvuþrjótar hafa brotið eitthvað aftur.
DDoS árásir
Ég mun ekki taka brauð frá félögum mínum frá Qrator Labs, þeir gera það miklu betur en ég. Þeir hafa um stöðugleika á netinu. Og þetta er það sem þeir skrifuðu í 2018 skýrslunni.
Meðallengd DDoS árása fer niður í 2.5 klukkustundir. Árásarmennirnir byrja líka að telja peninga og ef auðlindin er ekki tiltæk strax þá láta þeir hana fljótt í friði.
Styrkur árása fer vaxandi. Árið 2018 sáum við 1.7 Tb/s á Akamai netinu, og þetta er ekki takmörk.
Nýir árásarvektorar eru að koma fram og gamlir eru að magnast. Nýjar samskiptareglur eru að koma fram sem eru næmar fyrir mögnun og nýjar árásir eru að koma fram á núverandi samskiptareglur, sérstaklega TLS og þess háttar.
Mest af umferðinni er frá farsímum. Á sama tíma færist netumferð til farsímaviðskiptavina. Bæði þeir sem sækja og þeir sem verja þurfa að geta unnið með þetta.
Óviðkvæmur - nei. Þetta er meginhugmyndin - það er engin alhliða vernd sem mun örugglega vernda gegn hvaða DDoS sem er.
Ekki er hægt að setja upp kerfið nema það sé tengt við internetið.
Ég vona að ég hafi hrædd þig nógu mikið. Við skulum nú hugsa um hvað á að gera í því.
Hvað skal gera?!
Ef þú hefur frítíma, löngun og þekkingu á ensku skaltu taka þátt í vinnuhópum: IETF, RIPE WG. Þetta eru opnir póstlistar, gerast áskrifandi að póstlistum, taka þátt í umræðum, koma á ráðstefnur. Ef þú ert með LIR stöðu geturðu kosið td í RIPE fyrir ýmis frumkvæði.
Fyrir aðeins dauðlegir menn er þetta eftirlit. Til að vita hvað er bilað.
Vöktun: hvað á að athuga?
Venjulegur Ping, og ekki aðeins tvöfaldur ávísun - það virkar eða ekki. Skráðu RTT í sögu svo þú getir skoðað frávik síðar.
Traceroute. Þetta er hjálparforrit til að ákvarða gagnaleiðir á TCP/IP netkerfum. Hjálpar til við að greina frávik og stíflur.
HTTP leitar að sérsniðnum vefslóðum og TLS vottorðum mun hjálpa til við að greina blokkun eða DNS skopstæling fyrir árás, sem er nánast það sama. Útilokun er oft framkvæmd með DNS skopstælingum og með því að breyta umferð á stubbsíðu.
Ef mögulegt er, athugaðu ákvörðun viðskiptavina þinna um uppruna þinn frá mismunandi stöðum ef þú ert með umsókn. Þetta mun hjálpa þér að greina frávik í DNS-rán, eitthvað sem veitendur gera stundum.
Vöktun: hvar á að athuga?
Það er ekkert algilt svar. Athugaðu hvaðan notandinn kemur. Ef notendur eru í Rússlandi, athugaðu frá Rússlandi, en takmarkaðu þig ekki við það. Ef notendur þínir búa á mismunandi svæðum skaltu athuga frá þessum svæðum. En betra frá öllum heimshornum.
Vöktun: hvað á að athuga?
Ég kom með þrjár leiðir. Ef þú veist meira, skrifaðu í athugasemdirnar.
- ÞRÓAÐUR Atlas.
- Viðskiptaeftirlit.
- Þitt eigið net af sýndarvélum.
Við skulum tala um hvert þeirra.
ÞRÓAÐUR Atlas - þetta er svo lítill kassi. Fyrir þá sem þekkja innlenda "Inspector" - þetta er sami kassinn, en með öðrum límmiða.
RIPE Atlas er ókeypis forrit. Þú skráir þig, færð beini í pósti og tengir hann við netið. Fyrir þá staðreynd að einhver annar notar sýnishornið þitt færðu nokkrar einingar. Með þessum lánum geturðu gert nokkrar rannsóknir sjálfur. Þú getur prófað á mismunandi vegu: ping, traceroute, athuga vottorð. Umfangið er nokkuð stórt, það eru margir hnútar. En það eru blæbrigði.
Lánakerfið leyfir ekki byggingarframleiðslulausnir. Það verða ekki nægar einingar fyrir áframhaldandi rannsóknir eða viðskiptalegt eftirlit. Einingarnar duga fyrir stuttu námi eða eintökum. Daglegt viðmið úr einu sýni er notað í 1-2 athuganir.
Umfjöllun er misjöfn. Þar sem forritið er ókeypis í báðar áttir er umfjöllunin góð í Evrópu, í evrópska hluta Rússlands og sumum svæðum. En ef þig vantar Indónesíu eða Nýja Sjáland, þá er allt miklu verra - þú ert kannski ekki með 50 sýni í hverju landi.
Þú getur ekki athugað http úr sýnishorni. Þetta er vegna tæknilegra blæbrigða. Þeir lofa að laga það í nýju útgáfunni, en í bili er ekki hægt að athuga http. Aðeins er hægt að staðfesta vottorðið. Einhvers konar http athuga er aðeins hægt að gera á sérstöku RIPE Atlas tæki sem kallast Anchor.
Önnur aðferðin er viðskiptavöktun. Allt er í lagi með hann, þú ert að borga peninga, ekki satt? Þeir lofa þér nokkrum tugum eða hundruðum eftirlitsstaða um allan heim og teikna falleg mælaborð upp úr kassanum. En aftur, það eru vandamál.
Það er borgað, sums staðar mjög. Ping eftirlit, um allan heim athuganir og fullt af http athuga getur kostað nokkur þúsund dollara á ári. Ef fjárhagur leyfir og þér líkar við þessa lausn skaltu halda áfram.
Umfjöllun gæti ekki verið nægjanleg á áhugasviðinu. Með sama ping er að hámarki óhlutbundinn hluti heimsins tilgreindur - Asía, Evrópa, Norður Ameríka. Sjaldgæf vöktunarkerfi geta borið niður í ákveðið land eða svæði.
Veikur stuðningur við sérsniðnar prófanir. Ef þig vantar eitthvað sérsniðið, en ekki bara „krulla“ á slóðinni, þá eru vandamál með það líka.
Þriðja leiðin er eftirlit þitt. Þetta er klassískt: „Við skulum skrifa okkar eigin!
Eftirlit þitt breytist í þróun hugbúnaðarvöru og dreifðrar vöru. Þú ert að leita að innviðaveitu, skoðaðu hvernig á að dreifa og fylgjast með því - eftirlit þarf að fylgjast með, ekki satt? Það þarf líka stuðning. Hugsaðu þig tíu sinnum um áður en þú tekur þetta að þér. Það gæti verið auðveldara að borga einhverjum fyrir að gera það fyrir þig.
Eftirlit með BGP frávikum og DDoS árásum
Hér, miðað við tiltæk úrræði, er allt enn einfaldara. BGP frávik eru greind með því að nota sérhæfða þjónustu eins og QRadar, BGPmon. Þeir samþykkja fullskoðunartöflu frá mörgum rekstraraðilum. Byggt á því sem þeir sjá frá mismunandi rekstraraðilum geta þeir greint frávik, leitað að mögnurum og svo framvegis. Skráning er venjulega ókeypis - þú slærð inn símanúmerið þitt, gerist áskrifandi að tilkynningum í tölvupósti og þjónustan mun láta þig vita af vandamálum þínum.
Það er líka einfalt að fylgjast með DDoS árásum. Venjulega er þetta NetFlow-undirstaða og logs. Það eru sérhæfð kerfi eins og FastNetMon, einingar fyrir Geggjað. Sem síðasta úrræði er DDoS verndaraðilinn þinn. Það getur líka lekið NetFlow og, byggt á því, mun það láta þig vita um árásir í þína átt.
Niðurstöður
Hafið engar blekkingar - internetið mun örugglega brotna. Ekki mun allt og ekki allir brotna, en 14 þúsund atvik árið 2017 gefa í skyn að það verði atvik.
Verkefni þitt er að taka eftir vandamálum eins fljótt og auðið er. Að minnsta kosti, ekki síðar en notandinn þinn. Ekki aðeins er mikilvægt að hafa í huga, hafðu alltaf „Plan B“ í varasjóði. Áætlun er stefna um hvað þú munt gera þegar allt bilar.: varastöðvar, DC, CDN. Áætlun er sérstakur gátlisti sem þú athugar vinnuna á móti. Áætlunin ætti að virka án aðkomu netverkfræðinga, því þeir eru yfirleitt fáir og vilja sofa.
Það er allt og sumt. Ég óska þér mikils framboðs og græns eftirlits.
Í næstu viku er búist við sólskini í Novosibirsk, mikilli álagi og miklum styrk þróunaraðila . Í Síberíu er spáð fyrir framan skýrslur um vöktun, aðgengi og prófanir, öryggi og stjórnun. Gert er ráð fyrir úrkomu í formi krotaðra seðla, neta, ljósmynda og pósta á samfélagsmiðlum. Við mælum með að fresta allri starfsemi 24. og 25. júní og . Við bíðum eftir þér í Síberíu!
Heimild: www.habr.com