Înternet avahiyek xurt, serbixwe û nehilweşîn xuya dike. Di teorîyê de, şebek têra xwe xurt e ku ji teqîna nukleerî xilas bibe. Di rastiyê de, Înternet dikare yek routerek piçûk davêje. Hemî ji ber ku Înternet di derheqê pisîkan de komek nakokî, qelsî, xeletî û vîdyoyan e. Bingeha Înternetê, BGP, bi pirsgirêkan tije ye. Ecêb e ku ew hê jî bêhna xwe dide. Ji bilî xeletiyên di Înternetê bixwe de, ew ji hêla her kesî ve jî tê şikandin: pêşkêşkerên Înternetê yên mezin, pargîdanî, dewlet û êrîşên DDoS. Li ser wê çi bikin û çawa bi wê re bijîn?
Bersiv dizane Alexey Uchakin () serokê tîmek endezyarên torê ye li IQ Option. Karê wê yê sereke gihîştina platformê ji bo bikarhêneran e. Di belgeya rapora Alexey de li ser Ka em li ser BGP, êrişên DDOS, guheztinên Internetnternetê, xeletiyên pêşkêşker, desentralîzasyon û bûyerên ku routerek piçûk Înternetê di xew de dişîne biaxivin. Di dawiyê de - çend serişteyên li ser meriv çawa meriv ji van hemîyan bijî.
Roja Înternetê Qut bû
Ez ê tenê çend bûyerên ku pêwendiya Înternetê têk çû behs bikim. Ev ê ji bo wêneya tevahî bes be.
"Bûyera AS7007". Yekem car înternet di nîsana 1997 de qut bû. Di nermalava yek routerê ya pergala xweser a 7007 de xeletiyek hebû. Di demekê de, router tabloya rêwîtiya xweya hundurîn ji cîranên xwe re ragihand û nîvê torê şand çalekek reş.
"Pakistan li dijî YouTube". Di 2008 de, xortên wêrek ji Pakistanê biryar da ku YouTube-ê asteng bikin. Wan ew qas baş kir ku nîvê dinyayê bê pisîk ma.
"Girtina pêşgirên VISA, MasterCard û Symantec ji hêla Rostelecom ve". Di sala 2017 de, Rostelecom bi xeletî dest bi ragihandina pêşgirên VISA, MasterCard û Symantec kir. Wekî encamek, seyrûsefera darayî bi kanalên ku ji hêla pêşkêşker ve têne kontrol kirin ve hate rêve kirin. Lezgîn pir dirêj nekir, lê ji bo pargîdaniyên darayî ne xweş bû.
Google vs Japonya. Di Tebaxa 2017-an de, Google dest bi ragihandina pêşgirên pêşkêşkerên sereke yên Japonî NTT û KDDI di hin girêdanên xwe de kir. Trafîk ji Google re wekî transît hate şandin, bi îhtîmalek mezin bi xeletî. Ji ber ku Google ne pêşkêşker e û rê nade seyrûsefera transît, beşek girîng a Japonyayê bê Înternetê ma.
"DV LINK pêşgirên Google, Apple, Facebook, Microsoft girt". Di sala 2017-an de jî, pêşkêşvanê rûsî DV LINK ji ber hin sedeman dest bi ragihandina torên Google, Apple, Facebook, Microsoft û hin lîstikvanên din ên sereke kir.
"eNet ji Dewletên Yekbûyî pêşgirên AWS Route53 û MyEtherwallet girtiye". Di sala 2018-an de, pêşkêşkerê Ohio an yek ji xerîdarên wê torên berîka krîpto ya Amazon Route53 û MyEtherwallet ragihand. Êrîş bi serketî bû: tevî sertîfîkaya xwe-îmzakirî jî, hişyariyek ku dema têketina malpera MyEtherwallet ji bikarhêner re xuya bû, gelek berîkan hatin revandin û beşek ji pereyê krîptoyê hate dizîn.
Tenê di sala 2017’an de zêdetirî 14 hezar bûyerên wiha çêbûne! Tora hê jî nenavendî ye, ji ber vê yekê ne her tişt û ne her kes têk diçe. Lê bi hezaran bûyer hene, hemî bi protokola BGP ya ku Înternetê hêz dike ve girêdayî ne.
BGP û pirsgirêkên wê
Protokol BGP - Protokola Deriyê Sînor, yekem car di sala 1989-an de ji hêla du endezyarên IBM û Cisco Systems ve li ser sê "napkins" - pelên A4 hate şirove kirin. Eva hîn jî li navenda Cisco Systems li San Francisco wekî bermayek cîhana torê rûdine.
Protokol li ser pêwendiya pergalên xweser e - Pergalên Xweser an bi kurtî AS. Pergalek xweser bi tenê nasnameyek e ku torên IP-yê di qeyda giştî de têne destnîşan kirin. Roterek bi vê nasnameyê dikare van toran ji cîhanê re ragihîne. Li gorî vê yekê, her rêyek li ser Înternetê dikare wekî vektorek, ku jê re tê gotin, were destnîşan kirin AS Path. Vektor ji hejmarên pergalên xweser ên ku divê werin derbas kirin ji bo gihîştina tora armancê pêk tê.
Ji bo nimûne, tora hejmarek pergalên xweser hene. Pêdivî ye ku hûn ji pergala AS65001 bigihîjin pergala AS65003. Rêya ji yek pergalê di diagramê de ji hêla AS Path ve tê destnîşan kirin. Ew ji du pergalên xweser pêk tê: 65002 û 65003. Ji bo her navnîşana armancê vektorek AS Path heye, ku ji hejmarên pergalên xweser ên ku divê em tê de derbas bibin pêk tê.
Ji ber vê yekê pirsgirêkên BGP çi ne?
BGP protokola pêbaweriyê ye
Protokola BGP li ser bingeha baweriyê ye. Ev tê wê wateyê ku em ji cîranê xwe bawer dikin. Ev taybetmendiya gelek protokolan e ku di destpêka Înternetê de hatine pêşve xistin. Ka em fêm bikin ka wateya "bawerî" çi ye.
Nasnameya cîranê tune. Bi fermî, MD5 heye, lê MD5 di sala 2019 de tenê ew e ...
Fîlterkirin tune. Parzûnên BGP hene û ew têne şirove kirin, lê ew nayên bikar anîn an xelet têne bikar anîn. Ez ê paşê rave bikim çima.
Sazkirina taxekê pir hêsan e. Sazkirina taxek di protokola BGP de hema hema li ser her routerê çend rêzikên mîhengê ye.
Ne mafên rêveberiya BGP hewce ne. Hûn ne hewce ne ku hûn îmtîhanan bikin da ku jêhatîbûna xwe îspat bikin. Tu kes dê mafên we ji bo mîhengkirina BGP-ê dema serxweş nestîne.
Du pirsgirêkên sereke
Prefix hijacks. Rakirina pêşgiran reklama tora ku ne aîdî we ye, wekî ku di MyEtherwallet de ye. Me hin pêşgir girtin, bi pêşkêşker re li hev kirin an jî hack kirin, û bi riya wê em van toran radigihînin.
Route leaks. Leaks hinekî tevlihevtir in. Leak di AS Path de guhertinek e. Di çêtirîn de, guhertin dê di derengiyek mezintir de encam bide ji ber ku hûn hewce ne ku rêyek dirêjtir an li ser girêdanek hindiktir bigerin. Ya herî xirab, doza Google û Japonya dê dubare bibe.
Google bixwe ne operatorek an pergalek xweser a transît e. Lê gava ku wî torên operatorên Japonî ji pêşkêşvanê xwe re ragihand, seyrûsefera bi navgîniya Google-ê bi riya AS Path wekî pêşînek bilindtir hate dîtin. Trafîk çû wir û daket tenê ji ber ku mîhengên rêvekirinê di hundurê Google de ji fîlterên li ser sînor tevlihevtir in.
Çima fîlter kar nakin?
Kesî xem nake. Sedema sereke ev e - kes xem nake. Rêvebirê pêşkêşkerek piçûk an pargîdaniyek ku bi pêşkêşkerê bi BGP-ê ve girêdayî ye MikroTik girt, BGP li ser wê mîheng kir û ne jî nizane ku fîlter dikarin li wir werin mîheng kirin.
Çewtiyên veavakirinê. Wan tiştek tevlihev kirin, di maskê de xeletiyek kirin, tevna xelet li xwe kirin - û naha dîsa xeletiyek heye.
Îmkanek teknîkî tune. Mînakî, pêşkêşkerên telekomê gelek xerîdar hene. Tiştê biaqil e ku meriv bixweber fîlteran ji bo her xerîdar nûve bike - ji bo çavdêrîkirina ku wî torgilokek nû heye, ku wî tora xwe ji kesekî re kirê kiriye. Zehmet e ku meriv vê yekê bişopîne, û bi destên xwe hîn dijwartir e. Ji ber vê yekê, ew bi tenê fîlterên rihet saz dikin an jî qet fîlteran saz nakin.
Exceptions. Ji bo xerîdarên hezkirî û mezin îstîsna hene. Bi taybetî di mijara navberên nav-operatorê de. Mînakî, TransTeleCom û Rostelecom komek torgilok hene û di navbera wan de têkiliyek heye. Ger hevbeş têkeve, ew ê ji kesî re ne baş be, ji ber vê yekê fîlter rihet dibin an bi tevahî têne rakirin.
Agahiyên kevnar an negirêdayî di IRR de. Parzûn li ser bingeha agahdariya ku tê de têne tomar kirin têne çêkirin IRR - Registry Routing Internet. Ev qeydên qeydkerên înternetê yên herêmî ne. Bi gelemperî, tomar agahdariya kevnar an negirêdayî, an her du jî hene.
Ev qeydker kî ne?
Hemû navnîşanên Înternetê yên rêxistinê ne IANA - Desthilatdariya Hejmarên Peywirdar ên Înternetê. Dema ku hûn torgilokek IP-yê ji kesek bikirin, hûn navnîşanan nakirin, lê mafê karanîna wan in. Navnîşan çavkaniyek ne maddî ne û bi peymanek hevbeş ew hemî xwediyê IANA ne.
Pergal bi vî rengî dixebite. IANA rêveberiya navnîşanên IP-ê û hejmarên pergalê yên xweser ji pênc qeydên herêmî re şandiye. Ew sîstemên xweser derdixin LIR - qeydên înternetê yên herêmî. Dûv re LIR navnîşanên IP-ê ji bikarhênerên dawîn re vediqetînin.
Kêmasiya pergalê ew e ku her yek ji qeydên herêmî bi awayê xwe tomarên xwe diparêze. Her kes nêrînên xwe hene li ser ka kîjan agahdarî divê di qeydan de hebin, û kî divê an na kontrol bike. Encam ev e ku em niha tevlihev in.
Çawa din hûn dikarin van pirsgirêkan şer bikin?
IRR - kalîteya navîn. Bi IRR re zelal e - her tişt li wir xirab e.
BGP-civakên. Ev hin taybetmendiyek e ku di protokolê de tête diyar kirin. Ji bo ku cîranek şebekeyên me ji cîranên xwe re neşîne, wek nimûne, em dikarin civatek taybetî bi ragihandina xwe ve girêbidin. Gava ku me girêdanek P2P heye, em tenê torên xwe diguhezînin. Ji bo ku rê nehêle ku bi xeletî derbasî torên din bibe, em civatê lê zêde dikin.
Civak ne transîtîv in. Ew her gav ji bo du kesan peymanek e, û ev kêmasiya wan e. Em nikanin tu civatê destnîşan bikin, ji xeynî yekî, ku ji hêla herkesî ve bi xwerû tê pejirandin. Em bawer nakin ku her kes vê civakê qebûl bike û rast şîrove bike. Ji ber vê yekê, di rewşek çêtirîn de, heke hûn bi girêdana xwe re bipejirînin, ew ê fêm bike ku hûn di warê civakê de ji wî çi dixwazin. Lê dibe ku cîranê we fêhm neke, an jî operator dê bi tenê nîşana we ji nû ve bike, û hûn ê negihîjin tiştê ku we dixwest.
RPKI + ROA tenê beşek piçûk a pirsgirêkan çareser dike. RPKI ye Çavkanî Binesaziya Key Giştî - çarçoveyek taybetî ya ji bo îmzekirina agahdariya rêwîtiyê. Ramanek baş e ku meriv LIR û xerîdarên wan neçar bike ku databasek cîhê navnîşana nûjen biparêzin. Lê pirsgirêkek wê heye.
RPKI di heman demê de pergalek mifteya giştî ya hiyerarşîk e. IANA mifteyek heye ku bişkojên RIR jê têne çêkirin, û ji kîjan kilîtên LIR têne çêkirin? bi ku ew cîhê navnîşana xwe bi karanîna ROAs îmze dikin - Destûrnameyên Origin Route:
— Ez we piştrast dikim ku ev pêşgir wê li ser navê vê herêma otonom bê ragihandin.
Ji bilî ROA, tiştên din jî hene, lê paşê bêtir li ser wan. Ew tiştek baş û kêrhatî xuya dike. Lê ew me ji derçûna peyva “hemû” naparêze û hemî pirsgirêkan bi revandina pêşgiran çareser nake. Ji ber vê yekê, lîstikvan di pêkanîna wê de lez nakin. Her çend jixwe ji lîstikvanên mezin ên wekî AT&T û pargîdaniyên mezin ên IX-ê ku pêşgirek bi qeydek ROA-ya nederbasdar re pêşgir hene, dê werin avêtin.
Dibe ku ew ê wiya bikin, lê heya niha hejmareke mezin a pêşgiran hene ku bi ti awayî nayên îmze kirin. Ji aliyekî ve, ne diyar e ka ew bi rewa têne ragihandin an na. Ji hêla din ve, em nikarin wan ji hêla xwerû davêjin, ji ber ku em nebawer in ka ev rast e an na.
Wekî din çi heye?
BGPSec. Ev tiştek xweş e ku akademîsyen ji bo torgilokek ponikên pembe peyda kirin. Wan got:
- Me RPKI + ROA heye - mekanîzmayek ji bo verastkirina îmzeyên cîhê navnîşanê. Werin em taybetmendiyek BGP-ya cihê biafirînin û jê re bibêjin Riya BGPSec. Her router dê bi îmzeya xwe daxuyaniyên ku ji cîranên xwe re ragihandiye îmze bike. Bi vî awayî em ê ji zincîra daxuyaniyên îmzekirî rêyek pêbawer bistînin û karibin wê kontrol bikin.
Di teoriyê de baş e, lê di pratîkê de gelek pirsgirêk hene. BGPSec gelek mekanîka BGP-ya heyî ji bo hilbijartina hopsên din û rêvebirina seyrûsefera hatinî/derketî rasterast li ser routerê dişkîne. BGPSec heta ku 95% ji tevahiya bazarê wê bicîh neanîne kar nake, ku bi serê xwe utopyayek e.
BGPSec pirsgirêkên performansê yên mezin hene. Li ser hardware ya heyî, leza kontrolkirina ragihandinan bi qasî 50 pêşgir serê saniyeyê ye. Ji bo berhevdanê: Tabloya Înternetê ya heyî ya 700 pêşgiran dê di nav 000 demjimêran de were barkirin, di nav wan de dê 5 carên din biguhezîne.
Siyaseta Vekirî ya BGP (BGP-based Role). Pêşniyara nû ya li ser modela bingehîn Gao-Rexford. Ev du zanyar in ku li ser BGP lêkolîn dikin.
Modela Gao-Rexford wiha ye. Ji bo hêsankirinê, bi BGP re hejmarek piçûk cûreyên danûstendinê hene:
- Pêşkêşker Mişterî;
- P2P;
- ragihandina navxweyî, dibêjin iBGP.
Li ser bingeha rola routerê, jixwe gengaz e ku meriv hin polîtîkayên import / hinardekirinê ji hêla xwerû ve were destnîşankirin. Rêvebir ne hewce ye ku navnîşên pêşgiran mîheng bike. Li ser bingeha rola ku router di nav xwe de li ser li hev dikin û ya ku dikare were danîn, em berê hin fîlterên xwerû digirin. Ev niha pêşnûmeyek e ku di IETF de tê nîqaş kirin. Ez hêvî dikim ku di demek nêzîk de em ê vê yekê di forma RFC û pêkanîna li ser hardware de bibînin.
Pêşkêşvanên Înternetê yên mezin
Ka em li mînaka pêşkêşkerek binêrin CenturyLink. Ew sêyemîn pêşkêşvanê herî mezin ê Dewletên Yekbûyî ye, ku ji 37 dewletan re xizmet dike û xwedan 15 navendên daneyê ye.
Di Kanûna 2018-an de, CenturyLink 50 demjimêran li bazara Dewletên Yekbûyî bû. Di dema bûyerê de li du eyaletan di xebitandina bankomatan de pirsgirêk derketin û li 911 eyaletan jî hejmara XNUMX çend saetan nexebitî. Lotikxane li Idaho bi tevahî hilweşiya. Ev bûyer niha ji aliyê Komîsyona Telekomunîkasyonê ya Amerîkayê ve di bin lêpirsînê de ye.
Sedema trajediyê yek karta torê bû di navendek daneyê de. Kart têk çû, pakêtên nerast şandin, û hemî 15 navendên daneyê yên pêşkêşker daketin.
Fikir ji bo vê pêşkêşkerê nexebitî "pir mezin e ku bikeve". Ev fikir qet bi kêr nayê. Hûn dikarin her lîstikvanek sereke bavêjin û hin tiştên piçûk li jor bixin. Dewletên Yekbûyî hîn jî bi girêdanê re baş e. Xerîdarên CenturyLink yên ku rezervek wan hebû bi kom bi kom ketin nav wê. Dûv re operatorên alternatîf gilî kirin ku girêdanên wan zêde bûne.
Ger Kazaktelekoma bi şert têk biçe, dê tevahiya welat bê Înternetê bimîne.
Corporations
Dibe ku Google, Amazon, FaceBook û pargîdaniyên din piştgirî bidin Înternetê? Na, ew jî dişkînin.
Di sala 2017 de li St Jeff Houston ji APnic danasîn . Ew dibêje ku em fêr bûne ku têkilî, herikîna drav û seyrûsefera li ser Înternetê vertîkal be. Pêşkêşkerên me yên piçûk hene ku ji bo girêdana bi yên mezintir re didin, û ew berê jî ji bo girêdana veguhastina gerdûnî didin.
Naha me avahiyek wusa vertîkalî heye. Dê her tişt baş be, lê cîhan diguhere - lîstikvanên sereke kabloyên xwe yên transokyanûsê çêdikin da ku pişta xwe ava bikin.
Nûçeyên di derbarê kabloya CDN de.
Di sala 2018-an de, TeleGeography lêkolînek derxist ku zêdetirî nîvê seyrûsefera li ser Înternetê êdî ne Înternet e, lê pişta CDN-ya lîstikvanên mezin e. Ev seyrûsefera ku bi Înternetê ve girêdayî ye, lê ev êdî ne tora ku me behs dikir e.
Înternet di nav komek mezin a torên ku bi hev ve girêdayî ne parçe dibe.
Microsoft xwedan tora xwe ye, Google xwedan xwedan e, û ew bi hevûdu re hindik in. Trafîka ku li deverek Dewletên Yekbûyî derketiye, bi kanalên Microsoft-ê yên li seranserê okyanûsê digihîje Ewrûpa li cîhek CDN-ê, dûv re bi navgîniya CDN an IX-ê ew bi pêşkêşvanê we re têkildar dibe û digihîje routerê we.
Desentralîzasyon ji holê radibe.
Ev hêza Înternetê, ya ku dê alîkariya wê ji teqîna nukleerî bike, winda dibe. Cihên kombûna bikarhêner û trafîkê xuya dikin. Ger Google Cloud-ya şertî bikeve, dê di carekê de gelek mexdûr hebin. Dema ku Roskomnadzor AWS asteng kir, me ev hinekî hîs kir. Û mînaka CenturyLink nîşan dide ku tiştên piçûk jî ji bo vê yekê bes in.
Berê, ne her tişt û ne her kes şikand. Di pêşerojê de, dibe ku em bigihîjin wê encamê ku bi bandorkirina yek lîstikvanek sereke, em dikarin gelek tiştan, li gelek deveran û di gelek kesan de bişkînin.
Dewletên
Dewlet di rêzê de ne, û ev e ya ku bi gelemperî tê serê wan.
Li vir Roskomnadzorê me qet ne pêşeng e. Li Îran, Hindistan û Pakistanê jî pratîkeke bi vî rengî ya girtina Înternetê heye. Li Îngilîstanê pêşnûmeqanûnek li ser îhtîmala qutkirina înternetê heye.
Her dewletek mezin dixwaze ku veguhezek bigire ku Înternetê bi tevahî an jî beş qut bike: Twitter, Telegram, Facebook. Ne ew e ku ew fêm nakin ku ew ê ti carî biser nekevin, lê ew bi rastî wê dixwazin. Veguheztin, wekî qaîdeyek, ji bo mebestên siyasî tê bikar anîn - ji bo ji holê rakirina hevrikên siyasî, an hilbijartin nêzîk dibin, an jî hackerên rûsî dîsa tiştek şikandine.
Êrîşên DDoS
Ez nanê rêhevalên xwe ji Qrator Labs nagirim, ew ji min gelek çêtir dikin. Ew hene li ser aramiya Înternetê. Û ev e ya ku wan di rapora 2018 de nivîsand.
Demjimêra navînî ya êrîşên DDoS dadikeve 2.5 demjimêran. Êrîşkar jî dest bi jimartina drav dikin, û ger çavkanî tavilê peyda nebe, wê hingê ew zû bi tenê dihêlin.
Her ku diçe tundiya êrîşan zêde dibe. Di sala 2018 de, me 1.7 Tb / s li ser tora Akamai dît, û ev ne sînor e.
Vektorên êrîşê yên nû derdikevin holê û yên kevin jî zêde dibin. Protokolên nû derdikevin holê ku ji zêdebûnê re têkildar in, û êrîşên nû li ser protokolên heyî, nemaze TLS û yên wekî wan derdikevin.
Piraniya trafîkê ji cîhazên mobîl e. Di heman demê de, seyrûsefera Înternetê berbi xerîdarên mobîl ve diçe. Hem yên êrîş dikin û hem jî yên ku diparêzin divê karibin bi vê yekê bixebitin.
Bêhêvî - na. Ev ramana sereke ye - parastinek gerdûnî tune ku bê guman li dijî her DDoS-ê biparêze.
Pergal nikare were saz kirin heya ku bi înternetê ve girêdayî be.
Ez hêvî dikim ku min têra we tirsandibe. Ka em niha li ser wê yekê bifikirin ka emê çi bikin.
Çi bikim?!
Ger wextê we yê vala, daxwaz û zanîna Îngilîzî hebe, beşdarî komên xebatê bibin: IETF, RIPE WG. Ev lîsteyên e-nameyên vekirî ne, bibin aboneyên lîsteyên nameyan, beşdarî nîqaşan bibin, werin konferansan. Ger we statûya LIR heye, hûn dikarin, wek nimûne, li RIPE ji bo înîsiyatîfa cihêreng deng bidin.
Ji bo mirinên tenê ev e çavdêrîkirina. Ji bo ku bizanibin çi şikestiye.
Çavdêrî: Çi kontrol bikin?
Ping normal, û ne tenê kontrolek binary - ew dixebite an na. RTT di dîrokê de tomar bikin da ku hûn paşê li anomaliyan binêrin.
Traceroute. Ev bernameyek bikêr e ji bo destnîşankirina rêyên daneyê li ser torên TCP/IP. Alîkariya naskirina anomalî û astengiyan dike.
HTTP ji bo URLên xwerû û sertîfîkayên TLS kontrol dike dê alîkariya tespîtkirina astengkirin an xapandina DNS-ê ji bo êrîşek bike, ku bi pratîkî heman tişt e. Astengkirin bi gelemperî bi xapandina DNS-ê û bi zivirandina seyrûseferê li ser rûpelek stûyê tête kirin.
Heke gengaz be, heke serîlêdanek we hebe, biryara xerîdarên xwe yên eslê xwe ji cîhên cûda kontrol bikin. Ev ê ji we re bibe alîkar ku hûn anomaliyên revandina DNS-ê bibînin, tiştek ku carinan peydaker dikin.
Çavdêrî: li ku derê kontrol bikin?
Bersiva gerdûnî tune. Kontrol bikin ku bikarhêner ji ku tê. Ger bikarhêner li Rûsyayê ne, ji Rûsyayê kontrol bikin, lê xwe bi wê re sînordar nekin. Ger bikarhênerên we li herêmên cûda dijîn, ji van herêman kontrol bikin. Lê ji çar aliyên cîhanê çêtir e.
Çavdêrî: Çi kontrol bikin?
Ez bi sê awayan hatim. Heke hûn bêtir dizanin, di şîroveyan de binivîsin.
- RIPE Atlas.
- Çavdêriya bazirganî.
- Tora xweya makîneyên virtual.
Ka em li ser her yek ji wan bipeyivin.
RIPE Atlas - ew qutiyek wusa piçûk e. Ji bo kesên ku "Inspector"a navxweyî nas dikin - ev heman qutik e, lê bi çîçek cûda.
RIPE Atlas bernameyek belaş e. Hûn qeyd dikin, routerek bi e-nameyê distînin û wê têxin torê. Ji bo rastiya ku kesek din nimûneya we bikar tîne, hûn hin krediyan digirin. Bi van deynan hûn dikarin xwe hin lêkolînan bikin. Hûn dikarin bi awayên cûda ceribandin: ping, traceroute, sertîfîkayên kontrolê. Vegirtin pir mezin e, gelek nod hene. Lê nuans hene.
Pergala krediyê destûrê nade çareseriyên hilberînê. Ji bo lêkolîna domdar an çavdêriya bazirganî dê kredî têr nebin. Kred ji bo lêkolînek kurt an kontrolek yek carî bes in. Norma rojane ya ji yek nimûneyê bi 1-2 kontrolan tê vexwarin.
Vegirtin nehevseng e. Ji ber ku bername di her du aliyan de belaş e, vegirtin li Ewrûpa, li beşa Ewropî ya Rûsyayê û hin deveran baş e. Lê heke hûn hewceyê Endonezya an Zelanda Nû bin, wê hingê her tişt pir xirabtir e - dibe ku hûn ji her welatekî 50 nimûne nebin.
Hûn nikarin http ji nimûneyê kontrol bikin. Ev ji ber hûrgelên teknîkî ye. Ew soz didin ku wê di guhertoya nû de rast bikin, lê heya niha http nayê kontrol kirin. Tenê sertîfîka dikare were verast kirin. Hin cûreyek kontrolkirina http tenê dikare ji amûrek taybetî ya RIPE Atlas ya bi navê Anchor re were kirin.
Rêbaza duyemîn çavdêriya bazirganî ye. Her tişt bi wî re baş e, hûn drav didin, rast? Ew soz didin we bi dehan an bi sedan xalên çavdêriyê li çaraliyê cîhanê û dashboardên xweşik ji qutiyê derdixin. Lê dîsa jî pirsgirêk hene.
Bi pere ye, li hin cihan pir e. Çavdêriya Ping, kontrolên cîhanê, û gelek kontrolên http dikare salê çend hezar dolar lêçûn. Ger aborî destûr bide û hûn ji vê çareseriyê hez dikin, pêşde biçin.
Dibe ku vegirtin li herêma berjewendî ne bes be. Bi heman ping-ê, herî zêde beşek jêhatî ya cîhanê tête diyar kirin - Asya, Ewropa, Amerîkaya Bakur. Pergalên çavdêriyê yên kêm kêm dikarin li welatek an herêmek taybetî dakêşin.
Piştgiriya qels ji bo ceribandinên xwerû. Ger hewcedariya we bi tiştek xwerû hebe, û ne tenê li ser url-ê "pêlek" e, wê hingê di wê de jî pirsgirêk hene.
Rêya sêyemîn çavdêriya we ye. Ev klasîkek e: "Werin em yên xwe binivîsin!"
Çavdêriya we vediguhere pêşkeftina hilberek nermalavê, û ya belavkirî. Hûn li peydakerek binesaziyê digerin, li ka çawa were danîn û şopandin - binihêrin - pêdivî ye ku çavdêrî were şopandin, rast? Û piştgirî jî hewce ye. Berî ku hûn vê yekê bigirin deh caran bifikirin. Dibe ku hêsantir be ku meriv bidin kesek ku wê ji we re bike.
Çavdêriya anomaliyên BGP û êrîşên DDoS
Li vir, li ser bingeha çavkaniyên berdest, her tişt hê hêsantir e. Anomalîyên BGP bi karanîna karûbarên pispor ên wekî QRadar, BGPmon têne tespît kirin. Ew tabloyek dîtina tevahî ji gelek operatoran qebûl dikin. Li ser bingeha tiştê ku ew ji operatorên cihêreng dibînin, ew dikarin anomaliyan tespît bikin, li amplifikatoran bigerin, û hwd. Qeydkirin bi gelemperî belaş e - hûn jimareya têlefona xwe binivîsin, bibin aboneyên e-nameyê, û karûbar dê we ji pirsgirêkên we hişyar bike.
Çavdêriya êrîşên DDoS jî hêsan e. Bi gelemperî ev e NetFlow-based û têketin. Sîstemên pispor ên mîna hene FastNetMon, modulên ji bo Spunk. Wekî çareya paşîn, peydakarê weya parastina DDoS heye. Di heman demê de ew dikare NetFlow-ê jî derxe û, li ser bingeha wê, ew ê we ji êrîşên di rêça we de agahdar bike.
vebiguherin
Xeyal tune ne - Înternet bê guman dê têk bibe. Ne her tişt û ne her kes wê bişkê, lê di sala 14 de 2017 hezar bûyer nîşan didin ku dê bûyer çêbibin.
Karê we ev e ku hûn bi zûtirîn dem pirsgirêkan bibînin. Bi kêmanî, ne dereng ji bikarhênerê we. Ne tenê girîng e ku meriv bala xwe bide, her gav "Plan B" di rezervan de bimîne. Planek stratejiyek e ku hûn ê çi bikin dema ku her tişt hilweşe.: operatorên rezervan, DC, CDN. Planek navnîşek kontrolê ya cihê ye ku li hemberê wê hûn xebata her tiştî kontrol dikin. Pêdivî ye ku plan bêyî tevlêbûna endezyarên torê bixebite, ji ber ku bi gelemperî hindik ji wan hene û ew dixwazin razin.
Navê pêger. Ez ji we re hebûna bilind û çavdêriya kesk dixwazim.
Hefteya pêş me li Novosibirsk tava rojê, bargiraniyek zêde û mezinbûna pêşdebiran tê çaverê kirin . Li Sîbîryayê, pêşiya raporên li ser şopandin, gihîştin û ceribandin, ewlehî û rêveberiyê tê pêşbînîkirin. Tê payîn ku baran bi awayê notên niviskî, toran, wêne û postên li ser torên civakî bibare. Em pêşniyar dikin ku hemû çalakiyên di 24 û 25ê Hezîranê de werin paşxistin . Em li Sîbîryayê li benda we ne!
Source: www.habr.com