Интернет күчтүү, көз карандысыз жана бузулбас структура болуп көрүнөт. Теориялык жактан алганда, тармак өзөктүк жарылууда аман калуу үчүн жетиштүү күчтүү. Чындыгында, Интернет бир кичинекей роутерди таштай алат. Мунун баары, анткени Интернет карама-каршылыктардын, аялуулардын, каталардын жана мышыктар жөнүндө видеолордун үймөгү. Интернеттин негизи, BGP, көйгөйлөр менен толгон. Анын дагы эле дем алып жатканы таң калыштуу. Интернеттин өзүндөгү каталардан тышкары, аны баары жана ар кандай бузушат: ири интернет провайдерлери, корпорациялар, штаттар жана DDoS чабуулдары. Бул тууралуу эмне кылуу керек жана аны менен кантип жашаш керек?
Жоопту билет Алексей Учакин () IQ Option тармагындагы инженерлер тобунун лидери. Анын негизги милдети - колдонуучулар үчүн платформанын жеткиликтүүлүгү. боюнча Алексейдин докладынын стенограммасында Келгиле, BGP, DDOS чабуулдары, Интернет которгучтары, провайдердин каталары, борбордон ажыратуу жана кичинекей роутер интернетти уктап жиберген учурлар жөнүндө сүйлөшөлү. Аягында - мунун баарына кантип аман калуу боюнча бир нече кеңештер.
Интернет бузулган күнү
Мен интернет байланышы үзүлгөн бир нече окуяларды келтирейин. Бул толук сүрөт үчүн жетиштүү болот.
"AS7007 окуясы". Интернет биринчи жолу 1997-жылдын апрель айында бузулган. 7007 автономдуу системасынын бир роутеринин программалык камсыздоосунда мүчүлүштүктөр болгон. Кайсы бир убакта, роутер өзүнүн ички маршруттук таблицасын кошуналарына жарыялап, тармактын жарымын кара тешикке жөнөттү.
"Пакистан YouTube'га каршы". 2008-жылы Пакистандын эр жүрөк жигиттери YouTube сайтын жабууну чечишкен. Алар муну ушунчалык жакшы жасагандыктан, дүйнөнүн жарымы мышыксыз калды.
"VISA, MasterCard жана Symantec префикстерин Ростелеком тарабынан басып алуу". 2017-жылы Ростелеком жаңылыш түрдө VISA, MasterCard жана Symantec префикстерин жарыялай баштаган. Натыйжада, каржылык трафик провайдер тарабынан көзөмөлдөнгөн каналдар аркылуу жүргүзүлдү. Ачуу көпкө созулган жок, бирок каржы компаниялары үчүн жагымсыз болду.
Google Японияга каршы. 2017-жылдын августунда Google NTT жана KDDI негизги жапон провайдерлеринин префикстерин кээ бир шилтемелеринде жарыялай баштады. Трафик Google'га транзит катары жөнөтүлдү, сыягы, жаңылыштык менен. Google провайдер болбогондуктан жана транзиттик трафикке уруксат бербегендиктен, Япониянын олуттуу бөлүгү интернетсиз калган.
"DV LINK Google, Apple, Facebook, Microsoftтун префикстерин басып алды". Ошондой эле 2017-жылы орусиялык DV LINK провайдери эмнегедир Google, Apple, Facebook, Microsoft жана башка негизги оюнчулардын тармактарын жарыялай баштады.
"АКШдан келген eNet AWS Route53 жана MyEtherwallet префикстерин басып алды". 2018-жылы Огайо провайдери же анын кардарларынын бири Amazon Route53 жана MyEtherwallet крипто капчык тармактарын жарыялады. Кол салуу ийгиликтүү болду: MyEtherwallet веб-сайтына киргенде колдонуучуга пайда болгон өз алдынча кол коюлган сертификатка карабастан, көптөгөн капчыктар уурдалып, криптовалютанын бир бөлүгү уурдалган.
2017-жылы эле 14 000ден ашык мындай окуялар болгон! Тармак дагы эле борборлоштурулган эмес, ошондуктан баары эмес, баары бузулат. Бирок миңдеген инциденттер бар, алардын бардыгы Интернетти иштеткен BGP протоколуна байланыштуу.
BGP жана анын көйгөйлөрү
протокол BGP - Border Gateway Protocol, биринчи жолу 1989-жылы IBM жана Cisco Systems компанияларынын эки инженери тарабынан үч "салфетка" - А4 барактарында сүрөттөлгөн. Булар дагы эле тармактык дүйнөнүн калдыктары катары Сан-Францискодогу Cisco Systems башкы кеңсесинде отурушат.
Протокол автономдуу системалардын өз ара аракетине негизделген - Autonomous Systems же кыскача AS. Автономдуу система бул жөн гана IP тармактары мамлекеттик реестрде дайындалган ID. Бул ID менен роутер бул тармактарды дүйнөгө жарыялай алат. Демек, Интернетте каалаган маршруту деп аталган вектор катары көрсөтүлүшү мүмкүн AS Path. Вектор көздөгөн тармакка жетүү үчүн басып өтүү керек болгон автономдуу системалардын санынан турат.
Мисалы, бир катар автономиялуу системалардын тармагы бар. Сиз AS65001 системасынан AS65003 системасына өтүшүңүз керек. Бир системадан келген жол диаграммада AS Path менен көрсөтүлгөн. Ал эки автономдуу системадан турат: 65002 жана 65003. Ар бир көздөгөн дарек үчүн AS Path вектору бар, ал биз өтүшүбүз керек болгон автономдуу системалардын сандарынан турат.
Ошентип, BGP менен кандай көйгөйлөр бар?
BGP ишеним протоколу болуп саналат
BGP протоколу ишенимге негизделген. Бул биз демейки боюнча коңшубузга ишенебиз дегенди билдирет. Бул Интернеттин эң башында иштелип чыккан көптөгөн протоколдордун өзгөчөлүгү. Келгиле, "ишеним" деген эмнени билдирерин карап көрөлү.
Кошунанын аутентификациясы жок. Расмий түрдө MD5 бар, бирок 5-жылы MD2019 бул...
Чыпкалоо жок. BGP чыпкалары бар жана алар сүрөттөлгөн, бирок алар колдонулган эмес же туура эмес колдонулган. Эмнеге экенин кийинчерээк түшүндүрөм.
Аймакты түзүү абдан оңой. Дээрлик бардык роутерде BGP протоколунда коңшулук орнотуу - бул конфигурациянын бир нече саптары.
BGP башкаруу укуктары талап кылынбайт. Сиздин квалификацияңызды далилдөө үчүн экзамен тапшыруунун кереги жок. Мас абалында BGP конфигурациялоо укугуңузду эч ким тартып албайт.
Эки негизги көйгөй
Префикс уурдоо. Префикстерди уурдоо - бул MyEtherwallet сыяктуу сизге таандык эмес тармакты жарнамалоо. Биз кээ бир префикстерди алып, провайдер менен макулдаштык же аны бузуп, ал аркылуу биз бул тармактарды жарыялайбыз.
Маршрут агып жатат. Агышуулар бир аз татаалыраак. Leak - бул AS жолун өзгөртүү. Эң жакшысы, өзгөртүү көбүрөөк кечиктирүүгө алып келет, анткени сиз узунураак каттамда же сыйымдуулугу азыраак шилтемеде жүрүшүңүз керек. Эң жаманы, Google жана Япония менен болгон окуя кайталанат.
Google өзү оператор же транзиттик автономдуу система эмес. Бирок ал өзүнүн провайдерине жапон операторлорунун түйүндөрүн жарыялаганда, AS Path аркылуу Google аркылуу трафик артыкчылыктуу деп эсептелген. Трафик ал жакка барып, жөн эле төмөндөдү, анткени Google ичиндеги маршруттук орнотуулар чек арадагы чыпкаларга караганда татаалыраак.
Эмне үчүн чыпкалар иштебейт?
Эч ким кам көрбөйт. Бул негизги себеп - эч кимге маани бербейт. BGP аркылуу провайдерге туташкан чакан провайдердин же компаниянын администратору MikroTikти алып, ага BGP конфигурациялаган жана ал жерде чыпкаларды конфигурациялоого болорун билбейт.
Конфигурация каталары. Алар бир нерсени чаташтырышты, маскада ката кетиришти, туура эмес тор кийишти - эми дагы ката кетти.
Техникалык мүмкүнчүлүк жок. Мисалы, байланыш операторлорунун кардарлары көп. Акылдуу түрдө, сиз ар бир кардар үчүн чыпкаларды автоматтык түрдө жаңыртышыңыз керек - анын жаңы тармагы бар экенине, ал өз тармагын кимдир бирөөгө ижарага бергенине ынаныңыз. Муну ээрчүү кыйын, ал эми колуңуз менен андан да кыйын. Ошондуктан, алар жөн эле жайбаракат чыпкаларды орнотушат же чыпкаларды такыр орнотпойт.
бөтөнчөлүктөрү. Сүйүктүү жана ири кардарлар үчүн өзгөчөлүктөр бар. Айрыкча операторлор аралык интерфейстерде. Мисалы, TransTeleCom жана Rostelecom бир топ тармактарга ээ жана алардын ортосунда интерфейс бар. Эгерде муун түшүп кетсе, анда ал эч кимге жакшы болбойт, андыктан чыпкалар бошоп калат же толугу менен алынып салынат.
IRRдеги эскирген же тиешеси жок маалымат. Чыпкалар жазылган маалыматтын негизинде курулат IRR - Интернет багыттоо реестри. Бул аймактык интернет регистраторлордун реестрлери. Көбүнчө реестрлер эскирген же тиешеси жок маалыматтарды же экөөнү тең камтыйт.
Бул каттоочулар кимдер?
Бардык интернет даректер уюмга таандык IANA - Интернетке дайындалган номерлер органы. Кимдир бирөөдөн IP тармагын сатып алганда, сиз даректерди эмес, аларды колдонуу укугуна ээ болосуз. Даректер материалдык эмес ресурс болуп саналат жана жалпы макулдашуу боюнча алардын бардыгы IANAга таандык.
Система ушундай иштейт. IANA IP даректерин жана автономдуу системанын номерлерин башкарууну беш аймактык каттоочуга тапшырат. Алар автономдуу системаларды чыгарышат LIR - жергиликтүү интернет каттоочулар. LIRs андан кийин акыркы колдонуучуларга IP даректерди бөлүштүрөт.
Системанын кемчилиги - аймактык каттоочулардын ар бири өзүнүн реестрин өз алдынча жүргүзөт. Реестрлерде кандай маалыматтар камтылууга тийиш, аны ким текшериши керек же текшербеши керектиги боюнча ар кимдин өзүнүн көз карашы бар. Натыйжада бизде азыр баш аламандык пайда болду.
Бул көйгөйлөр менен дагы кантип күрөшө аласыз?
IRR - орточо сапаты. IRR менен түшүнүктүү - ал жерде баары начар.
BGP-коомчулуктар. Бул протоколдо сүрөттөлгөн кээ бир атрибут. Биз, мисалы, кошуна биздин тармактарды кошуналарына жөнөтпөшү үчүн, биз кулактандыруубузга атайын коомчулукту тиркесек болот. Бизде P2P шилтемеси болгондо, биз тармактарыбызды гана алмаштырабыз. Маршрут кокустан башка тармактарга өтүп кетпеши үчүн, биз коомчулукту кошобуз.
Коомчулуктар өтмө эмес. Бул ар дайым эки үчүн келишим, бул алардын кемчилиги. Демейки боюнча бардыгы кабыл алган бир жамаатты кошпогондо, биз эч кандай коомдоштукту дайындай албайбыз. Ар бир адам бул жамаатты кабыл алып, туура чечмелейт деп ишене албайбыз. Ошондуктан, эң жакшы учурда, эгер сиз өзүңүздүн байланышыңызга макул болсоңуз, анда ал сиз андан коомчулукка эмне каалап жатканыңызды түшүнөт. Бирок кошунаңыз түшүнбөй калышы мүмкүн, же оператор жөн эле сиздин тегиңизди баштапкы абалга келтирет, а сиз каалаган нерсеге жете албайсыз.
RPKI + ROA көйгөйлөрдүн аз гана бөлүгүн чечет. RPKI болуп саналат Ресурстук ачык ачкыч инфраструктурасы — маршруттук маалыматка кол коюу үчүн атайын алкак. LIRлерди жана алардын кардарларын заманбап дарек мейкиндигинин маалымат базасын сактоого мажбурлоо жакшы идея. Бирок анын бир көйгөйү бар.
RPKI да иерархиялык ачык ачкыч системасы болуп саналат. IANAда RIR ачкычтары түзүлөт жана кайсы LIR баскычтары түзүлөт? алар ROA аркылуу дарек мейкиндигине кол коюшат - Route Origin Authorizations:
— Бул префикс ушул автономиялуу областтын атынан жарыяланат деп ишендиремин.
ROA тышкары, башка объектилер бар, бирок алар жөнүндө кийинчерээк. Бул жакшы жана пайдалуу нерсе окшойт. Бирок ал бизди "дегеле" деген сөздүн агып кетүүсүнөн коргобойт жана префикстерди уурдоо менен бардык көйгөйлөрдү чечпейт. Ошондуктан, оюнчулар аны ишке ашырууга шашылбайт. AT&T жана ири IX компаниялары сыяктуу ири оюнчулар жараксыз ROA жазуусу бар префикстер алынып салынат деген кепилдиктер бар.
Балким, алар муну жасашат, бирок азыр бизде эч кандай жол менен кол коюлбаган көптөгөн префикстер бар. Бир жагынан, алар жарактуу жарыяланганбы, белгисиз. Башка жагынан алганда, биз аларды демейки боюнча таштай албайбыз, анткени бул туура же туура эмес экенин билбейбиз.
Дагы эмне бар?
BGPSec. Бул академиктер кызгылт понилердин тармагы үчүн ойлоп тапкан сонун нерсе. Алар мындай дешти:
- Бизде RPKI + ROA бар - дарек мейкиндигиндеги кол тамгаларды текшерүү механизми. Келгиле, өзүнчө BGP атрибутун түзүп, аны BGPSec Path деп атайлы. Ар бир роутер кошуналарына жарыялаган кулактандырууларга өзүнүн кол тамгасы менен кол коет. Ушундай жол менен биз кол коюлган кулактандыруулардын чынжырынан ишенимдүү жолду алабыз жана аны текшере алабыз.
Теориялык жактан жакшы, бирок иш жүзүндө көптөгөн көйгөйлөр бар. BGPSec кийинки хоптарды тандоо жана түздөн-түз роутерде кирүүчү/чыгыш трафикти башкаруу үчүн көптөгөн учурдагы BGP механикасын бузат. BGPSec бүт рыноктун 95% аны ишке ашырмайынча иштебейт, бул өзү утопия.
BGPSecтин иштөөдө чоң көйгөйлөрү бар. Учурдагы аппараттык камсыздоодо кулактандырууларды текшерүү ылдамдыгы секундасына болжол менен 50 префиксти түзөт. Салыштыруу үчүн: 700 000 префикстен турган учурдагы интернет таблицасы 5 саатта жүктөлөт, анын ичинде ал дагы 10 жолу өзгөрөт.
BGP ачык саясаты (Ролго негизделген BGP). Моделдин негизинде жаңы сунуш Гао-Рексфорд. Бул BGP изилдеп жаткан эки илимпоз.
Гао-Рексфорд модели төмөнкүдөй. Жөнөкөйлөтүү үчүн, BGP менен өз ара аракеттенүүнүн аз сандагы түрлөрү бар:
- Провайдер Кардар;
- P2P;
- ички байланыш, дейт iBGP.
Маршрутизатордун ролуна жараша, демейки боюнча белгилүү бир импорт/экспорт саясатын дайындоого болот. Администраторго префикс тизмелерин конфигурациялоонун кереги жок. Маршрутизаторлор өз ара макулдашкан жана орнотулушу мүмкүн болгон ролдун негизинде биз демейки чыпкаларды алганбыз. Бул учурда IETFде талкууланып жаткан долбоор. Жакында биз муну RFC жана аппараттык камсыздоодо ишке ашыруу түрүндө көрөбүз деп үмүттөнөм.
Чоң интернет провайдерлери
Келгиле, провайдердин мисалын карап көрөлү CenturyLink. Ал 37 штатты тейлеген жана 15 маалымат борборлору бар АКШнын үчүнчү ири провайдери.
2018-жылдын декабрында CenturyLink АКШ рыногунда 50 саат бою болгон. Окуя учурунда эки штатта банкоматтардын иштешинде көйгөйлөр жаралып, беш штатта 911 номуру бир нече саат иштебей турган. Айдаходогу лотерея толугу менен талкаланды. Окуяны учурда АКШнын телекоммуникациялык комиссиясы иликтеп жатат.
Кырсыктын себеби бир дата борборундагы бир тармактык карта болгон. Карта иштебей калып, туура эмес пакеттерди жөнөтүп, провайдердин бардык 15 маалымат борборлору иштебей калды.
Идея бул камсыздоочу үчүн иштеген жок "жыгылган үчүн өтө чоң". Бул идея такыр иштебейт. Сиз каалаган негизги оюнчуну алып, үстүнө бир нече майда нерселерди коё аласыз. АКШ дагы эле байланыш менен жакшы иштеп жатат. Резервге ээ болгон CenturyLink кардарлары ага топ-топ болуп киришти. Андан кийин альтернативдик операторлор алардын шилтемелери ашыкча жүктөлгөнүнө нааразы болушкан.
Шарттуу “Казактелеком” кулап калса, бүтүндөй өлкө интернетсиз калат.
Корпорациялар
Балким Google, Amazon, FaceBook жана башка корпорациялар интернетти колдойт? Жок, алар да бузушат.
2017-жылы Санкт-Петербург шаарында ENOG13 конференциясында Джефф Хьюстон чейин APnic берилген . Анда биз өз ара аракеттенүү, акча агымы жана Интернеттеги трафик вертикалдуу болууга көнүп калганбыз деп айтылат. Бизде чоңураактарына туташуу үчүн төлөгөн чакан провайдерлер бар жана алар дүйнөлүк транзитке кошулуу үчүн төлөшөт.
Азыр бизде ушундай вертикалдуу структура бар. Баары жакшы болмок, бирок дүйнө өзгөрүп жатат - негизги оюнчулар өз омурткасын куруу үчүн трансокеандык кабелдерин куруп жатышат.
CDN кабели жөнүндө жаңылыктар.
2018-жылы TeleGeography интернеттеги трафиктин жарымынан көбү Интернет эмес, чоң оюнчулардын CDN таянычы экенин изилдөөнү чыгарды. Бул Интернетке байланыштуу трафик, бирок бул биз айтып жаткан тармак эмес.
Интернет эркин туташкан тармактардын чоң топтомуна бөлүнүүдө.
Майкрософттун өзүнүн тармагы бар, Google'дун өзүнүн тармагы бар жана алар бири-бири менен азыраак дал келет. АКШнын кайсы бир жеринде пайда болгон трафик Microsoft каналдары аркылуу океан аркылуу Европага CDN аркылуу, андан кийин CDN же IX аркылуу провайдериңизге туташып, роутериңизге жетет.
Децентрализация жоголуп баратат.
Ядролук жарылуудан аман калууга жардам бере турган интернеттин бул күчү жоголууда. Колдонуучулардын жана трафиктин топтолгон жерлери пайда болот. Шарттуу Google Cloud кулап калса, бир эле учурда көптөгөн курмандыктар болот. Биз муну жарым-жартылай Роскомнадзор AWSти бөгөттөгөндө сездик. Ал эми CenturyLink мисалы бул үчүн кичинекей нерселер да жетиштүү экенин көрсөтүп турат.
Мурда баары эмес, баары эле сынган эмес. Келечекте биз бир негизги оюнчуга таасир этүү менен көп жерде жана көп адамдарда көп нерселерди бузуп алабыз деген жыйынтыкка келишибиз мүмкүн.
Штаттар
Мамлекеттер кезекте турат жана алар менен адатта ушундай болот.
Бул жерде биздин Роскомнадзор такыр пионер да эмес. Интернетти өчүрүү практикасы Иран, Индия жана Пакистанда да бар. Англияда интернетти өчүрүү мүмкүндүгү тууралуу мыйзам долбоору бар.
Кандайдыр бир чоң мамлекет интернетти толугу менен же бөлүктөрүн өчүрүү үчүн которгуч алууну каалайт: Twitter, Telegram, Facebook. Бул алар эч качан ийгиликке жете албасын түшүнүшпөгөндүктөн эмес, бирок алар чындап каалашат. Которуу, эреже катары, саясий максаттарда колдонулат - саясий атаандаштарды жок кылуу үчүн, же шайлоо жакындап калды, же орус хакерлери дагы бир нерсени бузуп салышты.
DDoS чабуулдары
Мен Qrator лабораториясындагы жолдошторумдан нан албайм, алар менден бир топ жакшыраак жасашат. Аларда бар Интернеттин туруктуулугу боюнча. Бул алар 2018-жылдын отчетунда жазган.
DDoS чабуулдарынын орточо узактыгы 2.5 саатка чейин төмөндөйт. Чабуулчулар да акчаны санай башташат, эгерде ресурс дароо жеткиликтүү болбосо, аны тез эле таштап кетишет.
Чабуулдардын интенсивдүүлүгү күч алууда. 2018-жылы биз Akamai тармагында 1.7 Тб/с көрдүк, бул чек эмес.
Жаңы чабуул векторлору пайда болуп, эскилери күч алууда. Күчөтүү үчүн жаңы протоколдор пайда болууда жана учурдагы протоколдорго, өзгөчө TLS жана ушул сыяктууларга жаңы чабуулдар пайда болууда.
Трафиктин көбү мобилдик түзмөктөрдөн. Ошол эле учурда интернет-трафик мобилдик кардарларга өтөт. Муну менен кол салгандар да, коргогондор да иштеши керек.
Кол тийбестик - жок. Бул негизги идея - кандайдыр бир DDoSдан сөзсүз коргой турган универсалдуу коргоо жок.
Системаны Интернетке туташмайынча орнотуу мүмкүн эмес.
Мен сени жетиштүү коркутту деп үмүттөнөм. Эми бул тууралуу эмне кылуу керектиги жөнүндө ойлонуп көрөлү.
Эмне кылуу керек?!
Эгерде сизде бош убактыңыз болсо, каалооңуз жана англис тилин билсеңиз, жумушчу топторго катышыңыз: IETF, RIPE WG. Бул ачык почта тизмелери, почта тизмелерине жазылуу, талкууларга катышуу, конференцияларга келүү. Эгерде сиз LIR статусуна ээ болсоңуз, мисалы, RIPEде ар кандай демилгелерге добуш бере аласыз.
Бул жөн эле өлүктөр үчүн боюнча. Эмне бузулганын билүү үчүн.
Мониторинг: эмнени текшерүү керек?
Кадимки Пинг, жана экилик текшерүү гана эмес - бул иштейт же жок. Аномалияларды кийинчерээк карап көрүү үчүн тарыхка RTT жазыңыз.
Traceroute. Бул TCP/IP тармактарында маалымат каттамдарын аныктоо үчүн пайдалуу программа. Аномалияларды жана бөгөттөрдү аныктоого жардам берет.
HTTP ыңгайлаштырылган URL'дерди жана TLS тастыктамаларын текшерет чабуул үчүн бөгөт коюуну же DNS спуфингди аныктоого жардам берет, бул дээрлик бирдей. Бөгөттөө көбүнчө DNS спуфинги жана трафикти тактоо баракчасына айлантуу аркылуу ишке ашырылат.
Мүмкүн болсо, эгерде сизде арыз бар болсо, кардарларыңыздын ар кайсы жерлерден келип чыккандыгы тууралуу чечимин текшериңиз. Бул сизге DNS уурдоо аномалияларын аныктоого жардам берет, бул провайдерлер кээде жасайт.
Мониторинг: кайда текшерүү керек?
универсалдуу жооп жок. Колдонуучунун кайдан келгенин текшериңиз. Эгер колдонуучулар Россияда болсо, Россиядан текшериңиз, бирок аны менен чектелбеңиз. Эгер колдонуучуларыңыз ар кайсы аймактарда жашаса, бул аймактардан текшериңиз. Бирок дүйнөнүн бардык бурчунан жакшыраак.
Мониторинг: эмнени текшерүү керек?
Мен үч жол менен келдим. Көбүрөөк билсеңиз, комментарийге жазыңыз.
- RIPE Atlas.
- Коммерциялык мониторинг.
- Сиздин виртуалдык машиналар тармагы.
Келгиле, алардын ар бири жөнүндө сөз кылалы.
RIPE Atlas - Бул кичинекей куту. Ата мекендик "Инспекторду" билгендер үчүн - бул бир эле куту, бирок башка чаптама менен.
RIPE Atlas бул бекер программа. Сиз катталып, роутерди почта аркылуу алып, тармакка туташтырасыз. Башка бирөө сиздин үлгүңүздү колдонгону үчүн, сиз кээ бир кредиттерди аласыз. Бул кредиттер менен сиз өз алдынча изилдөө жүргүзө аласыз. Сиз ар кандай жолдор менен сынай аласыз: ping, traceroute, текшерүү сертификаттары. Камтуу бир топ чоң, түйүндөр көп. Бирок нюанстар бар.
Кредиттик система өндүрүштүк чечимдерди курууга жол бербейт. Изилдөө же коммерциялык мониторинг жүргүзүү үчүн кредиттер жетишсиз болот. Кредиттер кыска окуу же бир жолку текшерүү үчүн жетиштүү. Бир улгуден суткалык норма 1—2 чекке керектелет.
Камтуу бир калыпта эмес. Программа эки багытта тең акысыз болгондуктан, Европада, Россиянын европалык бөлүгүндө жана айрым аймактарда камтуу жакшы. Бирок эгер сизге Индонезия же Жаңы Зеландия керек болсо, анда баары андан да жаман - сизде ар бир өлкөдө 50 үлгү жок болушу мүмкүн.
Үлгүдөн http текшере албайсыз. Бул техникалык нюанстар менен шартталган. Алар аны жаңы версияда оңдоону убада кылышууда, бирок азыр http текшерүү мүмкүн эмес. Сертификат гана текшерилиши мүмкүн. http текшерүүнүн кандайдыр бир түрү Anchor деп аталган атайын RIPE Atlas түзмөгүндө гана жасалышы мүмкүн.
Экинчи ыкма - коммерциялык мониторинг. Аны менен баары жакшы, сиз акча төлөп жатасыз, туурабы? Алар сизге дүйнө жүзү боюнча бир нече ондогон же жүздөгөн мониторинг пункттарын убада кылышат жана кутудан кооз панелдерди тартышат. Бирок, дагы бир жолу, көйгөйлөр бар.
Бул акы төлөнөт, кээ бир жерлерде абдан. Пингге мониторинг, дүйнө жүзү боюнча текшерүүлөр жана көптөгөн http текшерүүлөрү жылына бир нече миң долларга кымбатташы мүмкүн. Эгер каржы мүмкүнчүлүк берсе жана бул чечим сизге жакса, уланта бериңиз.
Кызыккан аймакта камтуу жетишсиз болушу мүмкүн. Ошол эле пинг менен дүйнөнүн абстрактуу бөлүгүнүн максимуму көрсөтүлөт - Азия, Европа, Түндүк Америка. Сейрек кездешүүчү мониторинг системалары белгилүү бир өлкөгө же аймакка бурула алат.
Ыңгайлаштырылган тесттер үчүн начар колдоо. Эгер сизге urlдеги "тармал" эмес, салттуу нерсе керек болсо, анда бул жагынан да көйгөйлөр бар.
Үчүнчү жол - бул сиздин мониторингиңиз. Бул классикалык: "Келгиле, өзүбүздү өзүбүз жазалы!"
Сиздин мониторинг программалык продуктуну иштеп чыгууга айланат жана бөлүштүрүлгөн. Сиз инфраструктуралык камсыздоочуну издеп жатасыз, аны кантип жайгаштырууну жана көзөмөлдөөнү карап көрүңүз - мониторингди көзөмөлдөө керек, туурабы? Жана колдоо да талап кылынат. Муну кабыл алуудан мурун он жолу ойлон. Мүмкүн, кимдир-бирөөнүн акысын төлөп берүү оңой болушу мүмкүн.
BGP аномалияларын жана DDoS чабуулдарын көзөмөлдөө
Бул жерде, колдо болгон ресурстардын негизинде, баары дагы жөнөкөй. BGP аномалиялары QRadar, BGPmon сыяктуу атайын кызматтардын жардамы менен аныкталат. Алар бир нече операторлордон толук көрүү таблицасын кабыл алышат. Ар кандай операторлордон көргөн нерселеринин негизинде алар аномалияларды аныктай алышат, күчөткүчтөрдү издей алышат жана башкалар. Каттоо, адатта, акысыз - сиз телефон номериңизди киргизесиз, электрондук почта билдирүүлөрүнө жазыласыз жана кызмат көйгөйлөрүңүз жөнүндө эскертет.
DDoS чабуулдарына мониторинг жүргүзүү да жөнөкөй. Адатта бул NetFlow негизинде жана журналдар. сыяктуу атайын системалар бар FastNetMon, үчүн модулдар Splunk. Акыркы чара катары, сиздин DDoS коргоо провайдериңиз бар. Ал ошондой эле NetFlow агып кетиши мүмкүн жана анын негизинде сиздин багытыңыздагы чабуулдар жөнүндө кабарлайт.
табылгалары
Эч кандай элес болбоңуз - Интернет сөзсүз бузулат. Баары эмес, баары эле сынбайт, бирок 14-жылы 2017 миң окуя инциденттер болоорун кыйытууда.
Сиздин милдетиңиз мүмкүн болушунча эртерээк көйгөйлөрдү байкап калуу. Жок дегенде, колдонуучуңуздан кеч эмес. Белгилей кетчү нерсе гана эмес, ар дайым резервде "Б планын" сактаңыз. План - бул баары бузулганда эмне кыла турган стратегия.: резервдик операторлор, DC, CDN. План бул өзүнчө текшерүү тизмеси, ага каршы сиз бардык нерсенин ишин текшересиз. План тармактык инженерлердин катышуусуз иштеши керек, анткени алар, адатта, аз жана алар уктагысы келет.
Баары болду. Мен сизге жогорку жеткиликтүүлүк жана жашыл мониторинг каалайм.
Кийинки жумада Новосибирскиде күн ачык болуп, иштеп чыгуучулардын жогорку топтолушу күтүлөт . Сибирде мониторинг, жеткиликтүүлүк жана тестирлөө, коопсуздук жана башкаруу боюнча отчеттордун алдыңкы бөлүгү болжолдонууда. Жаан-чачын сызылган жазуулар, тармактар, фотосүрөттөр жана социалдык тармактардагы билдирүүлөр түрүндө күтүлөт. Биз 24 жана 25-июндагы бардык иш-чараларды кийинкиге калтырууну сунуштайбыз жана . Биз сизди Сибирде күтөбүз!
Source: www.habr.com