Den Internet schéngt eng staark, onofhängeg an onverständlech Struktur ze sinn. An der Theorie ass d'Netz staark genuch fir eng nuklear Explosioun ze iwwerliewen. A Wierklechkeet kann den Internet ee klenge Router erofsetzen. Alles well den Internet e Koup Widdersproch, Schwachstelle, Feeler a Videoen iwwer Kazen ass. De Réckgrat vum Internet, BGP, ass voller Problemer. Et ass erstaunlech datt hien nach ëmmer otemt. Nieft Fehler am Internet selwer gëtt et och vun all a verschiddenen gebrach: grouss Internet Ubidder, Entreprisen, Staaten an DDoS Attacken. Wat maache mer doriwwer a wéi liewen domat?
Weess d'Äntwert Alexey Uchakin () ass de Leader vun engem Team vun Netzwierkingenieuren bei IQ Option. Seng Haaptaufgab ass d'Accessibilitéit vun der Plattform fir d'Benotzer. Am Transkript vum Alexey säi Bericht iwwer Loosst eis iwwer BGP, DDOS Attacken, Internetschalter, Providerfehler, Dezentraliséierung a Fäll schwätzen, wann e klenge Router den Internet schlofe geschéckt huet. Um Enn - e puer Tipps wéi all dëst ze iwwerliewen.
Den Dag wou den Internet gebrach ass
Ech zitéieren nëmmen e puer Tëschefäll, wou d'Internetverbindung gebrach ass. Dëst wäert genuch fir de komplette Bild sinn.
"AS7007 Tëschefall". Déi éischte Kéier datt den Internet gebrach ass, war am Abrëll 1997. Et war e Feeler an der Software vun engem Router vum autonome System 7007. Irgendwann huet de Router seng intern Routing-Table fir seng Noperen ugekënnegt an d'Halschent vum Netz an e schwaarzt Lach geschéckt.
"Pakistan géint YouTube". Am Joer 2008 hunn couragéiert Männer aus Pakistan decidéiert YouTube ze blockéieren. Si hunn et esou gutt gemaach, datt d'Halschent vun der Welt ouni Kazen bliwwen ass.
"Fang vu VISA, MasterCard a Symantec Präfixe vu Rostelecom". Am Joer 2017 huet Rostelecom falsch ugefaang d'VISA, MasterCard a Symantec Präfixe matzedeelen. Als Resultat gouf de Finanzverkéier duerch Kanäl gefouert, déi vum Provider kontrolléiert goufen. De Leck huet net laang gedauert, awer et war désagréabel fir Finanzfirmen.
Google vs Japan. Am August 2017 huet Google ugefaang d'Präfixe vu grousse japanesche Fournisseuren NTT a KDDI an e puer vun hiren Uplinks ze verkënnegen. De Verkéier gouf op Google als Transit geschéckt, héchstwahrscheinlech duerch Feeler. Well Google kee Provider ass an den Transitverkéier net erlaabt, ass e groussen Deel vu Japan ouni Internet gelooss.
"DV LINK huet d'Präfixe vu Google, Apple, Facebook, Microsoft ageholl". Och am 2017 huet de russesche Provider DV LINK aus irgendege Grënn ugefaang d'Netzwierker vu Google, Apple, Facebook, Microsoft an e puer aner grouss Spiller ze verkënnegen.
"eNet aus den USA huet AWS Route53 a MyEtherwallet Präfixe festgeholl". Am Joer 2018 huet den Ohio Provider oder ee vu senge Clienten d'Amazon Route53 a MyEtherwallet Krypto Portemonnaie Netzwierker ugekënnegt. D'Attack war erfollegräich: och trotz dem selbst ënnerschriwwenen Zertifikat, eng Warnung iwwer déi de Benotzer beim Agank vun der MyEtherwallet Websäit erschéngt, vill Portemonnaie goufen gekaaft an en Deel vun der Krypto-Währung geklaut.
Alleng am Joer 2017 ware méi wéi 14 esou Tëschefäll! D'Netz ass nach dezentraliséiert, also net alles an net jiddereen brécht. Awer et ginn Dausende vun Tëschefäll, all am Zesummenhang mam BGP Protokoll deen den Internet dréit.
BGP a seng Problemer
Protokoll BGP - Grenz Gateway Protokoll, gouf fir d'éischt am 1989 vun zwee Ingenieuren vun IBM a Cisco Systems op dräi "Servietten" beschriwwen - A4 Blieder. Dës sëtzt nach ëmmer um Cisco Systems Sëtz zu San Francisco als Reliquie vun der Netzwierkwelt.
De Protokoll baséiert op der Interaktioun vun autonome Systemer - Autonom Systemer oder AS fir kuerz. En autonome System ass einfach eng ID un déi IP Netzwierker am ëffentleche Registry zougewisen sinn. E Router mat dëser ID kann dës Netzwierker der Welt annoncéieren. Deementspriechend kann all Streck um Internet als Vektor duergestallt ginn, dee genannt gëtt AS Path. De Vektor besteet aus den Zuelen vun autonome Systemer, déi duerchgestrachen musse ginn fir d'Zielnetz z'erreechen.
Zum Beispill gëtt et en Netz vun enger Rei vun autonome Systemer. Dir musst vum AS65001 System op den AS65003 System kommen. De Wee vun engem System gëtt vum AS Path am Diagramm vertruede. Et besteet aus zwee autonom Systemer: 65002 an 65003. Fir all Destinatiounsadress gëtt et en AS Path-vektor, deen aus den Zuelen vun autonome Systemer besteet, déi mir mussen duerchgoën.
Also wat sinn d'Problemer mat BGP?
BGP ass e Vertrauensprotokoll
De BGP Protokoll ass Vertrauensbaséiert. Dëst bedeit datt mir eisem Noper als Standard vertrauen. Dëst ass eng Feature vu ville Protokoller, déi am Sonnenopgang vum Internet entwéckelt goufen. Loosst eis erausfannen wat "Vertrauen" heescht.
Keng Noper Authentifikatioun. Formell gëtt et MD5, awer MD5 am Joer 2019 ass just dat ...
Keng Filterung. BGP huet Filteren a si beschriwwen, mä si sinn net benotzt oder falsch benotzt. Firwat erkläre ech spéider.
Et ass ganz einfach e Quartier opzebauen. E Quartier am BGP Protokoll op bal all Router opzestellen ass e puer Zeilen vun der Konfiguratioun.
Nee BGP Gestioun Rechter néideg. Dir braucht keng Examen ze maachen fir Är Qualifikatiounen ze beweisen. Keen wäert Är Rechter fir BGP configuréieren iwwerdeems gedronk huelen ewech.
Zwee Haaptproblemer
Präfix kapéiert. Präfix Hijacking ass Reklamm fir en Netz deen Iech net gehéiert, sou wéi de Fall mat MyEtherwallet. Mir hunn e puer Präfixe geholl, mat dem Provider ausgemaach oder gehackt, an duerch et annoncéieren mir dës Netzwierker.
Route Leckage. Leaks sinn e bësse méi komplizéiert. Leck ass eng Ännerung am AS Path. Am beschten wäert d'Ännerung zu enger méi grousser Verspéidung féieren, well Dir musst eng méi laang Streck oder op e manner capacious Link reesen. Am schlëmmste Fall wäert de Fall mat Google a Japan widderholl ginn.
Google selwer ass keen Bedreiwer oder en autonomen Transitsystem. Mä wann hien annoncéiert d'Netzwierker vun japanesch Opérateuren sengem Provider, Traffic duerch Google via AS Path war als méi héich Prioritéit gesinn. Den Traffic ass dohinner gaang an ass einfach erofgaang well d'Routing-Astellunge bannent Google méi komplex sinn wéi just Filteren op der Grenz.
Firwat funktionnéieren Filteren net?
Kee këmmert sech. Dëst ass den Haaptgrond - keen ass egal. Den Administrateur vun engem klenge Provider oder Firma, déi mam Provider iwwer BGP verbonnen ass, huet MikroTik geholl, BGP drop konfiguréiert a weess net emol datt Filteren do konfiguréiert kënne ginn.
Configuratioun Feeler. Si hunn eppes gemëscht, e Feeler an der Mask gemaach, déi falsch Mesh gemaach - an elo gëtt et erëm e Feeler.
Keng technesch Méiglechkeet. Zum Beispill, Telekom Provider hunn vill Clienten. Op eng intelligent Manéier sollt Dir automatesch Filtere fir all Client aktualiséieren - gitt sécher datt hien en neit Netz huet, datt hien säin Netz un engem gelount huet. Et ass schwéier dëst ze verfollegen, an nach méi schwéier mat Ären Hänn. Dofir installéiere se einfach entspaant Filteren oder installéiere guer keng Filteren.
Ausnahmen. Et gi Ausnahmen fir beléifte a grouss Clienten. Besonnesch am Fall vun Inter-Operateur Interfaces. Zum Beispill, TransTeleCom a Rostelecom hunn eng Rëtsch Netzwierker an et gëtt en Interface tëscht hinnen. Wann d'Gelenk fällt, wäert et fir jiddereen net gutt sinn, sou datt d'Filtere entspaant oder komplett ofgeschaaft ginn.
Verännert oder irrelevant Informatioun am IRR. Filtere gi gebaut op Basis vun Informatioun déi opgeholl gëtt IRR - Internet Routing Registry. Dëst sinn Registry vun regionalen Internet Registrars. Dacks enthalen d'Registrierungen al oder irrelevant Informatioun, oder béid.
Wien sinn dës Registraren?
All Internetadressen gehéieren der Organisatioun IANA - Internet Assigned Numbers Authority. Wann Dir en IP-Netzwierk vun engem kaaft, kaaft Dir keng Adressen, awer d'Recht se ze benotzen. Adressen sinn eng immateriell Ressource an duerch gemeinsam Accord sinn se all am Besëtz vun der IANA.
De System funktionnéiert esou. IANA delegéiert d'Gestioun vun IP Adressen an autonom Systemnummeren u fënnef regional Registraren. Si erausginn autonom Systemer LIR - lokal Internet Registrars. LIRs verdeelen dann IP Adressen un Endbenotzer.
De Nodeel vum System ass datt jidderee vun de regionalen Registraren seng Registere op seng eege Manéier ënnerhält. Jiddereen huet seng eege Meenung iwwer wéi eng Informatioun an de Registere solle stoen, a wien déi kontrolléiere soll oder net. D'Resultat ass de Chaos, dee mir elo hunn.
Wéi soss kënnt Dir dës Problemer bekämpfen?
IRR - mëttelméisseg Qualitéit. Et ass kloer mat IRR - alles ass schlecht do.
BGP-Communautéiten. Dëst ass e puer Attributer dat am Protokoll beschriwwe gëtt. Mir kënnen zum Beispill eng speziell Gemeinschaft un eis Ukënnegung uschléissen, fir datt en Noper net eis Netzwierker un seng Noperen schéckt. Wa mir e P2P Link hunn, tausche mir nëmmen eis Netzwierker. Fir ze verhënneren datt de Wee zoufälleg an aner Netzwierker geet, addéiere mir Gemeinschaft.
Communautéiten sinn net transitiv. Et ass ëmmer e Kontrakt fir zwee, an dëst ass hiren Nodeel. Mir kënnen keng Gemeinschaft zouginn, mat Ausnam vun enger, déi vu jidderengem akzeptéiert gëtt. Mir kënnen net sécher sinn datt jiddereen dës Gemeinschaft akzeptéiert an se richteg interpretéiert. Dofir, am beschte Fall, wann Dir mat Ärem Uplink averstane sidd, wäert hien verstoen wat Dir vun him wëllt a punkto Gemeinschaft. Awer Ären Noper versteet vläicht net, oder de Bedreiwer wäert Ären Tag einfach zrécksetzen, an Dir wäert net erreechen wat Dir wollt.
RPKI + ROA léist nëmmen e klengen Deel vun de Problemer. RPKI ass Ressource Ëffentlech Schlëssel Infrastruktur - e spezielle Kader fir Routinginformatioun z'ënnerschreiwen. Et ass eng gutt Iddi LIRs an hir Clienten ze zwéngen eng aktuell Adressraumdatenbank z'erhalen. Mä et ass ee Problem mat et.
RPKI ass och en hierarchesche ëffentleche Schlësselsystem. IANA huet e Schlëssel aus deem RIR Schlësselen generéiert ginn, a vun deenen LIR Schlësselen generéiert ginn? mat deem se hiren Adressraum ënnerschreiwen mat ROAs - Route Origin Authorisations:
— Ech versécheren Iech, datt dëse Präfix am Numm vun dëser autonomer Regioun ugekënnegt gëtt.
Zousätzlech zu ROA ginn et aner Objeten, awer méi iwwer si méi spéit. Et schéngt wéi eng gutt an nëtzlech Saach. Awer et schützt eis net vu Leckage vum Wuert "iwwerhaapt" a léist net all Probleemer mat Präfixenkaping. Dofir sinn d'Spiller net presséiert et ëmzesetzen. Obwuel et scho Versécherungen vu grousse Spiller wéi AT&T a grouss IX Firmen sinn, déi Präfixe mat engem ongültege ROA-Rekord falen.
Vläicht wäerten se dat maachen, awer fir de Moment hu mir eng riesech Unzuel vu Präfixe déi op kee Fall ënnerschriwwe sinn. Engersäits ass et net kloer, ob se valabel ugekënnegt ginn. Op der anerer Säit kënne mir se als Standard net falen, well mir net sécher sinn ob dat richteg ass oder net.
Wat gëtt et nach?
BGPSec. Dëst ass eng cool Saach, déi d'Akademiker fir e Netzwierk vu rosa Ponyen erfonnt hunn. Si soten:
- Mir hunn RPKI + ROA - e Mechanismus fir Adressraum Ënnerschrëften z'iwwerpréiwen. Loosst eis eng separat BGP Attribut erstellen an et BGPSec Path nennen. All Router ënnerschreift mat senger eegener Ënnerschrëft d'Ukënnegung, déi hien un seng Noperen annoncéiert. Op dës Manéier kréie mir e vertrauenswürdege Wee aus der Kette vun ënnerschriwwenen Ukënnegungen a kënne se iwwerpréiwen.
Gutt an der Theorie, awer an der Praxis ginn et vill Problemer. BGPSec brécht vill existent BGP Mechanik fir d'nächst Hopp ze wielen an den Entréeën / erausginn Traffic direkt um Router ze managen. BGPSec funktionnéiert net bis 95% vum ganze Maart et ëmgesat hunn, wat u sech eng Utopie ass.
BGPSec huet enorm Leeschtungsproblemer. Op der aktueller Hardware ass d'Geschwindegkeet fir d'Ukënnegung ze kontrolléieren ongeféier 50 Präfixe pro Sekonn. Zum Verglach: den aktuellen Internet-Tabell mat 700 Präfixe gëtt a 000 Stonnen eropgelueden, während deenen se sech nach 5 Mol änneren.
BGP Open Policy (Rollebaséiert BGP). Frësch Propositioun baséiert op dem Modell Gao-Rexford. Dëst sinn zwee Wëssenschaftler déi BGP fuerschen.
De Gao-Rexford Modell ass wéi follegt. Fir ze vereinfachen, mat BGP ginn et eng kleng Unzuel vun Typen vun Interaktiounen:
- Provider Client;
- P2P;
- intern Kommunikatioun, soen iBGP.
Baséierend op d'Roll vum Router ass et scho méiglech bestëmmte Import-/Export-Politik par défaut ze ginn. Den Administrateur brauch keng Präfixlëschten ze konfiguréieren. Baséierend op d'Roll, déi d'Router ënnerenee stëmmen an déi kënne gesat ginn, kréie mir schonn e puer Standardfilter. Dëst ass de Moment en Entworf, deen am IETF diskutéiert gëtt. Ech hoffen, datt mir dat geschwënn a Form vun engem RFC an Implementatioun op Hardware gesinn.
Grouss Internet Ubidder
Loosst eis d'Beispill vun engem Provider kucken CenturyLink. Et ass den drëttgréissten US Provider, servéiert 37 Staaten an huet 15 Datenzenteren.
Am Dezember 2018 war CenturyLink fir 50 Stonnen um US Maart. Wärend dem Tëschefall goufen et Probleemer mat der Operatioun vun Geldautomaten an zwee Staaten, an d'911 Nummer huet e puer Stonnen a fënnef Staaten net geschafft. D'Lotterie zu Idaho war komplett ruinéiert. Den Tëschefall ass am Moment ënner Enquête vun der US Telecommunications Commission.
D'Ursaach vun der Tragedie war eng Netzwierkkaart an engem Datenzenter. D'Kaart ass falsch funktionéiert, falsch Päck geschéckt, an all 15 Datenzentere vum Provider sinn erofgaang.
D'Iddi huet fir dëse Provider net geschafft "ze grouss fir ze falen". Dës Iddi funktionnéiert guer net. Dir kënnt all grousse Spiller huelen an e puer kleng Saachen op erop setzen. D'USA maachen et nach ëmmer gutt mat Konnektivitéit. CenturyLink Clienten, déi eng Reserve haten, sinn an Drëpsen eragaangen. Dunn hunn alternativ Bedreiwer beschwéiert iwwer hir Linken iwwerlaascht.
Wann de bedingte Kazakhtelecom fällt, gëtt d'ganz Land ouni Internet verlooss.
Firmen
Wahrscheinlech ënnerstëtzen Google, Amazon, FaceBook an aner Firmen den Internet? Nee, si briechen et och.
An 2017 zu Sankt Petersburg op der ENOG13 Konferenz Jeff Houston aus APNIK agefouert . Et seet datt mir gewinnt sinn datt Interaktiounen, Geldfluss a Verkéier um Internet vertikal sinn. Mir hu kleng Fournisseuren déi fir Konnektivitéit zu gréisser bezuelen, a si scho fir Konnektivitéit ze global Transitstreck bezuelen.
Elo hu mir esou eng vertikal orientéiert Struktur. Alles wier gutt, awer d'Welt ännert sech - grouss Akteuren bauen hir transoceanic Kabelen fir hir eege Backbonen ze bauen.
Neiegkeeten iwwer CDN Kabel.
Am Joer 2018 huet TeleGeography eng Etude verëffentlecht datt méi wéi d'Halschent vum Traffic um Internet net méi den Internet ass, mee d'Backbones CDN vu grousse Spiller. Dëst ass Traffic dee mam Internet verbonnen ass, awer dëst ass net méi de Reseau vu mir geschwat hunn.
Den Internet brécht an eng grouss Rei vu locker verbonne Netzwierker op.
Microsoft huet säin eegent Netzwierk, Google huet säin eegent, a si hu wéineg iwwerlappt mateneen. Traffic, deen iergendwou an den USA entstanen ass, geet duerch Microsoft Channels iwwer den Ozean an Europa iergendwou op engem CDN, dann duerch CDN oder IX verbënnt et mat Ärem Provider a kënnt op Äre Router.
Dezentraliséierung verschwënnt.
Dës Stäerkt vum Internet, deen et hëlleft eng Nuklear Explosioun z'iwwerliewen, geet verluer. Plazen vun Konzentratioun vun Benotzer a Verkéier schéngen. Wann déi bedingt Google Cloud fällt, ginn et vill Affer gläichzäiteg. Mir hunn dat deelweis gefillt wann Roskomnadzor AWS blockéiert huet. An d'Beispill vun CenturyLink weist, datt och kleng Saachen dofir duergeet.
Virdrun, net alles an net jiddereen gebrach. An Zukunft kënne mir zur Conclusioun kommen, datt mir duerch en Afloss vun engem groussen Acteur vill Saache briechen, op ville Plazen a ville Leit.
Staaten
Staaten sinn nächst an der Linn, an dat ass wat normalerweis mat hinnen geschitt.
Hei ass eise Roskomnadzor guer net emol e Pionéier. Eng ähnlech Praxis vum Internetstopp existéiert am Iran, Indien a Pakistan. An England gëtt et e Gesetzprojet iwwert d'Méiglechkeet den Internet auszeschalten.
All grousse Staat wëll e Schalter kréien fir den Internet auszeschalten, entweder komplett oder deelweis: Twitter, Telegram, Facebook. Et ass net datt se net verstinn datt se ni Erfolleg wäerten, awer si wëllen et wierklech. De Schalter gëtt an der Regel fir politesch Zwecker benotzt - fir politesch Konkurrenten ze eliminéieren, oder d'Wahle kommen no, oder russesch Hacker hunn erëm eppes gebrach.
DDoS Attacken
Ech huelen net Brout vu menge Komeroden aus Qrator Labs, si maachen et vill besser wéi ech. Si hunn op Internet Stabilitéit. An dat hu si am Rapport 2018 geschriwwen.
Déi duerchschnëttlech Dauer vun DDoS Attacken fällt op 2.5 Stonnen. D'Ugräifer fänken och un d'Suen ze zielen, a wann d'Ressource net direkt verfügbar ass, da loossen se se séier eleng.
D'Intensitéit vun den Attacken wiisst. Am Joer 2018 hu mir 1.7 Tb / s um Akamai Netz gesinn, an dëst ass net d'Limite.
Nei Attacke Vektoren entstinn an al ginn intensivéiert. Nei Protokoller entstinn déi ufälleg fir Verstäerkung sinn, an nei Attacke entstinn op existente Protokoller, besonnesch TLS an dergläiche.
De gréissten Deel vum Traffic ass vu mobilen Apparater. Zur selwechter Zäit verännert den Internetverkéier op mobil Clienten. Souwuel déi, déi attackéieren, wéi och déi, déi verdeedegen, mussen domat schaffen.
Invulnerabel - nee. Dëst ass d'Haaptidee - et gëtt keen universelle Schutz deen definitiv géint all DDoS schützt.
De System kann net installéiert ginn, ausser et ass mam Internet ugeschloss.
Ech hoffen ech hunn dech genuch Angscht gemaach. Loosst eis elo iwwerdenken wat mir doriwwer maache sollen.
Wat kann een maachen?!
Wann Dir Fräizäit, Wonsch a Wëssen vun Englesch hutt, huelt un Aarbechtsgruppen deel: IETF, RIPE WG. Dëst sinn oppe Maillëschten, abonnéieren op Mailinglëschten, deelhuelen un Diskussiounen, kommen op Konferenzen. Wann Dir LIR Status hutt, kënnt Dir zum Beispill an RIPE fir verschidden Initiativen wielen.
Fir just Stierflecher ass dëst Iwwerwaachung. Fir ze wëssen wat gebrach ass.
Iwwerwaachung: wat ze kontrolléieren?
Regelméisseg Ping, an net nëmmen e binäre Scheck - et funktionnéiert oder net. Rekord RTT an der Geschicht sou datt Dir spéider Anomalien kuckt.
Traceroute. Dëst ass en Utilityprogramm fir Datenrouten op TCP / IP Netzwierker ze bestëmmen. Hëlleft Anomalien a Blockaden z'identifizéieren.
HTTP kontrolléiert fir personaliséiert URLen an TLS Certificaten hëlleft Blockéieren oder DNS Spoofing fir en Attack z'entdecken, wat praktesch d'selwecht ass. D'Blockéierung gëtt dacks duerch DNS Spoofing duerchgefouert an andeems de Traffic op eng Stéck Säit ëmgewandelt gëtt.
Wa méiglech, kontrolléiert Är Clienten hir Entschlossenheet vun Ärem Hierkonft vu verschiddene Plazen wann Dir eng Applikatioun hutt. Dëst hëlleft Iech DNS-Kaping Anomalien z'entdecken, eppes wat d'Provider heiansdo maachen.
Iwwerwachung: wou ze kontrolléieren?
Et gëtt keng universell Äntwert. Kontrolléiert wou de Benotzer hierkënnt. Wann d'Benotzer a Russland sinn, kontrolléiert vu Russland, awer limitéiert Iech net dovun. Wann Är Benotzer a verschiddene Regioune liewen, kontrolléiert dës Regiounen. Awer besser aus der ganzer Welt.
Iwwerwaachung: wat ze kontrolléieren?
Ech koum mat dräi Weeër. Wann Dir méi wësst, schreift an de Kommentaren.
- RIPE Atlas.
- Kommerziell Iwwerwaachung.
- Ären eegene Netzwierk vu virtuelle Maschinnen.
Loosst eis iwwer jiddereng vun hinnen schwätzen.
RIPE Atlas - et ass sou eng kleng Këscht. Fir déi, déi den Haus "Inspekter" kennen - dat ass déiselwecht Këscht, awer mat engem anere Sticker.
RIPE Atlas ass e gratis Programm. Dir registréiert Iech, kritt e Router per Mail a stoppt en an d'Netz. Fir d'Tatsaach, datt een aneren Är Prouf benotzt, Dir kritt e puer Credits. Mat dëse Prêten kënnt Dir e puer Recherche selwer maachen. Dir kënnt op verschidde Weeër testen: Ping, Traceroute, Zertifikater kontrolléieren. D'Ofdeckung ass zimlech grouss, et gi vill Wirbelen. Mee et ginn Nuancen.
De Kredittsystem erlaabt net Produktiounsléisungen ze bauen. Et gëtt net genuch Kreditter fir lafend Fuerschung oder kommerziell Iwwerwaachung. D'Kreditter si genuch fir eng kuerz Studie oder eemoleg Scheck. Déi deeglech Norm vun enger Probe gëtt duerch 1-2 Kontrollen verbraucht.
Ofdeckung ass ongläich. Well de Programm a béid Richtungen gratis ass, ass d'Ofdeckung gutt an Europa, am europäeschen Deel vu Russland an e puer Regiounen. Awer wann Dir Indonesien oder Neuseeland braucht, dann ass alles vill méi schlëmm - Dir hutt vläicht net 50 Proben pro Land.
Dir kënnt net http vun enger Prouf kontrolléieren. Dëst ass wéinst techneschen Nuancen. Si verspriechen et an der neier Versioun ze fixéieren, awer fir de Moment kann http net iwwerpréift ginn. Nëmmen de Certificat kann verifizéiert ginn. Eng Aart vun http Check kann nëmme mat engem speziellen RIPE Atlas Apparat mam Numm Anchor gemaach ginn.
Déi zweet Method ass kommerziell Iwwerwaachung. Alles ass gutt mat him, Dir bezuelt Suen, richteg? Si verspriechen Iech e puer Dosen oder Honnerte vu Iwwerwaachungspunkte ronderëm d'Welt a zéien schéi Dashboards aus der Këscht. Awer erëm, et gi Problemer.
Et gëtt bezuelt, op e puer Plazen ass et ganz. Ping Iwwerwaachung, weltwäit Schecken, a vill http Schecken kënnen e puer dausend Dollar pro Joer kaschten. Wann d'Finanzen et erlaben an Dir hutt dës Léisung gär, gitt vir.
Ofdeckung ass vläicht net genuch an der Regioun vum Interesse. Mat deemselwechte Ping gëtt e Maximum vun engem abstrakte Deel vun der Welt spezifizéiert - Asien, Europa, Nordamerika. Selten Iwwerwachungssystemer kënnen an e spezifescht Land oder Regioun dréien.
Schwaach Ënnerstëtzung fir personaliséiert Tester. Wann Dir eppes Gewunnecht braucht, an net nëmmen e "Curly" op der URL, da gëtt et och Problemer mat deem.
Déi drëtt Manéier ass Är Iwwerwaachung. Dëst ass e Klassiker: "Komm mir schreiwen eis eegen!"
Är Iwwerwaachung verwandelt sech an d'Entwécklung vun engem Softwareprodukt, an e verdeelt. Dir sicht no engem Infrastruktur Provider, kuckt wéi Dir et ofsetzt an iwwerwaacht - Iwwerwaachung muss iwwerwaacht ginn, richteg? An Ënnerstëtzung ass och néideg. Denkt zéng Mol ier Dir dëst iwwerhëlt. Et kann méi einfach sinn een ze bezuelen fir et fir Iech ze maachen.
Iwwerwaachung vun BGP Anomalien an DDoS Attacken
Hei, baséiert op de verfügbare Ressourcen, ass alles nach méi einfach. BGP Anomalien ginn entdeckt mat spezialiséierte Servicer wéi QRadar, BGPmon. Si akzeptéieren eng voll Vue Dësch aus MÉI Opérateuren. Baséierend op wat se vu verschiddene Betreiber gesinn, kënne se Anomalien entdecken, no Verstärker kucken, asw. Aschreiwung ass normalerweis gratis - Dir gitt Är Telefonsnummer, abonnéiert Iech op E-Mail Notifikatiounen, an de Service wäert Iech op Är Probleemer alarméieren.
DDoS Attacken iwwerwaachen ass och einfach. Typesch ass dëst NetFlow-baséiert a Logbicher. Et gi spezialiséiert Systemer wéi FastNetMon, Moduler fir Splunk. Als leschten Auswee gëtt et Ären DDoS Schutz Provider. Et kann och NetFlow lecken an, baséiert op et, wäert et Iech iwwer Attacken an Ärer Richtung informéieren.
Conclusiounen
Hutt keng Illusiounen - den Internet wäert definitiv briechen. Net alles an net jidderee wäert briechen, awer 14 dausend Tëschefäll am Joer 2017 weisen datt et Tëschefäll wäert sinn.
Är Aufgab ass Problemer sou fréi wéi méiglech ze bemierken. Op d'mannst net méi spéit wéi Äre Benotzer. Net nëmmen ass et wichteg ze notéieren, halen ëmmer e "Plan B" an der Reserve. E Plang ass eng Strategie fir wat Dir maache wäert wann alles zerbriechen.: reservéieren Opérateuren, DC, CDN. E Plang ass eng separat Checklëscht géint déi Dir d'Aarbecht vun allem iwwerpréift. De Plang soll ouni d'Bedeelegung vun den Netzwierkingenieuren funktionnéieren, well et normalerweis wéineg vun hinnen sinn a si wëllen schlofen.
Dat ass alles. Ech wënschen Iech héich Disponibilitéit a gréng Iwwerwaachung.
D'nächst Woch zu Novosibirsk Sonn, Héichlast an eng héich Konzentratioun vun Entwéckler erwaart . A Sibirien gëtt eng Front vu Berichter iwwer Iwwerwaachung, Accessibilitéit an Testen, Sécherheet a Gestioun virausgesot. Nidderschlag gëtt erwaart a Form vu geschriwwe Notizen, Netzwierker, Fotoen a Posts op sozialen Netzwierker. Mir recommandéieren all Aktivitéiten op 24. an 25. Juni an . Mir waarden op Iech a Sibirien!
Source: will.com