Atrodo, kad internetas yra stipri, nepriklausoma ir nesunaikinama struktūra. Teoriškai tinklas yra pakankamai stiprus, kad išgyventų branduolinį sprogimą. Iš tikrųjų internetas gali numesti vieną mažą maršrutizatorių. Viskas dėl to, kad internetas yra daugybė prieštaravimų, pažeidžiamumų, klaidų ir vaizdo įrašų apie kates. Interneto stuburas BGP yra kupinas problemų. Nuostabu, kad jis vis dar kvėpuoja. Be klaidų pačiame internete, jį taip pat laužo visi ir įvairūs: dideli interneto tiekėjai, korporacijos, valstybės ir DDoS atakos. Ką su tuo daryti ir kaip su tuo gyventi?
Žino atsakymą Aleksejus Uchakinas () yra „IQ Option“ tinklo inžinierių komandos vadovas. Pagrindinė jo užduotis yra platformos prieinamumas vartotojams. Aleksejaus pranešimo stenogramoje apie Pakalbėkime apie BGP, DDOS atakas, interneto komutatorius, tiekėjų klaidas, decentralizaciją ir atvejus, kai mažas maršrutizatorius nusiuntė internetą miegoti. Pabaigoje – pora patarimų, kaip visa tai išgyventi.
Diena, kai nutrūko internetas
Paminėsiu tik kelis incidentus, kai nutrūko interneto ryšys. To pakaks pilnam vaizdui.
„AS7007 incidentas“. Pirmą kartą internetas nutrūko 1997 metų balandį. Vieno maršrutizatoriaus programinėje įrangoje buvo klaida iš autonominės sistemos 7007. Tam tikru momentu maršrutizatorius paskelbė savo vidinę maršruto lentelę savo kaimynams ir pusę tinklo nusiuntė į juodąją skylę.
„Pakistanas prieš „YouTube“. 2008 m. drąsūs vaikinai iš Pakistano nusprendė užblokuoti „YouTube“. Jiems tai pavyko taip gerai, kad pusė pasaulio liko be kačių.
„Visa“, „MasterCard“ ir „Symantec“ kodų užfiksavimas, naudojant „Rostelecom“. 2017 m. Rostelecom per klaidą pradėjo skelbti VISA, MasterCard ir Symantec prefiksus. Dėl to finansinis srautas buvo nukreiptas tiekėjo kontroliuojamais kanalais. Nutekėjimas truko neilgai, tačiau buvo nemalonus finansų įmonėms.
„Google“ prieš Japoniją. 2017 m. rugpjūčio mėn. Google pradėjo skelbti pagrindinių Japonijos tiekėjų NTT ir KDDI prefiksus kai kuriose savo nuorodose. Eismas buvo išsiųstas „Google“ kaip viešasis transportas, greičiausiai per klaidą. Kadangi „Google“ nėra tiekėjas ir neleidžia tranzitinio srauto, didelė Japonijos dalis liko be interneto.
„DV LINK užfiksavo Google, Apple, Facebook, Microsoft prefiksus“. Taip pat 2017 m. Rusijos tiekėjas DV LINK kažkodėl pradėjo skelbti apie Google, Apple, Facebook, Microsoft ir kai kurių kitų pagrindinių žaidėjų tinklus.
„eNet iš JAV užfiksavo AWS Route53 ir MyEtherwallet prefiksus“. 2018 m. Ohajo paslaugų teikėjas arba vienas iš jo klientų paskelbė apie „Amazon Route53“ ir „MyEtherwallet“ kriptovaliutų piniginės tinklus. Ataka buvo sėkminga: net nepaisant savarankiškai pasirašyto sertifikato, apie kurį vartotojui pasirodė įspėjimas įėjus į „MyEtherwallet“ svetainę, buvo užgrobta daug piniginių ir pavogta dalis kriptovaliutos.
Vien per 2017 metus tokių incidentų buvo daugiau nei 14 000! Tinklas vis dar decentralizuotas, todėl ne viskas ir ne visi genda. Tačiau yra tūkstančiai incidentų, visi susiję su BGP protokolu, kuris maitina internetą.
BGP ir jo problemos
Protokolas BGP – Border Gateway Protocol1989 m. pirmą kartą aprašė du IBM ir Cisco Systems inžinieriai ant trijų „servetėlių“ – A4 formato lapų. Šie vis dar sėdi Cisco Systems būstinėje San Franciske kaip tinklų pasaulio reliktas.
Protokolas pagrįstas autonominių sistemų sąveika - Autonominės sistemos arba AS trumpiau. Autonominė sistema yra tiesiog ID, kuriam viešajame registre priskiriami IP tinklai. Maršrutizatorius su šiuo ID gali pranešti apie šiuos tinklus pasauliui. Atitinkamai, bet koks maršrutas internete gali būti pavaizduotas kaip vektorius, kuris vadinamas AS kelias. Vektorius susideda iš autonominių sistemų, kurias reikia pereiti, kad pasiektų paskirties tinklą, skaičius.
Pavyzdžiui, yra kelių autonominių sistemų tinklas. Iš AS65001 sistemos turite pereiti prie AS65003 sistemos. Kelias iš vienos sistemos diagramoje pavaizduotas AS Path. Jį sudaro dvi autonominės sistemos: 65002 ir 65003. Kiekvienam paskirties adresui yra AS Path vektorius, kurį sudaro autonominių sistemų, kurias turime pereiti, skaičius.
Taigi, kokios yra BGP problemos?
BGP yra pasitikėjimo protokolas
BGP protokolas yra pagrįstas pasitikėjimu. Tai reiškia, kad mes pagal nutylėjimą pasitikime savo artimu. Tai yra daugelio protokolų, kurie buvo sukurti pačioje interneto aušroje, savybė. Išsiaiškinkime, ką reiškia „pasitikėjimas“.
Jokio kaimyno autentifikavimo. Formaliai yra MD5, bet MD5 2019 m. yra kaip tik...
Jokio filtravimo. BGP turi filtrus ir jie aprašyti, bet jie nenaudojami arba naudojami neteisingai. Vėliau paaiškinsiu kodėl.
Įkurti kaimynystę labai paprasta. Beveik bet kurio maršrutizatoriaus BGP protokolo kaimynystės nustatymas yra keletas konfigūracijos eilučių.
BGP valdymo teisių nereikia. Norint įrodyti savo kvalifikaciją, nereikia laikyti egzaminų. Niekas neatims jūsų teisių už BGP konfigūravimą būdamas girtas.
Dvi pagrindinės problemos
Priešdėlių užgrobimai. Prefikso užgrobimas reklamuoja tinklą, kuris jums nepriklauso, kaip ir MyEtherwallet atveju. Mes paėmėme keletą priešdėlių, susitarėme su teikėju arba nulaužėme jį ir per jį skelbiame apie šiuos tinklus.
Maršruto nutekėjimas. Nuotėkis yra šiek tiek sudėtingesnis. Nutekėjimas yra AS kelio pakeitimas. Geriausiu atveju pakeitimas lems didesnį vėlavimą, nes reikės važiuoti ilgesniu maršrutu arba mažiau talpia jungtimi. Blogiausiu atveju pasikartos Google ir Japonijos atvejis.
Pati „Google“ nėra operatorė ar autonominė tranzito sistema. Tačiau kai jis pranešė apie Japonijos operatorių tinklus savo teikėjui, srautas per „Google“ per AS Path buvo laikomas didesniu prioritetu. Eismas nukeliavo ten ir sumažėjo vien todėl, kad „Google“ maršruto nustatymai yra sudėtingesni nei tik filtrai pasienyje.
Kodėl filtrai neveikia?
Niekam nerūpi. Tai ir yra pagrindinė priežastis – niekam tai nerūpi. Mažo tiekėjo ar įmonės, prisijungusios prie tiekėjo per BGP, administratorius paėmė MikroTik, sukonfigūravo jame BGP ir net nežino, kad ten galima konfigūruoti filtrus.
Konfigūracijos klaidos. Jie kažką sujaukė, padarė klaidą kaukėje, uždėjo netinkamą tinklelį - ir dabar vėl klaida.
Nėra techninių galimybių. Pavyzdžiui, telekomunikacijų paslaugų teikėjai turi daug klientų. Protingu būdu turėtumėte automatiškai atnaujinti filtrus kiekvienam klientui – įsitikinkite, kad jis turi naują tinklą, ar jis kam nors išnuomojo savo tinklą. Sunku tai sekti, o dar sunkiau rankomis. Todėl jie paprasčiausiai įdeda atpalaiduotus filtrus arba filtrų neįdiegia iš viso.
Išimtys. Yra išimčių mylimiems ir stambiems klientams. Ypač tarpoperatoriaus sąsajų atveju. Pavyzdžiui, „TransTeleCom“ ir „Rostelecom“ turi daugybę tinklų ir tarp jų yra sąsaja. Jei sąnarys nukris, tai niekam nebus naudinga, todėl filtrai atpalaiduojami arba visiškai pašalinami.
Pasenusi arba nesvarbi informacija IRR. Filtrai kuriami remiantis įrašyta informacija IRR – interneto maršruto parinkimo registras. Tai yra regioninių interneto registratorių registrai. Dažnai registruose yra pasenusios arba nereikšmingos informacijos arba tiek.
Kas tie registratoriai?
Visi interneto adresai priklauso organizacijai IANA – interneto priskirtų numerių tarnyba. Kai iš ko nors perkate IP tinklą, perkate ne adresus, o teisę jais naudotis. Adresai yra nematerialus išteklius ir bendru susitarimu jie visi priklauso IANA.
Sistema veikia taip. IANA deleguoja IP adresų ir autonominių sistemų numerių valdymą penkiems regioniniams registratoriams. Jie išleidžia autonomines sistemas LIR – vietiniai interneto registratoriai. Tada LIR paskirsto IP adresus galutiniams vartotojams.
Sistemos trūkumas yra tas, kad kiekvienas regioninis registratorius tvarko savo registrus savaip. Kiekvienas turi savo nuomonę apie tai, kokia informacija turi būti registruose ir kas turėtų ar neturėtų ją tikrinti. Rezultatas yra tokia netvarka, kurią turime dabar.
Kaip dar galite kovoti su šiomis problemomis?
IRR – vidutinė kokybė. Su IRR aišku - viskas ten blogai.
BGP bendruomenės. Tai yra tam tikras atributas, aprašytas protokole. Prie savo skelbimo galime pridėti, pavyzdžiui, specialią bendruomenę, kad kaimynas nesiųstų mūsų tinklų savo kaimynams. Kai turime P2P ryšį, keičiamės tik savo tinklais. Kad maršrutas netyčia nepatektų į kitus tinklus, įtraukiame bendruomenę.
Bendruomenės nėra tranzityvios. Tai visada yra sutartis dviems, ir tai yra jų trūkumas. Negalime priskirti jokios bendruomenės, išskyrus vieną, kurią pagal nutylėjimą priima visi. Negalime būti tikri, kad visi priims šią bendruomenę ir teisingai ją interpretuos. Todėl geriausiu atveju, jei sutiksite su savo uplink, jis supras, ko jūs iš jo norite bendruomenės atžvilgiu. Tačiau jūsų kaimynas gali nesuprasti arba operatorius tiesiog iš naujo nustatys jūsų žymą, o jūs nepasieksite to, ko norėjote.
RPKI + ROA išsprendžia tik nedidelę dalį problemų. RPKI yra Išteklių viešojo rakto infrastruktūra — specialią maršruto informacijos pasirašymo sistemą. Gera idėja priversti LIR ir jų klientus palaikyti atnaujintą adresų erdvės duomenų bazę. Tačiau yra viena problema.
RPKI taip pat yra hierarchinė viešojo rakto sistema. IANA turi raktą, iš kurio generuojami RIR raktai, o iš kurių generuojami LIR raktai? su kuriais jie pasirašo savo adresų erdvę naudodami ROA – maršruto kilmės įgaliojimus:
— Užtikrinu jus, kad šis priešdėlis bus paskelbtas šio autonominio regiono vardu.
Be ROA yra ir kitų objektų, bet apie juos vėliau. Atrodo geras ir naudingas dalykas. Bet tai neapsaugo mūsų nuo nutekėjimo iš žodžio „visiškai“ ir neišsprendžia visų problemų, susijusių su priešdėlio užgrobimu. Todėl žaidėjai neskuba to įgyvendinti. Nors jau yra garantijų iš didelių žaidėjų, tokių kaip AT&T ir didelės IX įmonės, kad priešdėlis su negaliojančiu ROA įrašu bus panaikintas.
Galbūt jie tai padarys, tačiau kol kas turime daugybę priešdėlių, kurie jokiu būdu nėra pasirašyti. Viena vertus, neaišku, ar jie teisėtai paskelbti. Kita vertus, negalime jų atsisakyti pagal numatytuosius nustatymus, nes nesame tikri, ar tai teisinga, ar ne.
Kas dar yra ten?
BGPSec. Tai šaunus dalykas, kurį akademikai sugalvojo rožinių ponių tinklui. Jie sakė:
– Turime RPKI + ROA – adresų erdvės parašų tikrinimo mechanizmą. Sukurkime atskirą BGP atributą ir pavadinkime jį BGPSec Path. Kiekvienas maršrutizatorius savo parašu pasirašys pranešimus, kuriuos skelbia kaimynams. Taip iš pasirašytų pranešimų grandinės gausime patikimą kelią ir galėsime jį patikrinti.
Teoriškai gerai, bet praktiškai yra daug problemų. BGPSec sulaužo daugelį esamų BGP mechanikų, skirtų pasirinkti kitus šuolius ir valdyti gaunamą / išeinantį srautą tiesiai maršrutizatoriuje. BGPSec neveikia, kol jo neįdiegė 95% visos rinkos, o tai savaime yra utopija.
BGPSec turi didelių našumo problemų. Dabartinėje aparatinėje įrangoje pranešimų tikrinimo greitis yra maždaug 50 priešdėlių per sekundę. Palyginimui: dabartinė 700 000 prefiksų interneto lentelė bus įkelta per 5 valandas, per kurias pasikeis dar 10 kartų.
BGP atvira politika (vaidmenimis pagrįsta BGP). Naujas pasiūlymas pagal modelį Gao-Rexfordas. Tai du mokslininkai, tyrinėjantys BGP.
Gao-Rexford modelis yra toks. Kad būtų paprasčiau, naudojant BGP yra keletas sąveikų tipų:
- Teikėjas Klientas;
- P2P;
- vidinės komunikacijos, tarkime iBGP.
Atsižvelgiant į maršrutizatoriaus vaidmenį, pagal nutylėjimą jau galima priskirti tam tikras importo/eksportavimo strategijas. Administratoriui nereikia konfigūruoti priešdėlių sąrašų. Atsižvelgiant į vaidmenį, dėl kurio maršrutizatoriai susitaria tarpusavyje ir kurį galima nustatyti, mes jau gauname kai kuriuos numatytuosius filtrus. Šiuo metu tai yra projektas, kuris svarstomas IETF. Tikiuosi, kad netrukus tai pamatysime kaip RFC ir diegimą aparatinėje įrangoje.
Dideli interneto tiekėjai
Pažvelkime į teikėjo pavyzdį CenturyLink. Tai trečias pagal dydį JAV tiekėjas, aptarnaujantis 37 valstijas ir turintis 15 duomenų centrų.
2018 m. gruodžio mėn. „CenturyLink“ JAV rinkoje buvo 50 valandų. Įvykio metu dviejose valstybėse kilo problemų dėl bankomatų veikimo, penkiose valstijose kelias valandas neveikė 911 numeris. Loterija Aidaho mieste buvo visiškai sužlugdyta. Šiuo metu incidentą tiria JAV telekomunikacijų komisija.
Tragedijos priežastis – viena tinklo plokštė viename duomenų centre. Kortelė sugedo, buvo išsiųsti neteisingi paketai ir sugedo visi 15 teikėjo duomenų centrų.
Idėja šiam teikėjui nepasiteisino "per didelis, kad kristi". Ši idėja visiškai neveikia. Galite paimti bet kurį pagrindinį žaidėją ir įdėti keletą smulkmenų. JAV vis dar gerai sekasi sujungimu. „CenturyLink“ klientų, kurie turėjo rezervą, į jį ėjo būriais. Tada alternatyvūs operatoriai skundėsi, kad jų nuorodos yra perkrautos.
Jei sąlyginis Kazakhtelecom žlugs, visa šalis liks be interneto.
Korporacijos
Tikriausiai „Google“, „Amazon“, „FaceBook“ ir kitos korporacijos palaiko internetą? Ne, jie taip pat sulaužo.
2017 metais Sankt Peterburge ENOG13 konferencijoje Džefas Hiustonas iš APNIC pristatė . Sakoma, kad esame įpratę, kad sąveika, pinigų srautai ir srautas internete yra vertikalūs. Turime mažų tiekėjų, kurie moka už ryšį su didesniais, ir jie jau moka už ryšį su pasauliniu tranzitu.
Dabar turime tokią vertikaliai orientuotą struktūrą. Viskas būtų gerai, bet pasaulis keičiasi – pagrindiniai žaidėjai stato savo transokeaninius kabelius, kad sukurtų savo stuburą.
Naujienos apie CDN kabelį.
2018 m. „TeleGeography“ paskelbė tyrimą, kad daugiau nei pusę srauto internete sudaro nebe internetas, o didelių žaidėjų CDN stuburas. Tai srautas, susijęs su internetu, bet tai nebėra tinklas, apie kurį kalbėjome.
Internetas skyla į daugybę laisvai sujungtų tinklų.
„Microsoft“ turi savo tinklą, „Google“ turi savo tinklą ir jie mažai sutampa. Srautas, kilęs iš kažkur JAV, eina per „Microsoft“ kanalus per vandenyną į Europą kažkur per CDN, tada per CDN arba IX prisijungia prie jūsų teikėjo ir pasiekia jūsų maršrutizatorių.
Decentralizacija nyksta.
Ši interneto stiprybė, padėsianti išgyventi po branduolinio sprogimo, prarandama. Atsiranda vartotojų ir srauto koncentracijos vietos. Jei sąlyginis „Google Cloud“ nukris, aukų bus daug vienu metu. Tai iš dalies pajutome, kai „Roskomnadzor“ užblokavo AWS. O CenturyLink pavyzdys rodo, kad tam užtenka net smulkmenų.
Anksčiau ne viskas ir ne visi lūždavo. Ateityje galime prieiti prie išvados, kad paveikę vieną pagrindinį žaidėją galime daug ką sulaužyti, daug kur ir daugeliui žmonių.
Valstybes
Valstybės yra kitos eilėje, ir joms dažniausiai taip nutinka.
Mūsų Roskomnadzoras čia jokiu būdu nėra pradininkas. Panaši interneto išjungimo praktika egzistuoja Irane, Indijoje ir Pakistane. Anglijoje yra įstatymo projektas dėl galimybės išjungti internetą.
Bet kuri didelė valstybė nori gauti jungiklį, kad visiškai arba iš dalies išjungtų internetą: „Twitter“, „Telegram“, „Facebook“. Nėra taip, kad jie nesupranta, kad jiems niekada nepasiseks, bet jie to tikrai nori. Jungiklis, kaip taisyklė, naudojamas politiniais tikslais – pašalinti politinius konkurentus, ar artėja rinkimai, ar vėl ką nors sulaužė Rusijos programišiai.
DDoS atakos
Aš neatimsiu duonos iš savo bendražygių iš Qrator Labs, jie tai daro daug geriau nei aš. Jie turi apie interneto stabilumą. Ir tai jie rašė 2018 m.
Vidutinė DDoS atakų trukmė sumažėja iki 2.5 valandos. Užpuolikai taip pat pradeda skaičiuoti pinigus, o jei ištekliai iš karto nepasiekiami, greitai palieka juos ramybėje.
Išpuolių intensyvumas auga. 2018 metais „Akamai“ tinkle matėme 1.7 Tb/s ir tai nėra riba.
Atsiranda naujų atakų vektorių, o senieji stiprėja. Atsiranda naujų protokolų, kurie gali būti stiprinami, ir atsiranda naujų atakų prieš esamus protokolus, ypač TLS ir panašius.
Didžioji dalis srauto yra iš mobiliųjų įrenginių. Tuo pačiu metu interneto srautas persikelia į mobiliuosius klientus. Ir tie, kurie puola, ir tie, kurie ginasi, turi mokėti su tuo dirbti.
Nepažeidžiamas – ne. Tokia ir yra pagrindinė mintis – nėra universalios apsaugos, kuri tikrai apsaugotų nuo bet kokio DDoS.
Sistema negali būti įdiegta, jei ji neprijungta prie interneto.
Tikiuosi pakankamai tave išgąsdinau. Dabar pagalvokime, ką su tuo daryti.
Ką daryti?!
Jei turite laisvo laiko, noro ir anglų kalbos žinių, dalyvaukite darbo grupėse: IETF, RIPE WG. Tai atviri pašto sąrašai, prenumeruoti adresatų sąrašus, dalyvauti diskusijose, ateiti į konferencijas. Jei turite LIR statusą, galite balsuoti, pavyzdžiui, RIPE už įvairias iniciatyvas.
Paprastiems mirtingiesiems tai yra stebėjimas. Kad žinotum, kas sugedo.
Stebėjimas: ką patikrinti?
Įprastas Ping, ir ne tik dvejetainis patikrinimas – veikia ar ne. Įrašykite RTT į istoriją, kad vėliau galėtumėte pažvelgti į anomalijas.
Traceroute. Tai pagalbinė programa, skirta duomenų maršrutams TCP/IP tinkluose nustatyti. Padeda nustatyti anomalijas ir užsikimšimus.
HTTP tikrina, ar nėra tinkintų URL ir TLS sertifikatų padės aptikti blokavimą arba DNS klastojimą atakai, o tai praktiškai tas pats. Blokavimas dažnai atliekamas apgaubiant DNS ir srautą nukreipiant į pradinį puslapį.
Jei įmanoma, patikrinkite savo klientų apsisprendimą dėl jūsų kilmės iš įvairių vietų, jei turite prašymą. Tai padės aptikti DNS užgrobimo anomalijas, kurias kartais daro paslaugų teikėjai.
Stebėjimas: kur patikrinti?
Universalaus atsakymo nėra. Patikrinkite, iš kur ateina vartotojas. Jei vartotojai yra Rusijoje, patikrinkite iš Rusijos, bet neapsiribokite ja. Jei jūsų naudotojai gyvena skirtinguose regionuose, patikrinkite šiuose regionuose. Bet geriau iš viso pasaulio.
Stebėjimas: ką patikrinti?
Aš sugalvojau tris būdus. Jei žinote daugiau, parašykite komentaruose.
- BRANDUS atlasas.
- Komercinis stebėjimas.
- Jūsų nuosavas virtualių mašinų tinklas.
Pakalbėkime apie kiekvieną iš jų.
BRANDUS atlasas - Tai tokia maža dėžutė. Tiems, kurie pažįsta buitinį "Inspektorių" - tai ta pati dėžutė, tik su kitokiu lipduku.
RIPE Atlas yra nemokama programa. Jūs užsiregistruojate, gaunate maršrutizatorių paštu ir prijungiate jį prie tinklo. Už tai, kad kažkas kitas naudoja jūsų pavyzdį, jūs gaunate keletą kreditų. Su šiomis paskolomis galite patys atlikti tam tikrus tyrimus. Galite išbandyti įvairiais būdais: ping, traceroute, patikrinkite sertifikatus. Aprėptis gana didelė, daug mazgų. Bet yra niuansų.
Kredito sistema neleidžia pastatų gamybos sprendimų. Neužteks kreditų nuolatiniams tyrimams ar komercinei stebėsenai. Kreditų pakanka trumpoms studijoms arba vienkartiniam patikrinimui. Paros norma iš vieno mėginio sunaudojama 1-2 patikrinimams.
Dengimas netolygus. Kadangi programa nemokama į abi puses, aprėptis yra gera Europoje, europinėje Rusijos dalyje ir kai kuriuose regionuose. Bet jei jums reikia Indonezijos ar Naujosios Zelandijos, tada viskas yra daug blogiau – galite neturėti 50 mėginių vienoje šalyje.
Negalite patikrinti http pagal pavyzdį. Taip yra dėl techninių niuansų. Jie žada tai ištaisyti naujoje versijoje, tačiau šiuo metu http negalima patikrinti. Tik sertifikatas gali būti patikrintas. Tam tikrą http patikrinimą galima atlikti tik specialiam RIPE Atlas įrenginiui, vadinamam Anchor.
Antrasis metodas yra komercinis stebėjimas. Viskas su juo gerai, tu moki pinigus, ar ne? Jie žada jums kelias dešimtis ar šimtus stebėjimo taškų visame pasaulyje ir iš dėžutės ištraukia gražius prietaisų skydelius. Bet vėlgi yra problemų.
Mokama, kai kur labai. Ping stebėjimas, pasauliniai patikrinimai ir daugybė http patikrinimų gali kainuoti kelis tūkstančius dolerių per metus. Jei finansai leidžia ir jums patinka šis sprendimas, pirmyn.
Dominančiame regione aprėpties gali nepakakti. Su tuo pačiu ping nurodoma maksimali abstrakti pasaulio dalis - Azija, Europa, Šiaurės Amerika. Retos stebėjimo sistemos gali nusėsti iki konkrečios šalies ar regiono.
Silpnas tinkintų testų palaikymas. Jei jums reikia kažko pritaikyto, o ne tik „garbanos“ URL, tada taip pat yra problemų.
Trečias būdas yra jūsų stebėjimas. Tai klasika: „Parašykime savo!
Jūsų stebėjimas virsta programinės įrangos produkto kūrimu ir paskirstytu. Ieškote infrastruktūros tiekėjo, pažiūrėkite, kaip ją įdiegti ir stebėti – stebėjimą reikia stebėti, tiesa? Ir parama taip pat reikalinga. Prieš imdamiesi to, pagalvokite dešimt kartų. Gali būti lengviau sumokėti kam nors, kad tai padarytų už jus.
BGP anomalijų ir DDoS atakų stebėjimas
Čia, remiantis turimais ištekliais, viskas yra dar paprasčiau. BGP anomalijos nustatomos naudojant specializuotas paslaugas, tokias kaip QRadar, BGPmon. Jie priima visą peržiūros lentelę iš kelių operatorių. Remdamiesi tuo, ką mato iš skirtingų operatorių, jie gali aptikti anomalijas, ieškoti stiprintuvų ir pan. Registracija dažniausiai nemokama – įvedate savo telefono numerį, užsiprenumeruojate pranešimus el. paštu ir paslauga jus įspės apie jūsų problemas.
Stebėti DDoS atakas taip pat paprasta. Paprastai tai yra NetFlow pagrindu ir žurnalai. Yra specializuotų sistemų, pvz FastNetMon, moduliai, skirti Splunk. Kraštutiniu atveju yra jūsų DDoS apsaugos teikėjas. Jis taip pat gali nutekėti „NetFlow“ ir, remdamasis juo, praneš apie atakas jūsų kryptimi.
išvados
Neturėkite iliuzijų – internetas tikrai nutrūks. Ne viskas ir ne visi sulūžs, tačiau 14 tūkstančių incidentų 2017 metais sufleruoja, kad incidentų bus.
Jūsų užduotis – pastebėti problemas kuo anksčiau. Mažiausiai, ne vėliau kaip jūsų vartotojas. Svarbu ne tik atkreipti dėmesį, bet ir visada pasilikti „planą B“. Planas yra strategija, ką darysite, kai viskas suges.: rezerviniai operatoriai, DC, CDN. Planas yra atskiras kontrolinis sąrašas, pagal kurį patikrinate, ar viskas veikia. Planas turėtų veikti be tinklo inžinierių įtraukimo, nes dažniausiai jų būna mažai ir jie nori miego.
Tai viskas. Linkiu jums didelio prieinamumo ir ekologiško stebėjimo.
Kitą savaitę Novosibirske tikimasi saulės, didelės apkrovos ir didelės kūrėjų koncentracijos . Sibire numatoma pranešimų apie stebėjimą, prieinamumą ir testavimą, saugumą ir valdymą frontas. Krituliai tikimasi užrašytų užrašų, tinklų, nuotraukų ir įrašų socialiniuose tinkluose pavidalu. Rekomenduojame visas veiklas atidėti birželio 24 ir 25 d. ir . Laukiame Jūsų Sibire!
Šaltinis: www.habr.com