Kāpēc internets joprojām ir tiešsaistē?

Šķiet, ka internets ir spēcīga, neatkarīga un neiznīcināma struktūra. Teorētiski tīkls ir pietiekami spēcīgs, lai izdzīvotu kodolsprādzienā. Patiesībā internets var nomest vienu mazu maršrutētāju. Viss tāpēc, ka internetā ir daudz pretrunu, ievainojamību, kļūdu un video par kaķiem. Interneta mugurkauls BGP ir pilns ar problēmām. Tas ir pārsteidzoši, ka viņš joprojām elpo. Papildus kļūdām pašā internetā to lauž arī visi un dažādi: lielie interneta pakalpojumu sniedzēji, korporācijas, valstis un DDoS uzbrukumi. Ko ar to darīt un kā ar to sadzīvot?

Zina atbildi Aleksejs Učakins (Nakts_Čūska) ir IQ Option tīkla inženieru komandas vadītājs. Tās galvenais uzdevums ir platformas pieejamība lietotājiem. Alekseja ziņojuma stenogrammā par Saint HighLoad++ 2019 Parunāsim par BGP, DDOS uzbrukumiem, interneta slēdžiem, pakalpojumu sniedzēju kļūdām, decentralizāciju un gadījumiem, kad mazs maršrutētājs internetu nosūtīja miegā. Nobeigumā - pāris padomi, kā to visu pārdzīvot.

Diena, kad izjuka internets

Es minēšu tikai dažus gadījumus, kad interneta savienojums pārtrūka. Ar to pietiks pilnīgam attēlam.

"AS7007 incidents". Pirmo reizi internets pārtrūka 1997. gada aprīlī. Viena maršrutētāja programmatūrā bija kļūda no autonomās sistēmas 7007. Kādā brīdī maršrutētājs saviem kaimiņiem paziņoja par savu iekšējo maršrutēšanas tabulu un pusi tīkla nosūtīja melnajā caurumā.

"Pakistāna pret YouTube". 2008. gadā drosmīgi puiši no Pakistānas nolēma bloķēt YouTube. Viņiem tas izdevās tik labi, ka puse pasaules palika bez kaķiem.

“Visa, MasterCard un Symantec prefiksu uztveršana, izmantojot Rostelecom”. 2017. gadā Rostelecom kļūdaini sāka izziņot VISA, MasterCard un Symantec prefiksus. Rezultātā finanšu datplūsma tika novirzīta caur pakalpojumu sniedzēja kontrolētiem kanāliem. Noplūde nebija ilga, taču finanšu kompānijām tā bija nepatīkama.

Google pret Japānu. 2017. gada augustā Google dažās savās augšupsaitēs sāka izziņot lielāko Japānas pakalpojumu sniedzēju NTT un KDDI prefiksus. Satiksme tika nosūtīta Google kā tranzīta, visticamāk, kļūdas dēļ. Tā kā Google nav pakalpojumu sniedzējs un neatļauj tranzīta trafiku, ievērojama Japānas daļa palika bez interneta.

“DV LINK tvēra Google, Apple, Facebook, Microsoft prefiksus”. Arī 2017. gadā Krievijas pakalpojumu sniedzējs DV LINK kādu iemeslu dēļ sāka izziņot Google, Apple, Facebook, Microsoft un dažu citu lielāko spēlētāju tīklus.

“eNet no ASV ir tvēris AWS Route53 un MyEtherwallet prefiksus”. 2018. gadā Ohaio pakalpojumu sniedzējs vai kāds no tā klientiem paziņoja par Amazon Route53 un MyEtherwallet kriptogrāfijas maku tīkliem. Uzbrukums bija veiksmīgs: pat neskatoties uz pašparakstīto sertifikātu, par kuru lietotājam parādījās brīdinājums, ienākot vietnē MyEtherwallet, tika nolaupīti daudzi maki un nozagta daļa kriptovalūtas.

2017. gadā vien bija vairāk nekā 14 000 šādu incidentu! Tīkls joprojām ir decentralizēts, tāpēc ne viss un ne visi sabojājas. Bet ir tūkstošiem incidentu, kas visi ir saistīti ar BGP protokolu, kas nodrošina interneta darbību.

BGP un tās problēmas

Protokols BGP — Border Gateway Protocol, pirmo reizi 1989. gadā aprakstīja divi IBM un Cisco Systems inženieri uz trim “salvetēm” — A4 formāta lapām. Šie "salvetes" joprojām sēž Cisco Systems galvenajā mītnē Sanfrancisko kā tīkla pasaules relikts.

Protokols ir balstīts uz autonomu sistēmu mijiedarbību - Autonomās sistēmas vai saīsināti AS. Autonomā sistēma ir vienkārši ID, kuram publiskajā reģistrā tiek piešķirti IP tīkli. Maršrutētājs ar šo ID var paziņot par šiem tīkliem pasaulei. Attiecīgi jebkuru maršrutu internetā var attēlot kā vektoru, ko sauc AS ceļš. Vektors sastāv no autonomo sistēmu skaita, kas jāšķērso, lai sasniegtu mērķa tīklu.

Piemēram, ir vairāku autonomu sistēmu tīkls. Jums ir jāpāriet no sistēmas AS65001 uz sistēmu AS65003. Ceļu no vienas sistēmas diagrammā attēlo AS Path. Tas sastāv no divām autonomām sistēmām: 65002 un 65003. Katrai galamērķa adresei ir AS ceļa vektors, kas sastāv no autonomo sistēmu skaita, kurām mums jāiet cauri.

Tātad, kādas ir problēmas ar BGP?

BGP ir uzticamības protokols

BGP protokols ir balstīts uz uzticēšanos. Tas nozīmē, ka mēs pēc noklusējuma uzticamies savam tuvākajam. Šī ir daudzu protokolu iezīme, kas tika izstrādāti pašā interneta rītausmā. Izdomāsim, ko nozīmē “uzticēšanās”.

Nav kaimiņa autentifikācijas. Formāli ir MD5, bet MD5 2019. gadā ir tieši tāds...

Nav filtrēšanas. BGP ir filtri un tie ir aprakstīti, bet tie netiek izmantoti vai tiek izmantoti nepareizi. Es paskaidrošu vēlāk, kāpēc.

Ir ļoti vienkārši izveidot apkārtni. Apkaimes iestatīšana BGP protokolā gandrīz jebkurā maršrutētājā ir dažas konfigurācijas rindas.

Nav nepieciešamas BGP pārvaldības tiesības. Jums nav jākārto eksāmeni, lai pierādītu savu kvalifikāciju. Neviens tev neatņems tiesības par BGP konfigurēšanu dzērumā.

Divas galvenās problēmas

Prefiksu nolaupīšana. Prefiksu nolaupīšana ir tāda tīkla reklamēšana, kas jums nepieder, kā tas ir MyEtherwallet gadījumā. Mēs paņēmām dažus prefiksus, vienojāmies ar pakalpojumu sniedzēju vai uzlauzām to, un caur to mēs paziņojam par šiem tīkliem.

Maršruta noplūdes. Noplūdes ir nedaudz sarežģītākas. Noplūde ir izmaiņas AS ceļā. Labākajā gadījumā izmaiņas radīs lielāku kavēšanos, jo jums jābrauc garāks maršruts vai mazāk ietilpīgs posms. Sliktākajā gadījumā tiks atkārtots gadījums ar Google un Japānu.

Google pati par sevi nav operators vai tranzīta autonoma sistēma. Taču, kad viņš savam pakalpojumu sniedzējam paziņoja par Japānas operatoru tīkliem, datplūsma caur Google, izmantojot AS Path, tika uzskatīta par augstāku prioritāti. Satiksme devās uz turieni un samazinājās tikai tāpēc, ka maršrutēšanas iestatījumi Google iekšienē ir sarežģītāki nekā tikai filtri uz robežas.

Kāpēc filtri nedarbojas?

Nevienam tas nerūp. Tas ir galvenais iemesls – tas nevienu neinteresē. Neliela provaidera vai uzņēmuma administrators, kurš pieslēdzās pie nodrošinātāja caur BGP, paņēma MikroTik, konfigurēja tajā BGP un pat nezina, ka tur var konfigurēt filtrus.

Konfigurācijas kļūdas. Viņi kaut ko sajauca, kļūdījās maskā, uzlika nepareizu sietu - un tagad atkal ir kļūda.

Nav tehnisku iespēju. Piemēram, telekomunikāciju pakalpojumu sniedzējiem ir daudz klientu. Gudri ir automātiski atjaunināt filtrus katram klientam – uzraudzīt, vai viņam ir jauns tīkls, vai viņš ir kādam izīrējis savu tīklu. Tam ir grūti sekot, un vēl grūtāk ir ar rokām. Tāpēc viņi vienkārši uzstāda atvieglinātus filtrus vai neinstalē filtrus vispār.

Izņēmumi. Ir izņēmumi mīļotajiem un lielajiem klientiem. Īpaši starpoperatoru saskarņu gadījumā. Piemēram, TransTeleCom un Rostelecom ir daudz tīklu, un starp tiem ir saskarne. Ja locītava nokrīt, tas nevienam nenāks par labu, tāpēc filtri tiek atslābināti vai noņemti pilnībā.

Novecojusi vai neatbilstoša informācija IRR. Filtri tiek veidoti, pamatojoties uz ierakstīto informāciju IRR — interneta maršrutēšanas reģistrs. Tie ir reģionālo interneta reģistratoru reģistri. Bieži vien reģistros ir novecojusi vai neatbilstoša informācija vai abas.

Kas ir šie reģistratori?

Visas interneta adreses pieder organizācijai IANA — interneta piešķirto numuru iestāde. Pērkot no kāda IP tīklu, jūs pērkat nevis adreses, bet gan tiesības tās izmantot. Adreses ir nemateriāls resurss, un pēc kopīgas vienošanās tās visas pieder IANA.

Sistēma darbojas šādi. IANA deleģē IP adrešu un autonomo sistēmu numuru pārvaldību pieciem reģionālajiem reģistratoriem. Viņi izdod autonomas sistēmas LIR - vietējie interneta reģistratori. Pēc tam LIR galalietotājiem piešķir IP adreses.

Sistēmas trūkums ir tāds, ka katrs no reģionālajiem reģistriem uztur savus reģistrus savā veidā. Katram ir savs viedoklis par to, kādai informācijai jābūt reģistros un kam tā ir jāpārbauda. Rezultāts ir tāds haoss, kāds mums tagad ir.

Kā vēl jūs varat cīnīties ar šīm problēmām?

IRR - viduvēja kvalitāte. Ar IRR ir skaidrs - tur viss ir slikti.

BGP kopienas. Šis ir atribūts, kas aprakstīts protokolā. Mēs varam savam sludinājumam pievienot, piemēram, īpašu kopienu, lai kaimiņš nesūtītu mūsu tīklus saviem kaimiņiem. Ja mums ir P2P saite, mēs apmaināmies tikai ar saviem tīkliem. Lai maršruts nejauši nenonāktu citos tīklos, mēs pievienojam kopienu.

Kopienas nav pārejošas. Tas vienmēr ir līgums diviem, un tas ir viņu trūkums. Mēs nevaram piešķirt nevienu kopienu, izņemot vienu, kuru pēc noklusējuma pieņem visi. Mēs nevaram būt droši, ka visi pieņems šo kopienu un interpretēs to pareizi. Tāpēc labākajā gadījumā, ja jūs piekrītat savam augšupsaitei, viņš sapratīs, ko jūs no viņa gribat kopienas ziņā. Bet jūsu kaimiņš var nesaprast, vai arī operators vienkārši atiestatīs jūsu tagu, un jūs nesasniegsit to, ko gribējāt.

RPKI + ROA atrisina tikai nelielu daļu problēmu. RPKI ir Resursu publiskās atslēgas infrastruktūra  — īpaša sistēma maršrutēšanas informācijas parakstīšanai. Ir ieteicams piespiest LIR un viņu klientus uzturēt atjauninātu adrešu telpas datu bāzi. Bet ar to ir viena problēma.

RPKI ir arī hierarhiska publiskās atslēgas sistēma. IANA ir atslēga, no kuras tiek ģenerētas RIR atslēgas un no kuras tiek ģenerētas LIR atslēgas? ar kuru viņi paraksta savu adrešu telpu, izmantojot ROA — maršruta izcelsmes pilnvaras:

— Es jums apliecinu, ka šis prefikss tiks paziņots šī autonomā reģiona vārdā.

Papildus ROA ir arī citi objekti, bet par tiem sīkāk vēlāk. Šķiet, ka tā ir laba un noderīga lieta. Bet tas mūs nepasargā no vārda “vispār” noplūdēm un neatrisina visas problēmas ar prefiksu nolaupīšanu. Tāpēc spēlētāji nesteidzas to īstenot. Lai gan jau ir garantijas no lieliem spēlētājiem, piemēram, AT&T un lieliem IX uzņēmumiem, ka prefiksi ar nederīgu ROA ierakstu tiks atcelti.

Varbūt viņi to darīs, taču pagaidām mums ir milzīgs skaits prefiksu, kas nekādā veidā nav parakstīti. No vienas puses, nav skaidrs, vai tie ir likumīgi izsludināti. No otras puses, mēs nevaram tos atmest pēc noklusējuma, jo mēs neesam pārliecināti, vai tas ir pareizi vai nē.

Kas vēl tur ir?

BGPSec. Šī ir lieliska lieta, ko akadēmiķi izdomāja rozā poniju tīklam. Viņi teica:

- Mums ir RPKI + ROA - mehānisms adrešu telpas parakstu pārbaudei. Izveidosim atsevišķu BGP atribūtu un nosauksim to par BGPSec Path. Katrs maršrutētājs ar savu parakstu parakstīs paziņojumus, ko tas paziņo saviem kaimiņiem. Tādā veidā mēs iegūsim uzticamu ceļu no parakstīto paziņojumu ķēdes un varēsim to pārbaudīt.

Teorētiski labi, bet praksē ir daudz problēmu. BGPSec izjauc daudzas esošās BGP mehānikas, lai atlasītu nākamos lēcienus un pārvaldītu ienākošo/izejošo trafiku tieši maršrutētājā. BGPSec nedarbojas, kamēr 95% no visa tirgus nav to ieviesuši, kas pati par sevi ir utopija.

BGPSec ir milzīgas veiktspējas problēmas. Pašreizējā aparatūrā paziņojumu pārbaudes ātrums ir aptuveni 50 prefiksi sekundē. Salīdzinājumam: pašreizējā interneta tabula ar 700 000 prefiksiem tiks augšupielādēta 5 stundu laikā, kuru laikā tā mainīsies vēl 10 reizes.

BGP atvērtā politika (uz lomu balstīta BGP). Jauns priekšlikums, kas balstīts uz modeli Gao-Rexford. Šie ir divi zinātnieki, kas pēta BGP.

Gao-Rexford modelis ir šāds. Lai vienkāršotu, ar BGP ir neliels skaits mijiedarbības veidu:

• Nodrošinātājs Klients;
• P2P;
• iekšējā komunikācija, teiksim iBGP.

Pamatojoties uz maršrutētāja lomu, jau pēc noklusējuma ir iespējams piešķirt noteiktas importa/eksporta politikas. Administratoram nav jākonfigurē prefiksu saraksti. Pamatojoties uz lomu, par kuru maršrutētāji vienojas savā starpā un kuru var iestatīt, mēs jau saņemam dažus noklusējuma filtrus. Pašlaik šis ir melnraksts, kas tiek apspriests IETF. Es ceru, ka drīz mēs to redzēsim RFC formātā un ieviešanas aparatūrā.

Lieli interneta pakalpojumu sniedzēji

Apskatīsim pakalpojumu sniedzēja piemēru CenturyLink. Tas ir trešais lielākais ASV pakalpojumu sniedzējs, kas apkalpo 37 štatus un kam ir 15 datu centri. 

2018. gada decembrī CenturyLink bija ASV tirgū 50 stundas. Incidenta laikā divos štatos bija problēmas ar bankomātu darbību, un piecos štatos vairākas stundas nedarbojās 911 numurs. Loterija Aidaho bija pilnībā izpostīta. Pašlaik notikušo izmeklē ASV Telekomunikāciju komisija.

Traģēdijas cēlonis bija viena tīkla karte vienā datu centrā. Karte nedarbojās, nosūtīja nepareizas paketes, un visi 15 pakalpojumu sniedzēja datu centri pazuda.

Šim pakalpojumu sniedzējam šī ideja nedarbojās "pārāk liels, lai nokristu". Šī ideja vispār nedarbojas. Jūs varat paņemt jebkuru galveno spēlētāju un likt virsū dažas mazas lietas. ASV joprojām klājas labi savienojamības jomā. CenturyLink klienti, kuriem bija rezerve, tajā iegāja bariem. Tad alternatīvie operatori sūdzējās par viņu saišu pārslogošanu.

Ja nosacītais Kazakhtelecom kritīs, visa valsts paliks bez interneta.

Korporācijas

Droši vien Google, Amazon, FaceBook un citas korporācijas atbalsta internetu? Nē, viņi arī to salauž.

2017. gadā Sanktpēterburgā ENOG13 konferencē Džefs Hjūstons no APNIC ieviesa ziņojums "Tranzīta nāve". Tajā teikts, ka mēs esam pieraduši, ka mijiedarbība, naudas plūsma un trafika internetā ir vertikāla. Mums ir mazi pakalpojumu sniedzēji, kas maksā par savienojumu ar lielākiem, un viņi jau maksā par savienojumu ar globālo tranzītu.

Tagad mums ir tāda vertikāli orientēta struktūra. Viss būtu labi, bet pasaule mainās – lielākie spēlētāji būvē savus aizokeāna kabeļus, lai izveidotu savus mugurkaulus.

Ziņas par CDN kabeli.

2018. gadā TeleGeography publicēja pētījumu, ka vairāk nekā puse no interneta trafika vairs nav internets, bet gan lielo spēlētāju CDN mugurkauls. Šī ir satiksme, kas ir saistīta ar internetu, taču tas vairs nav tīkls, par kuru mēs runājām.

Internets sadalās lielā vāji savienotu tīklu komplektā.

Microsoft ir savs tīkls, Google ir savs, un tie nedaudz pārklājas viens ar otru. Satiksme, kuras izcelsme ir kaut kur ASV, iet caur Microsoft kanāliem pāri okeānam uz Eiropu kaut kur CDN, pēc tam caur CDN vai IX savienojas ar jūsu pakalpojumu sniedzēju un nonāk jūsu maršrutētājā.

Decentralizācija pazūd.

Šis interneta spēks, kas tam palīdzēs izdzīvot kodolsprādzienā, tiek zaudēts. Parādās lietotāju un trafika koncentrācijas vietas. Ja nosacītais Google mākonis nokrīt, upuri būs daudz uzreiz. Mēs to daļēji jutām, kad Roskomnadzor bloķēja AWS. Un CenturyLink piemērs parāda, ka tam pietiek pat ar sīkumiem.

Iepriekš ne viss un ne visi salūza. Nākotnē mēs varam nonākt pie secinājuma, ka, ietekmējot vienu galveno spēlētāju, mēs varam salauzt daudzas lietas, daudzas vietas un daudzus cilvēkus.

Štatos

Valstis ir nākamās rindā, un tas parasti notiek ar tiem.

Šeit mūsu Roskomnadzor vispār nav pat pionieris. Līdzīga interneta izslēgšanas prakse pastāv Irānā, Indijā un Pakistānā. Anglijā ir likumprojekts par iespēju slēgt internetu.

Jebkura liela valsts vēlas iegūt slēdzi, lai pilnībā vai daļēji izslēgtu internetu: Twitter, Telegram, Facebook. Nav tā, ka viņi nesaprot, ka viņiem nekad neizdosies, bet viņi to ļoti vēlas. Slēdzis parasti tiek izmantots politiskiem mērķiem - lai likvidētu politiskos konkurentus, vai tuvojas vēlēšanas, vai Krievijas hakeri atkal kaut ko salauzuši.

DDoS uzbrukumi

Es neatņemšu maizi saviem biedriem no Qrator Labs, viņi to dara daudz labāk nekā es. Viņiem ir ikgadējā atskaite par interneta stabilitāti. Un tas ir tas, ko viņi rakstīja 2018. gada pārskatā.

Vidējais DDoS uzbrukumu ilgums samazinās līdz 2.5 stundām. Uzbrucēji arī sāk skaitīt naudu, un, ja resurss uzreiz nav pieejams, tad ātri vien atstāj mierā.

Uzbrukumu intensitāte pieaug. 2018. gadā Akamai tīklā redzējām 1.7 Tb/s, un tas nav ierobežojums.

Rodas jauni uzbrukumu vektori, un vecie pastiprinās. Parādās jauni protokoli, kas ir pakļauti pastiprināšanai, un rodas jauni uzbrukumi esošajiem protokoliem, īpaši TLS un tamlīdzīgiem.

Lielākā daļa trafika ir no mobilajām ierīcēm. Tajā pašā laikā interneta trafiks pāriet uz mobilajiem klientiem. Ar to jāspēj strādāt gan tiem, kas uzbrūk, gan tiem, kas aizstāv.

Neievainojams - nē. Tā ir galvenā doma – nav universālas aizsardzības, kas noteikti pasargās no jebkādiem DDoS.

Sistēmu nevar instalēt, ja tā nav savienota ar internetu.

Ceru, ka esmu tevi pietiekami nobiedējis. Tagad padomāsim, ko ar to darīt.

Ko darīt?!

Ja ir brīvs laiks, vēlme un angļu valodas zināšanas, piedalies darba grupās: IETF, RIPE WG. Tie ir atvērti pasta saraksti, abonējiet adresātu sarakstus, piedalieties diskusijās, nāciet uz konferencēm. Ja tev ir LIR statuss, vari balsot, piemēram, RIPE par dažādām iniciatīvām.

Vienkāršiem mirstīgajiem tas ir uzraudzību. Lai zinātu, kas ir salauzts.

Uzraudzība: ko pārbaudīt?

Parasts Ping, un ne tikai binārā pārbaude - tas darbojas vai nē. Ierakstiet RTT vēsturē, lai vēlāk varētu apskatīt anomālijas.

Traceroute. Šī ir utilīta programma datu maršrutu noteikšanai TCP/IP tīklos. Palīdz noteikt anomālijas un aizsprostojumus.

HTTP pārbauda pielāgotos URL un TLS sertifikātus palīdzēs atklāt bloķēšanu vai DNS viltošanu uzbrukumam, kas praktiski ir tas pats. Bloķēšanu bieži veic DNS viltošana un trafika pārvēršana uz nepilnīgu lapu.

Ja iespējams, pārbaudiet savu klientu apņemšanos par jūsu izcelsmi no dažādām vietām, ja jums ir pieteikums. Tas palīdzēs atklāt DNS nolaupīšanas anomālijas, ko pakalpojumu sniedzēji dažreiz dara.

Uzraudzība: kur pārbaudīt?

Nav universālas atbildes. Pārbaudiet, no kurienes nāk lietotājs. Ja lietotāji atrodas Krievijā, pārbaudiet no Krievijas, taču neaprobežojieties ar to. Ja jūsu lietotāji dzīvo dažādos reģionos, pārbaudiet šajos reģionos. Bet labāk no visas pasaules.

Uzraudzība: ko pārbaudīt?

Es izdomāju trīs veidus. Ja zini vairāk, raksti komentāros.

• NOBRAUKUMS atlants.
• Komerciālā uzraudzība.
• Jūsu virtuālo mašīnu tīkls.

Parunāsim par katru no tiem.

NOBRAUKUMS atlants - tā ir tik maza kastīte. Tiem, kas pazīst pašmāju "Inspektoru" - šī ir tā pati kastīte, bet ar citu uzlīmi.

RIPE Atlas ir bezmaksas programma. Jūs reģistrējaties, saņemat maršrutētāju pa pastu un pievienojiet to tīklam. Par to, ka kāds cits izmanto jūsu paraugu, jūs saņemat dažus kredītus. Izmantojot šos aizdevumus, jūs pats varat veikt pētījumu. Jūs varat pārbaudīt dažādos veidos: ping, traceroute, pārbaudīt sertifikātus. Pārklājums ir diezgan liels, ir daudz mezglu. Bet ir nianses.

Kredītu sistēma nepieļauj ēku ražošanas risinājumus. Nepietiks kredītu pastāvīgai izpētei vai komerciālai uzraudzībai. Kredītpunkti ir pietiekami īsai studijai vai vienreizējai pārbaudei. Dienas normu no viena parauga patērē 1-2 pārbaudes.

Pārklājums ir nevienmērīgs. Tā kā programma ir bezmaksas abos virzienos, pārklājums ir labs Eiropā, Krievijas Eiropas daļā un dažos reģionos. Bet, ja vajag Indonēziju vai Jaunzēlandi, tad viss ir daudz sliktāk – var nebūt 50 paraugu uz valsti.

Jūs nevarat pārbaudīt http no parauga. Tas ir saistīts ar tehniskām niansēm. Viņi sola to salabot jaunajā versijā, bet pagaidām http nevar pārbaudīt. Var pārbaudīt tikai sertifikātu. Kaut kādu http pārbaudi var veikt tikai īpašai RIPE Atlas ierīcei ar nosaukumu Anchor.

Otrā metode ir komerciāla uzraudzība. Ar viņu viss ir kārtībā, jūs maksājat naudu, vai ne? Viņi sola jums vairākus desmitus vai simtiem uzraudzības punktu visā pasaulē un izvelk skaistus informācijas paneļus no kastes. Bet atkal ir problēmas.

Tas ir maksas, dažviet tas ir ļoti. Ping uzraudzība, pārbaudes visā pasaulē un daudzas http pārbaudes var maksāt vairākus tūkstošus dolāru gadā. Ja finanses atļauj un jums patīk šis risinājums, turpiniet.

Interesējošā reģionā segums var nebūt pietiekams. Ar to pašu ping tiek norādīta maksimums abstrakta pasaules daļa - Āzija, Eiropa, Ziemeļamerika. Retas monitoringa sistēmas var izvērst līdz noteiktai valstij vai reģionam.

Vājš atbalsts pielāgotajiem testiem. Ja jums ir nepieciešams kaut kas pielāgots, nevis tikai “cirtaini” URL, arī ar to ir problēmas.

Trešais veids ir jūsu uzraudzība. Šī ir klasika: “Rakstīsim paši!”

Jūsu uzraudzība pārvēršas par programmatūras produkta un izplatīta produkta izstrādi. Jūs meklējat infrastruktūras nodrošinātāju, apskatiet, kā to izvietot un uzraudzīt - monitorings ir jāuzrauga, vai ne? Un arī atbalsts ir vajadzīgs. Padomājiet desmit reizes, pirms sākat to darīt. Var būt vieglāk samaksāt kādam, lai tas to izdarītu jūsu vietā.

BGP anomāliju un DDoS uzbrukumu uzraudzība

Šeit, pamatojoties uz pieejamajiem resursiem, viss ir vēl vienkāršāk. BGP anomālijas tiek atklātas, izmantojot specializētus pakalpojumus, piemēram, QRadar, BGPmon. Viņi pieņem pilna skata tabulu no vairākiem operatoriem. Pamatojoties uz to, ko viņi redz no dažādiem operatoriem, viņi var atklāt anomālijas, meklēt pastiprinātājus utt. Reģistrācija parasti ir bez maksas – jūs ievadāt savu tālruņa numuru, abonējat e-pasta paziņojumus, un pakalpojums jūs brīdinās par jūsu problēmām.

DDoS uzbrukumu uzraudzība ir arī vienkārša. Parasti tas ir Uz NetFlow bāzes un žurnāli. Ir tādas specializētas sistēmas kā FastNetMon, moduļi priekš Plankumains. Kā pēdējais līdzeklis ir jūsu DDoS aizsardzības nodrošinātājs. Tas var arī noplūst NetFlow un, pamatojoties uz to, paziņos par uzbrukumiem jūsu virzienā.

Atzinumi

Nevajag ilūzijas – internets noteikti salūzīs. Ne jau viss un ne visi salūzīs, taču 14 tūkstoši incidentu 2017. gadā liek domāt, ka incidenti būs.

Tavs uzdevums ir pamanīt problēmas pēc iespējas agrāk. Vismaz ne vēlāk kā jūsu lietotājs. Ir svarīgi ne tikai atzīmēt, bet arī vienmēr paturēt "plānu B" rezervē. Plāns ir stratēģija tam, ko jūs darīsit, kad viss sabojāsies.: rezerves operatori, DC, CDN. Plāns ir atsevišķs kontrolsaraksts, pēc kura jūs pārbaudāt visu darbu. Plānam vajadzētu darboties bez tīkla inženieru iesaistīšanas, jo parasti viņu ir maz un viņi vēlas gulēt.

Tas ir viss. Es novēlu jums augstu pieejamību un zaļo uzraudzību.

Nākamnedēļ Novosibirskā gaidāma saulīte, liela slodze un liela izstrādātāju koncentrācija HighLoad++ Sibīrija 2019. Sibīrijā tiek prognozēta ziņojumu fronte par uzraudzību, pieejamību un testēšanu, drošību un pārvaldību. Nokrišņi ir gaidāmi rakstītu piezīmju, tīklošanās, fotogrāfiju un ierakstu veidā sociālajos tīklos. Iesakām pārcelt visas aktivitātes 24. un 25. jūnijā un rezervēt biļetes. Gaidām Tevi Sibīrijā!

Avots: www.habr.com