Å Ä·iet, ka internets ir spÄcÄ«ga, neatkarÄ«ga un neiznÄ«cinÄma struktÅ«ra. TeorÄtiski tÄ«kls ir pietiekami spÄcÄ«gs, lai izdzÄ«votu kodolsprÄdzienÄ. PatiesÄ«bÄ internets var nomest vienu mazu marÅ”rutÄtÄju. Viss tÄpÄc, ka internetÄ ir daudz pretrunu, ievainojamÄ«bu, kļūdu un video par kaÄ·iem. Interneta mugurkauls BGP ir pilns ar problÄmÄm. Tas ir pÄrsteidzoÅ”i, ka viÅÅ” joprojÄm elpo. Papildus kļūdÄm paÅ”Ä internetÄ to lauž arÄ« visi un dažÄdi: lielie interneta pakalpojumu sniedzÄji, korporÄcijas, valstis un DDoS uzbrukumi. Ko ar to darÄ«t un kÄ ar to sadzÄ«vot?
Zina atbildi Aleksejs UÄakins (Nakts_ÄÅ«ska) ir IQ Option tÄ«kla inženieru komandas vadÄ«tÄjs. TÄs galvenais uzdevums ir platformas pieejamÄ«ba lietotÄjiem. Alekseja ziÅojuma stenogrammÄ par Saint HighLoad++ 2019 ParunÄsim par BGP, DDOS uzbrukumiem, interneta slÄdžiem, pakalpojumu sniedzÄju kļūdÄm, decentralizÄciju un gadÄ«jumiem, kad mazs marÅ”rutÄtÄjs internetu nosÅ«tÄ«ja miegÄ. NobeigumÄ - pÄris padomi, kÄ to visu pÄrdzÄ«vot.
Diena, kad izjuka internets
Es minÄÅ”u tikai dažus gadÄ«jumus, kad interneta savienojums pÄrtrÅ«ka. Ar to pietiks pilnÄ«gam attÄlam.
"AS7007 incidents". Pirmo reizi internets pÄrtrÅ«ka 1997. gada aprÄ«lÄ«. Viena marÅ”rutÄtÄja programmatÅ«rÄ bija kļūda no autonomÄs sistÄmas 7007. KÄdÄ brÄ«dÄ« marÅ”rutÄtÄjs saviem kaimiÅiem paziÅoja par savu iekÅ”Äjo marÅ”rutÄÅ”anas tabulu un pusi tÄ«kla nosÅ«tÄ«ja melnajÄ caurumÄ.
"PakistÄna pret YouTube". 2008. gadÄ drosmÄ«gi puiÅ”i no PakistÄnas nolÄma bloÄ·Ät YouTube. ViÅiem tas izdevÄs tik labi, ka puse pasaules palika bez kaÄ·iem.
āVisa, MasterCard un Symantec prefiksu uztverÅ”ana, izmantojot Rostelecomā. 2017. gadÄ Rostelecom kļūdaini sÄka izziÅot VISA, MasterCard un Symantec prefiksus. RezultÄtÄ finanÅ”u datplÅ«sma tika novirzÄ«ta caur pakalpojumu sniedzÄja kontrolÄtiem kanÄliem. NoplÅ«de nebija ilga, taÄu finanÅ”u kompÄnijÄm tÄ bija nepatÄ«kama.
Google pret JapÄnu. 2017. gada augustÄ Google dažÄs savÄs augÅ”upsaitÄs sÄka izziÅot lielÄko JapÄnas pakalpojumu sniedzÄju NTT un KDDI prefiksus. Satiksme tika nosÅ«tÄ«ta Google kÄ tranzÄ«ta, visticamÄk, kļūdas dÄļ. TÄ kÄ Google nav pakalpojumu sniedzÄjs un neatļauj tranzÄ«ta trafiku, ievÄrojama JapÄnas daļa palika bez interneta.
āDV LINK tvÄra Google, Apple, Facebook, Microsoft prefiksusā. ArÄ« 2017. gadÄ Krievijas pakalpojumu sniedzÄjs DV LINK kÄdu iemeslu dÄļ sÄka izziÅot Google, Apple, Facebook, Microsoft un dažu citu lielÄko spÄlÄtÄju tÄ«klus.
āeNet no ASV ir tvÄris AWS Route53 un MyEtherwallet prefiksusā. 2018. gadÄ Ohaio pakalpojumu sniedzÄjs vai kÄds no tÄ klientiem paziÅoja par Amazon Route53 un MyEtherwallet kriptogrÄfijas maku tÄ«kliem. Uzbrukums bija veiksmÄ«gs: pat neskatoties uz paÅ”parakstÄ«to sertifikÄtu, par kuru lietotÄjam parÄdÄ«jÄs brÄ«dinÄjums, ienÄkot vietnÄ MyEtherwallet, tika nolaupÄ«ti daudzi maki un nozagta daļa kriptovalÅ«tas.
2017. gadÄ vien bija vairÄk nekÄ 14 000 Å”Ädu incidentu! TÄ«kls joprojÄm ir decentralizÄts, tÄpÄc ne viss un ne visi sabojÄjas. Bet ir tÅ«kstoÅ”iem incidentu, kas visi ir saistÄ«ti ar BGP protokolu, kas nodroÅ”ina interneta darbÄ«bu.
BGP un tÄs problÄmas
Protokols BGP ā Border Gateway Protocol, pirmo reizi 1989. gadÄ aprakstÄ«ja divi IBM un Cisco Systems inženieri uz trim āsalvetÄmā ā A4 formÄta lapÄm. Å ie "salvetes" joprojÄm sÄž Cisco Systems galvenajÄ mÄ«tnÄ Sanfrancisko kÄ tÄ«kla pasaules relikts.
Protokols ir balstÄ«ts uz autonomu sistÄmu mijiedarbÄ«bu - AutonomÄs sistÄmas vai saÄ«sinÄti AS. AutonomÄ sistÄma ir vienkÄrÅ”i ID, kuram publiskajÄ reÄ£istrÄ tiek pieŔķirti IP tÄ«kli. MarÅ”rutÄtÄjs ar Å”o ID var paziÅot par Å”iem tÄ«kliem pasaulei. AttiecÄ«gi jebkuru marÅ”rutu internetÄ var attÄlot kÄ vektoru, ko sauc AS ceļŔ. Vektors sastÄv no autonomo sistÄmu skaita, kas jÄŔķÄrso, lai sasniegtu mÄrÄ·a tÄ«klu.
PiemÄram, ir vairÄku autonomu sistÄmu tÄ«kls. Jums ir jÄpÄriet no sistÄmas AS65001 uz sistÄmu AS65003. Ceļu no vienas sistÄmas diagrammÄ attÄlo AS Path. Tas sastÄv no divÄm autonomÄm sistÄmÄm: 65002 un 65003. Katrai galamÄrÄ·a adresei ir AS ceļa vektors, kas sastÄv no autonomo sistÄmu skaita, kurÄm mums jÄiet cauri.
TÄtad, kÄdas ir problÄmas ar BGP?
BGP ir uzticamības protokols
BGP protokols ir balstÄ«ts uz uzticÄÅ”anos. Tas nozÄ«mÄ, ka mÄs pÄc noklusÄjuma uzticamies savam tuvÄkajam. Å Ä« ir daudzu protokolu iezÄ«me, kas tika izstrÄdÄti paÅ”Ä interneta rÄ«tausmÄ. IzdomÄsim, ko nozÄ«mÄ āuzticÄÅ”anÄsā.
Nav kaimiÅa autentifikÄcijas. FormÄli ir MD5, bet MD5 2019. gadÄ ir tieÅ”i tÄds...
Nav filtrÄÅ”anas. BGP ir filtri un tie ir aprakstÄ«ti, bet tie netiek izmantoti vai tiek izmantoti nepareizi. Es paskaidroÅ”u vÄlÄk, kÄpÄc.
Ir ļoti vienkÄrÅ”i izveidot apkÄrtni. Apkaimes iestatÄ«Å”ana BGP protokolÄ gandrÄ«z jebkurÄ marÅ”rutÄtÄjÄ ir dažas konfigurÄcijas rindas.
Nav nepiecieÅ”amas BGP pÄrvaldÄ«bas tiesÄ«bas. Jums nav jÄkÄrto eksÄmeni, lai pierÄdÄ«tu savu kvalifikÄciju. Neviens tev neatÅems tiesÄ«bas par BGP konfigurÄÅ”anu dzÄrumÄ.
Divas galvenÄs problÄmas
Prefiksu nolaupÄ«Å”ana. Prefiksu nolaupÄ«Å”ana ir tÄda tÄ«kla reklamÄÅ”ana, kas jums nepieder, kÄ tas ir MyEtherwallet gadÄ«jumÄ. MÄs paÅÄmÄm dažus prefiksus, vienojÄmies ar pakalpojumu sniedzÄju vai uzlauzÄm to, un caur to mÄs paziÅojam par Å”iem tÄ«kliem.
MarÅ”ruta noplÅ«des. NoplÅ«des ir nedaudz sarežģītÄkas. NoplÅ«de ir izmaiÅas AS ceļÄ. LabÄkajÄ gadÄ«jumÄ izmaiÅas radÄ«s lielÄku kavÄÅ”anos, jo jums jÄbrauc garÄks marÅ”ruts vai mazÄk ietilpÄ«gs posms. SliktÄkajÄ gadÄ«jumÄ tiks atkÄrtots gadÄ«jums ar Google un JapÄnu.
Google pati par sevi nav operators vai tranzÄ«ta autonoma sistÄma. TaÄu, kad viÅÅ” savam pakalpojumu sniedzÄjam paziÅoja par JapÄnas operatoru tÄ«kliem, datplÅ«sma caur Google, izmantojot AS Path, tika uzskatÄ«ta par augstÄku prioritÄti. Satiksme devÄs uz turieni un samazinÄjÄs tikai tÄpÄc, ka marÅ”rutÄÅ”anas iestatÄ«jumi Google iekÅ”ienÄ ir sarežģītÄki nekÄ tikai filtri uz robežas.
KÄpÄc filtri nedarbojas?
Nevienam tas nerÅ«p. Tas ir galvenais iemesls ā tas nevienu neinteresÄ. Neliela provaidera vai uzÅÄmuma administrators, kurÅ” pieslÄdzÄs pie nodroÅ”inÄtÄja caur BGP, paÅÄma MikroTik, konfigurÄja tajÄ BGP un pat nezina, ka tur var konfigurÄt filtrus.
KonfigurÄcijas kļūdas. ViÅi kaut ko sajauca, kļūdÄ«jÄs maskÄ, uzlika nepareizu sietu - un tagad atkal ir kļūda.
Nav tehnisku iespÄju. PiemÄram, telekomunikÄciju pakalpojumu sniedzÄjiem ir daudz klientu. Gudri ir automÄtiski atjauninÄt filtrus katram klientam ā uzraudzÄ«t, vai viÅam ir jauns tÄ«kls, vai viÅÅ” ir kÄdam izÄ«rÄjis savu tÄ«klu. Tam ir grÅ«ti sekot, un vÄl grÅ«tÄk ir ar rokÄm. TÄpÄc viÅi vienkÄrÅ”i uzstÄda atvieglinÄtus filtrus vai neinstalÄ filtrus vispÄr.
IzÅÄmumi. Ir izÅÄmumi mīļotajiem un lielajiem klientiem. ÄŖpaÅ”i starpoperatoru saskarÅu gadÄ«jumÄ. PiemÄram, TransTeleCom un Rostelecom ir daudz tÄ«klu, un starp tiem ir saskarne. Ja locÄ«tava nokrÄ«t, tas nevienam nenÄks par labu, tÄpÄc filtri tiek atslÄbinÄti vai noÅemti pilnÄ«bÄ.
Novecojusi vai neatbilstoÅ”a informÄcija IRR. Filtri tiek veidoti, pamatojoties uz ierakstÄ«to informÄciju IRR ā interneta marÅ”rutÄÅ”anas reÄ£istrs. Tie ir reÄ£ionÄlo interneta reÄ£istratoru reÄ£istri. Bieži vien reÄ£istros ir novecojusi vai neatbilstoÅ”a informÄcija vai abas.
Kas ir Ŕie reģistratori?
Visas interneta adreses pieder organizÄcijai IANA ā interneta pieŔķirto numuru iestÄde. PÄrkot no kÄda IP tÄ«klu, jÅ«s pÄrkat nevis adreses, bet gan tiesÄ«bas tÄs izmantot. Adreses ir nemateriÄls resurss, un pÄc kopÄ«gas vienoÅ”anÄs tÄs visas pieder IANA.
SistÄma darbojas Å”Ädi. IANA deleÄ£Ä IP adreÅ”u un autonomo sistÄmu numuru pÄrvaldÄ«bu pieciem reÄ£ionÄlajiem reÄ£istratoriem. ViÅi izdod autonomas sistÄmas LIR - vietÄjie interneta reÄ£istratori. PÄc tam LIR galalietotÄjiem pieŔķir IP adreses.
SistÄmas trÅ«kums ir tÄds, ka katrs no reÄ£ionÄlajiem reÄ£istriem uztur savus reÄ£istrus savÄ veidÄ. Katram ir savs viedoklis par to, kÄdai informÄcijai jÄbÅ«t reÄ£istros un kam tÄ ir jÄpÄrbauda. RezultÄts ir tÄds haoss, kÄds mums tagad ir.
KÄ vÄl jÅ«s varat cÄ«nÄ«ties ar Ŕīm problÄmÄm?
IRR - viduvÄja kvalitÄte. Ar IRR ir skaidrs - tur viss ir slikti.
BGP kopienas. Å is ir atribÅ«ts, kas aprakstÄ«ts protokolÄ. MÄs varam savam sludinÄjumam pievienot, piemÄram, Ä«paÅ”u kopienu, lai kaimiÅÅ” nesÅ«tÄ«tu mÅ«su tÄ«klus saviem kaimiÅiem. Ja mums ir P2P saite, mÄs apmainÄmies tikai ar saviem tÄ«kliem. Lai marÅ”ruts nejauÅ”i nenonÄktu citos tÄ«klos, mÄs pievienojam kopienu.
Kopienas nav pÄrejoÅ”as. Tas vienmÄr ir lÄ«gums diviem, un tas ir viÅu trÅ«kums. MÄs nevaram pieŔķirt nevienu kopienu, izÅemot vienu, kuru pÄc noklusÄjuma pieÅem visi. MÄs nevaram bÅ«t droÅ”i, ka visi pieÅems Å”o kopienu un interpretÄs to pareizi. TÄpÄc labÄkajÄ gadÄ«jumÄ, ja jÅ«s piekrÄ«tat savam augÅ”upsaitei, viÅÅ” sapratÄ«s, ko jÅ«s no viÅa gribat kopienas ziÅÄ. Bet jÅ«su kaimiÅÅ” var nesaprast, vai arÄ« operators vienkÄrÅ”i atiestatÄ«s jÅ«su tagu, un jÅ«s nesasniegsit to, ko gribÄjÄt.
RPKI + ROA atrisina tikai nelielu daļu problÄmu. RPKI ir Resursu publiskÄs atslÄgas infrastruktÅ«ra ā Ä«paÅ”a sistÄma marÅ”rutÄÅ”anas informÄcijas parakstÄ«Å”anai. Ir ieteicams piespiest LIR un viÅu klientus uzturÄt atjauninÄtu adreÅ”u telpas datu bÄzi. Bet ar to ir viena problÄma.
RPKI ir arÄ« hierarhiska publiskÄs atslÄgas sistÄma. IANA ir atslÄga, no kuras tiek Ä£enerÄtas RIR atslÄgas un no kuras tiek Ä£enerÄtas LIR atslÄgas? ar kuru viÅi paraksta savu adreÅ”u telpu, izmantojot ROA ā marÅ”ruta izcelsmes pilnvaras:
ā Es jums apliecinu, ka Å”is prefikss tiks paziÅots Ŕī autonomÄ reÄ£iona vÄrdÄ.
Papildus ROA ir arÄ« citi objekti, bet par tiem sÄ«kÄk vÄlÄk. Å Ä·iet, ka tÄ ir laba un noderÄ«ga lieta. Bet tas mÅ«s nepasargÄ no vÄrda āvispÄrā noplÅ«dÄm un neatrisina visas problÄmas ar prefiksu nolaupÄ«Å”anu. TÄpÄc spÄlÄtÄji nesteidzas to Ä«stenot. Lai gan jau ir garantijas no lieliem spÄlÄtÄjiem, piemÄram, AT&T un lieliem IX uzÅÄmumiem, ka prefiksi ar nederÄ«gu ROA ierakstu tiks atcelti.
VarbÅ«t viÅi to darÄ«s, taÄu pagaidÄm mums ir milzÄ«gs skaits prefiksu, kas nekÄdÄ veidÄ nav parakstÄ«ti. No vienas puses, nav skaidrs, vai tie ir likumÄ«gi izsludinÄti. No otras puses, mÄs nevaram tos atmest pÄc noklusÄjuma, jo mÄs neesam pÄrliecinÄti, vai tas ir pareizi vai nÄ.
Kas vÄl tur ir?
BGPSec. Å Ä« ir lieliska lieta, ko akadÄmiÄ·i izdomÄja rozÄ poniju tÄ«klam. ViÅi teica:
- Mums ir RPKI + ROA - mehÄnisms adreÅ”u telpas parakstu pÄrbaudei. Izveidosim atseviŔķu BGP atribÅ«tu un nosauksim to par BGPSec Path. Katrs marÅ”rutÄtÄjs ar savu parakstu parakstÄ«s paziÅojumus, ko tas paziÅo saviem kaimiÅiem. TÄdÄ veidÄ mÄs iegÅ«sim uzticamu ceļu no parakstÄ«to paziÅojumu Ä·Ädes un varÄsim to pÄrbaudÄ«t.
TeorÄtiski labi, bet praksÄ ir daudz problÄmu. BGPSec izjauc daudzas esoÅ”Äs BGP mehÄnikas, lai atlasÄ«tu nÄkamos lÄcienus un pÄrvaldÄ«tu ienÄkoÅ”o/izejoÅ”o trafiku tieÅ”i marÅ”rutÄtÄjÄ. BGPSec nedarbojas, kamÄr 95% no visa tirgus nav to ieviesuÅ”i, kas pati par sevi ir utopija.
BGPSec ir milzÄ«gas veiktspÄjas problÄmas. PaÅ”reizÄjÄ aparatÅ«rÄ paziÅojumu pÄrbaudes Ätrums ir aptuveni 50 prefiksi sekundÄ. SalÄ«dzinÄjumam: paÅ”reizÄjÄ interneta tabula ar 700 000 prefiksiem tiks augÅ”upielÄdÄta 5 stundu laikÄ, kuru laikÄ tÄ mainÄ«sies vÄl 10 reizes.
BGP atvÄrtÄ politika (uz lomu balstÄ«ta BGP). Jauns priekÅ”likums, kas balstÄ«ts uz modeli Gao-Rexford. Å ie ir divi zinÄtnieki, kas pÄta BGP.
Gao-Rexford modelis ir Å”Äds. Lai vienkÄrÅ”otu, ar BGP ir neliels skaits mijiedarbÄ«bas veidu:
NodroÅ”inÄtÄjs Klients;
P2P;
iekÅ”ÄjÄ komunikÄcija, teiksim iBGP.
Pamatojoties uz marÅ”rutÄtÄja lomu, jau pÄc noklusÄjuma ir iespÄjams pieŔķirt noteiktas importa/eksporta politikas. Administratoram nav jÄkonfigurÄ prefiksu saraksti. Pamatojoties uz lomu, par kuru marÅ”rutÄtÄji vienojas savÄ starpÄ un kuru var iestatÄ«t, mÄs jau saÅemam dažus noklusÄjuma filtrus. PaÅ”laik Å”is ir melnraksts, kas tiek apspriests IETF. Es ceru, ka drÄ«z mÄs to redzÄsim RFC formÄtÄ un ievieÅ”anas aparatÅ«rÄ.
Lieli interneta pakalpojumu sniedzÄji
ApskatÄ«sim pakalpojumu sniedzÄja piemÄru CenturyLink. Tas ir treÅ”ais lielÄkais ASV pakalpojumu sniedzÄjs, kas apkalpo 37 Å”tatus un kam ir 15 datu centri.ā
2018. gada decembrÄ« CenturyLink bija ASV tirgÅ« 50 stundas. Incidenta laikÄ divos Å”tatos bija problÄmas ar bankomÄtu darbÄ«bu, un piecos Å”tatos vairÄkas stundas nedarbojÄs 911 numurs. Loterija Aidaho bija pilnÄ«bÄ izpostÄ«ta. PaÅ”laik notikuÅ”o izmeklÄ ASV TelekomunikÄciju komisija.
TraÄ£Ädijas cÄlonis bija viena tÄ«kla karte vienÄ datu centrÄ. Karte nedarbojÄs, nosÅ«tÄ«ja nepareizas paketes, un visi 15 pakalpojumu sniedzÄja datu centri pazuda.
Å im pakalpojumu sniedzÄjam Ŕī ideja nedarbojÄs "pÄrÄk liels, lai nokristu". Å Ä« ideja vispÄr nedarbojas. JÅ«s varat paÅemt jebkuru galveno spÄlÄtÄju un likt virsÅ« dažas mazas lietas. ASV joprojÄm klÄjas labi savienojamÄ«bas jomÄ. CenturyLink klienti, kuriem bija rezerve, tajÄ iegÄja bariem. Tad alternatÄ«vie operatori sÅ«dzÄjÄs par viÅu saiÅ”u pÄrslogoÅ”anu.
Ja nosacītais Kazakhtelecom kritīs, visa valsts paliks bez interneta.
KorporÄcijas
DroÅ”i vien Google, Amazon, FaceBook un citas korporÄcijas atbalsta internetu? NÄ, viÅi arÄ« to salauž.
2017. gadÄ SanktpÄterburgÄ ENOG13 konferencÄ Džefs HjÅ«stons no APNIC ieviesa ziÅojums "TranzÄ«ta nÄve". TajÄ teikts, ka mÄs esam pieraduÅ”i, ka mijiedarbÄ«ba, naudas plÅ«sma un trafika internetÄ ir vertikÄla. Mums ir mazi pakalpojumu sniedzÄji, kas maksÄ par savienojumu ar lielÄkiem, un viÅi jau maksÄ par savienojumu ar globÄlo tranzÄ«tu.
Tagad mums ir tÄda vertikÄli orientÄta struktÅ«ra. Viss bÅ«tu labi, bet pasaule mainÄs ā lielÄkie spÄlÄtÄji bÅ«vÄ savus aizokeÄna kabeļus, lai izveidotu savus mugurkaulus.
ZiÅas par CDN kabeli.
2018. gadÄ TeleGeography publicÄja pÄtÄ«jumu, ka vairÄk nekÄ puse no interneta trafika vairs nav internets, bet gan lielo spÄlÄtÄju CDN mugurkauls. Å Ä« ir satiksme, kas ir saistÄ«ta ar internetu, taÄu tas vairs nav tÄ«kls, par kuru mÄs runÄjÄm.
Microsoft ir savs tÄ«kls, Google ir savs, un tie nedaudz pÄrklÄjas viens ar otru. Satiksme, kuras izcelsme ir kaut kur ASV, iet caur Microsoft kanÄliem pÄri okeÄnam uz Eiropu kaut kur CDN, pÄc tam caur CDN vai IX savienojas ar jÅ«su pakalpojumu sniedzÄju un nonÄk jÅ«su marÅ”rutÄtÄjÄ.
DecentralizÄcija pazÅ«d.
Å is interneta spÄks, kas tam palÄ«dzÄs izdzÄ«vot kodolsprÄdzienÄ, tiek zaudÄts. ParÄdÄs lietotÄju un trafika koncentrÄcijas vietas. Ja nosacÄ«tais Google mÄkonis nokrÄ«t, upuri bÅ«s daudz uzreiz. MÄs to daļÄji jutÄm, kad Roskomnadzor bloÄ·Äja AWS. Un CenturyLink piemÄrs parÄda, ka tam pietiek pat ar sÄ«kumiem.
IepriekÅ” ne viss un ne visi salÅ«za. NÄkotnÄ mÄs varam nonÄkt pie secinÄjuma, ka, ietekmÄjot vienu galveno spÄlÄtÄju, mÄs varam salauzt daudzas lietas, daudzas vietas un daudzus cilvÄkus.
Å tatos
Valstis ir nÄkamÄs rindÄ, un tas parasti notiek ar tiem.
Å eit mÅ«su Roskomnadzor vispÄr nav pat pionieris. LÄ«dzÄ«ga interneta izslÄgÅ”anas prakse pastÄv IrÄnÄ, IndijÄ un PakistÄnÄ. AnglijÄ ir likumprojekts par iespÄju slÄgt internetu.
Jebkura liela valsts vÄlas iegÅ«t slÄdzi, lai pilnÄ«bÄ vai daļÄji izslÄgtu internetu: Twitter, Telegram, Facebook. Nav tÄ, ka viÅi nesaprot, ka viÅiem nekad neizdosies, bet viÅi to ļoti vÄlas. SlÄdzis parasti tiek izmantots politiskiem mÄrÄ·iem - lai likvidÄtu politiskos konkurentus, vai tuvojas vÄlÄÅ”anas, vai Krievijas hakeri atkal kaut ko salauzuÅ”i.
DDoS uzbrukumi
Es neatÅemÅ”u maizi saviem biedriem no Qrator Labs, viÅi to dara daudz labÄk nekÄ es. ViÅiem ir ikgadÄjÄ atskaite par interneta stabilitÄti. Un tas ir tas, ko viÅi rakstÄ«ja 2018. gada pÄrskatÄ.
VidÄjais DDoS uzbrukumu ilgums samazinÄs lÄ«dz 2.5 stundÄm. UzbrucÄji arÄ« sÄk skaitÄ«t naudu, un, ja resurss uzreiz nav pieejams, tad Ätri vien atstÄj mierÄ.
Uzbrukumu intensitÄte pieaug. 2018. gadÄ Akamai tÄ«klÄ redzÄjÄm 1.7 Tb/s, un tas nav ierobežojums.
Rodas jauni uzbrukumu vektori, un vecie pastiprinÄs. ParÄdÄs jauni protokoli, kas ir pakļauti pastiprinÄÅ”anai, un rodas jauni uzbrukumi esoÅ”ajiem protokoliem, Ä«paÅ”i TLS un tamlÄ«dzÄ«giem.
LielÄkÄ daļa trafika ir no mobilajÄm ierÄ«cÄm. TajÄ paÅ”Ä laikÄ interneta trafiks pÄriet uz mobilajiem klientiem. Ar to jÄspÄj strÄdÄt gan tiem, kas uzbrÅ«k, gan tiem, kas aizstÄv.
Neievainojams - nÄ. TÄ ir galvenÄ doma ā nav universÄlas aizsardzÄ«bas, kas noteikti pasargÄs no jebkÄdiem DDoS.
SistÄmu nevar instalÄt, ja tÄ nav savienota ar internetu.
Ceru, ka esmu tevi pietiekami nobiedÄjis. Tagad padomÄsim, ko ar to darÄ«t.
Ko darīt?!
Ja ir brÄ«vs laiks, vÄlme un angļu valodas zinÄÅ”anas, piedalies darba grupÄs: IETF, RIPE WG. Tie ir atvÄrti pasta saraksti, abonÄjiet adresÄtu sarakstus, piedalieties diskusijÄs, nÄciet uz konferencÄm. Ja tev ir LIR statuss, vari balsot, piemÄram, RIPE par dažÄdÄm iniciatÄ«vÄm.
VienkÄrÅ”iem mirstÄ«gajiem tas ir uzraudzÄ«bu. Lai zinÄtu, kas ir salauzts.
UzraudzÄ«ba: ko pÄrbaudÄ«t?
Parasts Ping, un ne tikai binÄrÄ pÄrbaude - tas darbojas vai nÄ. Ierakstiet RTT vÄsturÄ, lai vÄlÄk varÄtu apskatÄ«t anomÄlijas.
Traceroute. Å Ä« ir utilÄ«ta programma datu marÅ”rutu noteikÅ”anai TCP/IP tÄ«klos. PalÄ«dz noteikt anomÄlijas un aizsprostojumus.
HTTP pÄrbauda pielÄgotos URL un TLS sertifikÄtus palÄ«dzÄs atklÄt bloÄ·ÄÅ”anu vai DNS viltoÅ”anu uzbrukumam, kas praktiski ir tas pats. BloÄ·ÄÅ”anu bieži veic DNS viltoÅ”ana un trafika pÄrvÄrÅ”ana uz nepilnÄ«gu lapu.
Ja iespÄjams, pÄrbaudiet savu klientu apÅemÅ”anos par jÅ«su izcelsmi no dažÄdÄm vietÄm, ja jums ir pieteikums. Tas palÄ«dzÄs atklÄt DNS nolaupÄ«Å”anas anomÄlijas, ko pakalpojumu sniedzÄji dažreiz dara.
UzraudzÄ«ba: kur pÄrbaudÄ«t?
Nav universÄlas atbildes. PÄrbaudiet, no kurienes nÄk lietotÄjs. Ja lietotÄji atrodas KrievijÄ, pÄrbaudiet no Krievijas, taÄu neaprobežojieties ar to. Ja jÅ«su lietotÄji dzÄ«vo dažÄdos reÄ£ionos, pÄrbaudiet Å”ajos reÄ£ionos. Bet labÄk no visas pasaules.
UzraudzÄ«ba: ko pÄrbaudÄ«t?
Es izdomÄju trÄ«s veidus. Ja zini vairÄk, raksti komentÄros.
NOBRAUKUMS atlants.
KomerciÄlÄ uzraudzÄ«ba.
JÅ«su virtuÄlo maŔīnu tÄ«kls.
ParunÄsim par katru no tiem.
NOBRAUKUMS atlants - tÄ ir tik maza kastÄ«te. Tiem, kas pazÄ«st paÅ”mÄju "Inspektoru" - Ŕī ir tÄ pati kastÄ«te, bet ar citu uzlÄ«mi.
RIPE Atlas ir bezmaksas programma. JÅ«s reÄ£istrÄjaties, saÅemat marÅ”rutÄtÄju pa pastu un pievienojiet to tÄ«klam. Par to, ka kÄds cits izmanto jÅ«su paraugu, jÅ«s saÅemat dažus kredÄ«tus. Izmantojot Å”os aizdevumus, jÅ«s pats varat veikt pÄtÄ«jumu. JÅ«s varat pÄrbaudÄ«t dažÄdos veidos: ping, traceroute, pÄrbaudÄ«t sertifikÄtus. PÄrklÄjums ir diezgan liels, ir daudz mezglu. Bet ir nianses.
KredÄ«tu sistÄma nepieļauj Äku ražoÅ”anas risinÄjumus. Nepietiks kredÄ«tu pastÄvÄ«gai izpÄtei vai komerciÄlai uzraudzÄ«bai. KredÄ«tpunkti ir pietiekami Ä«sai studijai vai vienreizÄjai pÄrbaudei. Dienas normu no viena parauga patÄrÄ 1-2 pÄrbaudes.
PÄrklÄjums ir nevienmÄrÄ«gs. TÄ kÄ programma ir bezmaksas abos virzienos, pÄrklÄjums ir labs EiropÄ, Krievijas Eiropas daÄ¼Ä un dažos reÄ£ionos. Bet, ja vajag IndonÄziju vai JaunzÄlandi, tad viss ir daudz sliktÄk ā var nebÅ«t 50 paraugu uz valsti.
JÅ«s nevarat pÄrbaudÄ«t http no parauga. Tas ir saistÄ«ts ar tehniskÄm niansÄm. ViÅi sola to salabot jaunajÄ versijÄ, bet pagaidÄm http nevar pÄrbaudÄ«t. Var pÄrbaudÄ«t tikai sertifikÄtu. Kaut kÄdu http pÄrbaudi var veikt tikai Ä«paÅ”ai RIPE Atlas ierÄ«cei ar nosaukumu Anchor.
OtrÄ metode ir komerciÄla uzraudzÄ«ba. Ar viÅu viss ir kÄrtÄ«bÄ, jÅ«s maksÄjat naudu, vai ne? ViÅi sola jums vairÄkus desmitus vai simtiem uzraudzÄ«bas punktu visÄ pasaulÄ un izvelk skaistus informÄcijas paneļus no kastes. Bet atkal ir problÄmas.
Tas ir maksas, dažviet tas ir ļoti. Ping uzraudzÄ«ba, pÄrbaudes visÄ pasaulÄ un daudzas http pÄrbaudes var maksÄt vairÄkus tÅ«kstoÅ”us dolÄru gadÄ. Ja finanses atļauj un jums patÄ«k Å”is risinÄjums, turpiniet.
InteresÄjoÅ”Ä reÄ£ionÄ segums var nebÅ«t pietiekams. Ar to paÅ”u ping tiek norÄdÄ«ta maksimums abstrakta pasaules daļa - Äzija, Eiropa, Ziemeļamerika. Retas monitoringa sistÄmas var izvÄrst lÄ«dz noteiktai valstij vai reÄ£ionam.
VÄjÅ” atbalsts pielÄgotajiem testiem. Ja jums ir nepiecieÅ”ams kaut kas pielÄgots, nevis tikai ācirtainiā URL, arÄ« ar to ir problÄmas.
TreÅ”ais veids ir jÅ«su uzraudzÄ«ba. Å Ä« ir klasika: āRakstÄ«sim paÅ”i!ā
JÅ«su uzraudzÄ«ba pÄrvÄrÅ”as par programmatÅ«ras produkta un izplatÄ«ta produkta izstrÄdi. JÅ«s meklÄjat infrastruktÅ«ras nodroÅ”inÄtÄju, apskatiet, kÄ to izvietot un uzraudzÄ«t - monitorings ir jÄuzrauga, vai ne? Un arÄ« atbalsts ir vajadzÄ«gs. PadomÄjiet desmit reizes, pirms sÄkat to darÄ«t. Var bÅ«t vieglÄk samaksÄt kÄdam, lai tas to izdarÄ«tu jÅ«su vietÄ.
BGP anomÄliju un DDoS uzbrukumu uzraudzÄ«ba
Å eit, pamatojoties uz pieejamajiem resursiem, viss ir vÄl vienkÄrÅ”Äk. BGP anomÄlijas tiek atklÄtas, izmantojot specializÄtus pakalpojumus, piemÄram, QRadar, BGPmon. ViÅi pieÅem pilna skata tabulu no vairÄkiem operatoriem. Pamatojoties uz to, ko viÅi redz no dažÄdiem operatoriem, viÅi var atklÄt anomÄlijas, meklÄt pastiprinÄtÄjus utt. ReÄ£istrÄcija parasti ir bez maksas ā jÅ«s ievadÄt savu tÄlruÅa numuru, abonÄjat e-pasta paziÅojumus, un pakalpojums jÅ«s brÄ«dinÄs par jÅ«su problÄmÄm.
DDoS uzbrukumu uzraudzÄ«ba ir arÄ« vienkÄrÅ”a. Parasti tas ir Uz NetFlow bÄzes un žurnÄli. Ir tÄdas specializÄtas sistÄmas kÄ FastNetMon, moduļi priekÅ” Plankumains. KÄ pÄdÄjais lÄ«dzeklis ir jÅ«su DDoS aizsardzÄ«bas nodroÅ”inÄtÄjs. Tas var arÄ« noplÅ«st NetFlow un, pamatojoties uz to, paziÅos par uzbrukumiem jÅ«su virzienÄ.
Atzinumi
Nevajag ilÅ«zijas ā internets noteikti salÅ«zÄ«s. Ne jau viss un ne visi salÅ«zÄ«s, taÄu 14 tÅ«kstoÅ”i incidentu 2017. gadÄ liek domÄt, ka incidenti bÅ«s.
Tavs uzdevums ir pamanÄ«t problÄmas pÄc iespÄjas agrÄk. Vismaz ne vÄlÄk kÄ jÅ«su lietotÄjs. Ir svarÄ«gi ne tikai atzÄ«mÄt, bet arÄ« vienmÄr paturÄt "plÄnu B" rezervÄ. PlÄns ir stratÄÄ£ija tam, ko jÅ«s darÄ«sit, kad viss sabojÄsies.: rezerves operatori, DC, CDN. PlÄns ir atseviŔķs kontrolsaraksts, pÄc kura jÅ«s pÄrbaudÄt visu darbu. PlÄnam vajadzÄtu darboties bez tÄ«kla inženieru iesaistÄ«Å”anas, jo parasti viÅu ir maz un viÅi vÄlas gulÄt.
Tas ir viss. Es novÄlu jums augstu pieejamÄ«bu un zaļo uzraudzÄ«bu.
NÄkamnedÄļ NovosibirskÄ gaidÄma saulÄ«te, liela slodze un liela izstrÄdÄtÄju koncentrÄcija HighLoad++ SibÄ«rija 2019. SibÄ«rijÄ tiek prognozÄta ziÅojumu fronte par uzraudzÄ«bu, pieejamÄ«bu un testÄÅ”anu, droŔību un pÄrvaldÄ«bu. NokriÅ”Åi ir gaidÄmi rakstÄ«tu piezÄ«mju, tÄ«kloÅ”anÄs, fotogrÄfiju un ierakstu veidÄ sociÄlajos tÄ«klos. IesakÄm pÄrcelt visas aktivitÄtes 24. un 25. jÅ«nijÄ un rezervÄt biļetes. GaidÄm Tevi SibÄ«rijÄ!