Интернэт бол хүчирхэг, бие даасан, үл эвдэгдэх бүтэц юм шиг санагддаг. Онолын хувьд энэ сүлжээ нь цөмийн дэлбэрэлтийг даван туулахад хангалттай хүчтэй юм. Бодит байдал дээр Интернет нь нэг жижиг чиглүүлэгчийг унагаж чаддаг. Интернет бол муурны тухай зөрчилдөөн, эмзэг байдал, алдаа, видео бичлэгийн бөөн юм. Интернэтийн гол тулгуур болох BGP нь олон асуудалтай тулгардаг. Тэр одоо хүртэл амьсгалж байгаа нь гайхалтай. Интернэт дэх алдаанаас гадна үүнийг бүх хүмүүс эвддэг: томоохон интернет үйлчилгээ үзүүлэгчид, корпорациуд, муж улсууд, DDoS халдлага. Энэ талаар юу хийх, түүнтэй хэрхэн амьдрах вэ?
Хариултыг нь мэддэг Алексей Учакин () нь IQ Option дахь сүлжээний инженерүүдийн багийн ахлагч юм. Үүний гол үүрэг бол платформыг хэрэглэгчдэд хүртээмжтэй болгох явдал юм. Алексейгийн илтгэлийн хуулбар дээр BGP, DDOS халдлага, интернет шилжүүлэгч, үйлчилгээ үзүүлэгчийн алдаа, төвлөрлийг сааруулах, жижиг чиглүүлэгчээс интернетийг унтуулах тохиолдлын талаар ярилцъя. Төгсгөлд нь - энэ бүхнийг хэрхэн даван туулах талаар хэдэн зөвлөгөө.
Интернет задарсан өдөр
Би интернетийн холболт эвдэрсэн цөөн хэдэн тохиолдлыг дурдах болно. Энэ нь бүрэн зураг авахад хангалттай байх болно.
"AS7007 осол". Интернет анх удаа 1997 оны 7007-р сард эвдэрсэн. XNUMX автономит системийн нэг чиглүүлэгчийн програм хангамжид алдаа гарсан. Хэзээ нэгэн цагт чиглүүлэгч өөрийн дотоод чиглүүлэлтийн хүснэгтээ хөршүүддээ зарлаж, сүлжээний хагасыг хар нүх рүү илгээв.
"Пакистан YouTube-ийн эсрэг". 2008 онд Пакистаны зоригт залуус YouTube-ийг хаахаар шийджээ. Тэд үүнийг маш сайн хийсэн тул дэлхийн тэн хагас нь муургүй үлджээ.
"VISA, MasterCard, Symantec угтваруудыг Ростелекомоос авах". 2017 онд Ростелеком VISA, MasterCard, Symantec угтваруудыг андуурч зарлаж эхэлсэн. Үүний үр дүнд санхүүгийн урсгал нь үйлчилгээ үзүүлэгчийн хяналтанд байдаг сувгуудаар дамждаг. Шингэн алдалт удаан үргэлжилсэнгүй, гэхдээ санхүүгийн компаниудад таагүй байсан.
Google-ийн эсрэг Япон. 2017 оны XNUMX-р сард Google Японы томоохон үйлчилгээ үзүүлэгч NTT болон KDDI-ийн угтваруудыг зарим холбоосууддаа зарлаж эхэлсэн. Замын хөдөлгөөнийг Google-д транзит хэлбэрээр илгээсэн бөгөөд энэ нь алдаатай байж магадгүй юм. Google нь үйлчилгээ үзүүлэгч биш бөгөөд дамжин өнгөрөх урсгалыг зөвшөөрдөггүй тул Японы нэлээд хэсэг нь интернетгүй үлджээ.
“DV LINK нь Google, Apple, Facebook, Microsoft-ын угтваруудыг авсан”. Мөн 2017 онд Оросын DV LINK үйлчилгээ үзүүлэгч ямар нэг шалтгаанаар Google, Apple, Facebook, Microsoft болон бусад томоохон тоглогчдын сүлжээг зарлаж эхэлсэн.
“АНУ-ын eNet компани AWS Route53 болон MyEtherwallet угтваруудыг барьж авлаа”. 2018 онд Охайо мужийн үйлчилгээ үзүүлэгч эсвэл түүний үйлчлүүлэгчдийн нэг нь Amazon Route53 болон MyEtherwallet крипто түрийвчний сүлжээг зарласан. Халдлага амжилттай болсон: MyEtherwallet вэбсайт руу ороход хэрэглэгчдэд анхааруулга өгсөн өөрөө гарын үсэг зурсан гэрчилгээтэй байсан ч олон түрийвч дээрэмдэж, криптовалютны нэг хэсгийг хулгайлсан байна.
Зөвхөн 2017 онд л гэхэд 14 гаруй ийм хэрэг гарсан! Сүлжээ нь төвлөрсөн бус хэвээр байгаа тул бүх зүйл, хүн бүр эвдэрдэггүй. Гэхдээ интернетийг идэвхжүүлдэг BGP протоколтой холбоотой олон мянган тохиолдлууд байдаг.
BGP ба түүний асуудлууд
Протокол BGP - Хилийн гарцын протокол, анх 1989 онд IBM болон Cisco Systems компанийн хоёр инженер гурван "салфетка" - А4 хуудсан дээр дүрсэлсэн. Эдгээр Сан Франциско дахь Cisco Systems-ийн төв байранд одоо ч сүлжээний ертөнцийн дурсгал болгон сууж байна.
Протокол нь бие даасан системүүдийн харилцан үйлчлэл дээр суурилдаг - Автономит систем эсвэл товчоор AS. Автономит систем гэдэг нь нийтийн бүртгэлд IP сүлжээг хуваарилсан ID юм. Энэ ID-тай чиглүүлэгч нь эдгээр сүлжээг дэлхийд зарлах боломжтой. Үүний дагуу Интернет дэх аливаа маршрутыг вектор гэж нэрлэж болно AS зам. Вектор нь зорьсон сүлжээнд хүрэхийн тулд туулах ёстой бие даасан системүүдийн тооноос бүрдэнэ.
Жишээлбэл, хэд хэдэн бие даасан системүүдийн сүлжээ байдаг. Та AS65001 системээс AS65003 систем рүү шилжих хэрэгтэй. Нэг системээс гарах замыг диаграммд AS Path хэлбэрээр дүрсэлсэн болно. Энэ нь 65002 ба 65003 гэсэн хоёр бие даасан системээс бүрдэнэ. Очих хаяг бүрийн хувьд AS Path вектор байдаг бөгөөд энэ нь бидний дамжин өнгөрөх бие даасан системийн тооноос бүрддэг.
Тэгэхээр BGP-тэй холбоотой ямар асуудал байна вэ?
BGP бол итгэлцлийн протокол юм
BGP протокол нь итгэлцэлд суурилсан. Энэ нь бид хөршдөө анхдагч байдлаар итгэдэг гэсэн үг юм. Энэ нь интернетийн эхэн үед боловсруулсан олон протоколуудын онцлог шинж юм. "Итгэлцэл" гэж юу болохыг олж мэдье.
Хөршийн баталгаажуулалт байхгүй. Албан ёсоор MD5 байдаг, гэхдээ 5 оны MD2019 нь яг л ...
Шүүлтүүр байхгүй. BGP нь шүүлтүүртэй бөгөөд тэдгээрийг тайлбарласан боловч тэдгээрийг ашиглаагүй эсвэл буруу ашигладаг. Яагаад гэдгийг би дараа тайлбарлах болно.
Хороолол байгуулах нь маш амархан. Бараг бүх чиглүүлэгч дээр BGP протоколд хөршөө тохируулах нь тохиргооны хэд хэдэн мөр юм.
BGP удирдлагын эрх шаардлагагүй. Мэргэшлээ батлахын тулд шалгалт өгөх шаардлагагүй. Согтуу үедээ BGP тохируулах эрхийг хэн ч хураахгүй.
Хоёр үндсэн асуудал
Угтвар хулгайлсан. Угтвар хулгайлах нь MyEtherwallet-ийн нэгэн адил танд хамаарахгүй сүлжээг сурталчлах явдал юм. Бид зарим угтваруудыг авч, үйлчилгээ үзүүлэгчтэй тохиролцсон эсвэл хакердсан бөгөөд түүгээр дамжуулан бид эдгээр сүлжээг зарладаг.
Маршрут алдагдсан. Нэвчилт нь арай илүү төвөгтэй байдаг. Leak нь AS Path-ийн өөрчлөлт юм. Хамгийн сайн тохиолдолд та илүү урт замаар эсвэл бага багтаамжтай холбоосоор аялах шаардлагатай тул өөрчлөлт нь илүү их саатал гаргахад хүргэдэг. Муугаар бодоход Google болон Японтой холбоотой хэрэг давтагдах болно.
Google өөрөө оператор эсвэл транзит бие даасан систем биш юм. Гэхдээ тэр Японы операторуудын сүлжээг өөрийн үйлчилгээ үзүүлэгчдээ зарлахад AS Path-ээр дамжуулан Google-ээр дамжуулан урсгалыг илүү чухал гэж үзсэн. Google доторх чиглүүлэлтийн тохиргоо нь хил дээрх шүүлтүүрээс илүү төвөгтэй байдаг тул замын хөдөлгөөн тэнд явж, буурсан.
Шүүлтүүр яагаад ажиллахгүй байна вэ?
Хэнд ч хамаагүй. Энэ бол гол шалтгаан юм - хэн ч тоохгүй. BGP-ээр дамжуулан үйлчилгээ үзүүлэгчтэй холбогдсон жижиг үйлчилгээ үзүүлэгч эсвэл компанийн администратор нь MikroTik-ийг авч, түүн дээр BGP тохируулсан бөгөөд шүүлтүүрийг тэнд тохируулах боломжтой гэдгийг ч мэддэггүй.
Тохиргооны алдаа. Тэд ямар нэг зүйлийг будлиулж, маск дээр алдаа гаргаж, буруу тор зүүсэн - одоо дахиад алдаа гарлаа.
Техникийн боломж байхгүй. Жишээлбэл, харилцаа холбооны үйлчилгээ үзүүлэгчид олон үйлчлүүлэгчтэй байдаг. Ухаалаг байдлаар та үйлчлүүлэгч бүрийн шүүлтүүрийг автоматаар шинэчлэх хэрэгтэй - тэр шинэ сүлжээтэй эсэх, тэр сүлжээгээ хэн нэгэнд түрээсэлсэн эсэхийг шалгаарай. Үүнийг дагах нь хэцүү бөгөөд таны гараар илүү хэцүү байдаг. Тиймээс тэд зүгээр л тайван шүүлтүүр суурилуулдаг эсвэл шүүлтүүрийг огт суулгадаггүй.
Үл хамаарал. Хайрт болон томоохон үйлчлүүлэгчдэд үл хамаарах зүйлүүд байдаг. Ялангуяа оператор хоорондын интерфейсийн хувьд. Жишээлбэл, TransTeleCom болон Rostelecom нь олон тооны сүлжээтэй бөгөөд тэдгээрийн хооронд интерфейс байдаг. Хэрэв үе мөч унавал энэ нь хэнд ч ашиггүй тул шүүлтүүрийг сулруулж эсвэл бүрмөсөн арилгана.
IRR дахь хуучирсан эсвэл хамааралгүй мэдээлэл. Шүүлтүүр нь бичигдсэн мэдээлэлд үндэслэн бүтээгдсэн IRR - Интернет чиглүүлэлтийн бүртгэл. Эдгээр нь бүс нутгийн интернетийн бүртгэгчдийн бүртгэл юм. Ихэнхдээ бүртгэл нь хуучирсан эсвэл хамааралгүй мэдээлэл эсвэл хоёуланг нь агуулдаг.
Эдгээр бүртгэгчид хэн бэ?
Бүх интернет хаяг нь тухайн байгууллагад харьяалагддаг IANA - Интернэтийн дугаарын эрх мэдэл. Та хэн нэгнээс IP сүлжээ худалдаж авахдаа хаягийг худалдаж авахгүй, харин тэдгээрийг ашиглах эрхийг олж авдаг. Хаяг нь биет бус нөөц бөгөөд нийтлэг тохиролцоогоор бүгд IANA-ийн эзэмшилд байдаг.
Систем ийм байдлаар ажилладаг. IANA нь IP хаяг болон автономит системийн дугаарын удирдлагыг бүс нутгийн таван бүртгэгчид шилжүүлдэг. Тэд бие даасан системийг гаргадаг LIR - орон нутгийн интернет бүртгэгчид. Дараа нь LIR нь эцсийн хэрэглэгчдэд IP хаягийг хуваарилдаг.
Системийн сул тал нь бүс нутгийн бүртгэгч бүр өөрийн гэсэн бүртгэлийг хөтөлдөг явдал юм. Бүртгэлд ямар мэдээлэл байх ёстой, хэн шалгах, шалгахгүй байх талаар хүн бүр өөр өөрийн үзэл бодолтой байдаг. Үр дүн нь бидний одоо байгаа замбараагүй байдал юм.
Та эдгээр асуудлуудтай өөр яаж тэмцэх вэ?
IRR - дундаж чанар. IRR-ийн хувьд тодорхой байна - тэнд бүх зүйл муу байна.
BGP-нийтлэлүүд. Энэ нь протоколд тодорхойлсон зарим шинж чанар юм. Жишээлбэл, хөрш маань манай сүлжээг хөршүүд рүүгээ илгээхгүйн тулд тусгай нийгэмлэгийг зарландаа хавсаргаж болно. Бид P2P холбоостой бол зөвхөн сүлжээгээ солилцдог. Маршрутыг бусад сүлжээнд санамсаргүйгээр оруулахаас сэргийлэхийн тулд бид олон нийтийг нэмдэг.
Нийгэмд шилжин суурьшдаггүй. Энэ нь үргэлж хоёр хүний гэрээ байдаг бөгөөд энэ нь тэдний сул тал юм. Хүн бүр анхдагчаар хүлээн зөвшөөрдөг нэгээс бусад нийгэмлэгийг бид хуваарилж чадахгүй. Хүн бүр энэ нийгэмлэгийг хүлээн зөвшөөрч, зөв тайлбарлана гэдэгт бид итгэлтэй байж чадахгүй. Тиймээс, хамгийн сайн тохиолдолд, хэрэв та өөрийн uplink-тэй санал нийлж байгаа бол тэр таны түүнээс юу хүсч байгаагаа олон нийтийн хувьд ойлгох болно. Гэхдээ таны хөрш ойлгохгүй байж магадгүй, эсвэл оператор таны шошгыг дахин тохируулах болно, тэгвэл та хүссэн зүйлдээ хүрэхгүй.
RPKI + ROA нь асуудлын зөвхөн багахан хэсгийг шийддэг. RPKI бол Нөөцийн нийтийн түлхүүрийн дэд бүтэц - чиглүүлэлтийн мэдээлэлд гарын үсэг зурах тусгай хүрээ. LIR болон тэдний үйлчлүүлэгчдийг хаягийн зайны мэдээллийн сантай байлгахыг албадах нь зүйтэй. Гэхдээ үүнд нэг асуудал бий.
RPKI нь мөн шаталсан нийтийн түлхүүрийн систем юм. IANA-д ямар RIR түлхүүрүүд үүсдэг, аль нь LIR түлхүүрүүд үүсдэг вэ? ROAs - Route Origin Authorisations ашиглан хаягийн зайдаа гарын үсэг зурдаг:
— Энэ угтварыг энэ автономит бүс нутгийн нэрийн өмнөөс зарлах болно гэдгийг би танд баталж байна.
ROA-аас гадна бусад объектууд байдаг, гэхдээ тэдгээрийн талаар дараа нь илүү ихийг хэлнэ. Энэ нь сайн, хэрэгтэй зүйл юм шиг санагдаж байна. Гэхдээ энэ нь биднийг "ерөөсөө" гэсэн үгнээс гоожихоос хамгаалахгүй бөгөөд угтвар хулгайлахтай холбоотой бүх асуудлыг шийдэж чадахгүй. Тиймээс тоглогчид үүнийг хэрэгжүүлэх гэж яарахгүй байна. Хэдийгээр хүчингүй ROA бүртгэлтэй угтварыг хасна гэсэн AT&T болон томоохон IX компаниуд зэрэг томоохон тоглогчид аль хэдийн баталгаажсан.
Магадгүй тэд үүнийг хийх байх, гэхдээ одоогоор бидэнд ямар ч байдлаар гарын үсэг зураагүй асар олон тооны угтварууд байна. Нэг талаараа үнэн зөв зарласан эсэх нь тодорхойгүй байна. Нөгөөтэйгүүр, бид үүнийг анхдагчаар унагаж чадахгүй, учир нь энэ нь зөв эсэх нь тодорхойгүй байна.
Өөр юу байна?
BGPSec. Энэ бол ягаан одой морины сүлжээний талаар эрдэмтэн судлаачдын санаачилсан гайхалтай зүйл юм. Тэд хэлсэн:
- Бидэнд RPKI + ROA - хаягийн зайны гарын үсгийг шалгах механизм бий. Тусдаа BGP атрибут үүсгээд түүнийг BGPSec Path гэж нэрлэе. Чиглүүлэгч бүр хөршүүддээ зарласан мэдэгдэлдээ өөрийн гарын үсгээр гарын үсэг зурна. Ингэснээр бид гарын үсэг зурсан зарын гинжин хэлхээнээс найдвартай замыг олж авах бөгөөд үүнийг шалгах боломжтой болно.
Онолын хувьд сайн, гэхдээ практик дээр олон асуудал бий. BGPSec нь дараагийн хопуудыг сонгох, шууд чиглүүлэгч дээр орж ирж буй / гарах урсгалыг удирдахын тулд одоо байгаа олон BGP механикуудыг эвддэг. BGPSec нь нийт зах зээлийн 95% нь үүнийг хэрэгжүүлэх хүртэл ажиллахгүй бөгөөд энэ нь өөрөө утопи юм.
BGPSec нь гүйцэтгэлийн асар их асуудалтай байдаг. Одоогийн техник хангамж дээр зар шалгах хурд нь секундэд ойролцоогоор 50 угтвар байна. Харьцуулбал: 700 угтвар бүхий одоогийн интернет хүснэгтийг 000 цагийн дотор байршуулах бөгөөд энэ хугацаанд дахин 5 удаа өөрчлөгдөх болно.
BGP нээлттэй бодлого (Үүрэгт суурилсан BGP). Загвар дээр суурилсан шинэ санал Гао-Рексфорд. Энэ бол BGP-ийн судалгаа хийж буй хоёр эрдэмтэн юм.
Гао-Рексфордын загвар нь дараах байдалтай байна. Хялбаршуулахын тулд BGP-тэй цөөн тооны харилцан үйлчлэл байдаг:
- Үйлчилгээ үзүүлэгч үйлчлүүлэгч;
- P2P;
- дотоод харилцаа холбоо гэж iBGP гэж хэлдэг.
Чиглүүлэгчийн үүрэг дээр үндэслэн тодорхой импорт/экспортын бодлогыг өгөгдмөл байдлаар хуваарилах боломжтой болсон. Администратор угтвар жагсаалтыг тохируулах шаардлагагүй. Чиглүүлэгчид өөр хоорондоо тохиролцож, тохируулж болох үүрэг дээр үндэслэн бид анхдагч шүүлтүүрүүдийг аль хэдийн хүлээн авдаг. Энэ нь одоогоор IETF дээр яригдаж байгаа төсөл юм. Удахгүй бид үүнийг RFC болон техник хангамж дээр хэрэгжүүлэх хэлбэрээр харах болно гэж найдаж байна.
Томоохон интернет үйлчилгээ үзүүлэгчид
Үйлчилгээ үзүүлэгчийн жишээг харцгаая CenturyLink. Энэ нь 37 мужид үйлчилдэг, 15 дата төвтэй, АНУ-ын гурав дахь том үйлчилгээ үзүүлэгч юм.
2018 оны 50-р сард CenturyLink АНУ-ын зах зээл дээр 911 цагийн турш ажилласан. Уг үйл явдлын үеэр хоёр мужид АТМ ажиллуулахад асуудал гарч, таван мужид XNUMX дугаар хэд хэдэн цагаар ажиллахгүй байсан байна. Айдахо дахь сугалаа бүрэн сүйрчээ. Одоогоор энэ үйл явдлыг АНУ-ын Харилцаа холбооны комисс шалгаж байна.
Эмгэнэлт явдлын шалтгаан нь нэг дата төвд нэг сүлжээний карт байсан. Карт буруу ажиллаж, буруу пакет илгээж, үйлчилгээ үзүүлэгчийн 15 дата төв бүгд унтарсан.
Энэ үйлчилгээ үзүүлэгчийн хувьд санаа нь хэрэгжсэнгүй "унахад хэтэрхий том". Энэ санаа огт хэрэгжихгүй байна. Та ямар ч том тоглогч авч, дээр нь зарим жижиг зүйлийг тавьж болно. АНУ холболтын талаар сайн ажиллаж байна. CenturyLink-ийн нөөцтэй үйлчлүүлэгчид бөөнөөрөө орж ирсэн. Дараа нь өөр операторууд холбоосууд нь хэт ачаалалтай байна гэж гомдоллосон.
Нөхцөлтэй Казахтелеком унавал улс орон бүхэлдээ интернэтгүй болно.
Корпорацууд
Магадгүй Google, Amazon, FaceBook болон бусад корпорациуд интернетийг дэмждэг байх? Үгүй ээ, тэд бас эвддэг.
2017 онд Санкт-Петербургт ENOG13 бага хурал дээр Жефф Хьюстон нь АПНИК танилцуулав . Энэ нь бид интернет дэх харилцан үйлчлэл, мөнгөний урсгал, урсгалыг босоо байдлаар дассан гэж хэлдэг. Бидэнд том үйлчилгээтэй холбогдох төлбөрийг төлдөг жижиг үйлчилгээ үзүүлэгчид байдаг бөгөөд тэд дэлхийн нийтийн тээвэрт холбогдох төлбөрийг хэдийнэ төлдөг.
Одоо ийм босоо чиглэлтэй бүтэцтэй болсон. Бүх зүйл сайхан болно, гэхдээ дэлхий өөрчлөгдөж байна - томоохон тоглогчид өөрсдийн нурууг бий болгохын тулд далай дамнасан кабелийг барьж байна.
CDN кабелийн тухай мэдээ.
2018 онд TeleGeography нь интернет дэх траффикийн талаас илүү хувь нь интернет байхаа больсон, харин томоохон тоглогчдын CDN-ийн тулгуур болсон гэсэн судалгааг гаргасан. Энэ бол интернеттэй холбоотой урсгал боловч бидний ярьж байсан сүлжээ байхаа больсон.
Интернет нь сул холбогдсон сүлжээнүүдийн том багц болон задарч байна.
Майкрософт өөрийн гэсэн сүлжээтэй, Google өөрийн гэсэн сүлжээтэй бөгөөд тэд хоорондоо бараг давхцдаггүй. АНУ-ын хаа нэгтээ үүссэн траффик Microsoft-ын сувгуудаар далай дамнан Европ руу хаа нэгтээ CDN-ээр дамжиж, дараа нь CDN эсвэл IX-ээр дамжуулан таны үйлчилгээ үзүүлэгчтэй холбогдож, чиглүүлэгч рүү тань хүрдэг.
Төвлөрлийг сааруулах явдал алга болж байна.
Цөмийн дэлбэрэлтийг даван туулахад туслах интернетийн энэ хүч алдагдаж байна. Хэрэглэгчдийн төвлөрөл, хөдөлгөөний газрууд гарч ирдэг. Хэрэв нөхцөлт Google Cloud унавал нэг дор олон хохирогч болно. Роскомнадзор AWS-ийг хаах үед бид үүнийг хэсэгчлэн мэдэрсэн. CenturyLink-ийн жишээ нь үүнд жижиг зүйл ч хангалттай гэдгийг харуулж байна.
Өмнө нь бүх зүйл биш, хүн бүр эвдэрдэггүй. Цаашид бид нэг том тоглогчид нөлөөлсөнөөр олон газар, олон хүний олон зүйлийг эвдэж чадна гэсэн дүгнэлтэд хүрч магадгүй.
муж улсууд
Дараагийн эгнээнд муж улсууд байдаг бөгөөд энэ нь тэдэнд ихэвчлэн тохиолддог.
Энд манай Роскомнадзор огт анхдагч биш юм. Иран, Энэтхэг, Пакистанд интернетийг хаах практик байдаг. Англид интернэтийг хаах тухай хуулийн төсөл хэрэгжиж байна.
Ямар ч том муж Твиттер, Телеграм, Фейсбүүкийг бүрмөсөн эсвэл хэсэгчлэн унтраах унтраалга авахыг хүсдэг. Тэд хэзээ ч амжилтанд хүрэхгүй гэдгээ ойлгодоггүй, гэхдээ тэд үүнийг үнэхээр хүсч байна. Шилжүүлэгчийг дүрмээр бол улс төрийн зорилгоор ашигладаг - улс төрийн өрсөлдөгчдийг устгах, эсвэл сонгууль ойртож байна, эсвэл Оросын хакерууд дахин ямар нэг зүйлийг эвдсэн байна.
DDoS халдлага
Би Qrator Labs-ийн нөхдөөсөө талх авахгүй, тэд надаас хамаагүй дээр хийдэг. Тэдэнд байгаа Интернетийн тогтвортой байдлын талаар. Тэд 2018 оны тайланд ингэж бичжээ.
DDoS халдлагын дундаж хугацаа 2.5 цаг хүртэл буурдаг. Халдагчид мөн мөнгөө тоолж эхэлдэг бөгөөд хэрэв нөөц нь нэн даруй байхгүй бол тэд үүнийг хурдан орхидог.
Довтолгооны эрч хүч нэмэгдэж байна. 2018 онд бид Akamai сүлжээнд 1.7 Tb/s-ийг харсан бөгөөд энэ нь хязгаар биш юм.
Шинэ халдлагын векторууд гарч ирж, хуучин нь эрчимжиж байна. Олшруулалтад өртөмтгий шинэ протоколууд гарч ирж байгаа бөгөөд одоо байгаа протоколууд, ялангуяа TLS гэх мэт шинэ халдлага гарч ирж байна.
Траффикийн ихэнх нь хөдөлгөөнт төхөөрөмжөөс ирдэг. Үүний зэрэгцээ интернетийн урсгал хөдөлгөөнт үйлчлүүлэгчид рүү шилждэг. Довтолж байгаа, хамгаалж байгаа аль аль нь үүнтэй ажиллах чадвартай байх хэрэгтэй.
Халдашгүй - үгүй. Энэ бол гол санаа юм - ямар ч DDoS-ээс хамгаалах бүх нийтийн хамгаалалт байхгүй.
Интернетэд холбогдоогүй л бол системийг суулгах боломжгүй.
Би чамайг хангалттай айлгасан гэж найдаж байна. Одоо энэ талаар юу хийхээ бодож үзье.
Юу хийх вэ?!
Хэрэв танд чөлөөт цаг, хүсэл эрмэлзэл, англи хэлний мэдлэг байгаа бол IETF, RIPE WG зэрэг ажлын хэсгүүдэд оролцоорой. Эдгээр нь нээлттэй захидлын жагсаалт, захидлын жагсаалтад бүртгүүлэх, хэлэлцүүлэгт оролцох, чуулганд оролцох. Хэрэв та LIR статустай бол жишээлбэл, RIPE-д янз бүрийн санаачлагуудад санал өгөх боломжтой.
Энгийн мөнх бус хүмүүсийн хувьд энэ хяналт. Юу эвдэрсэнийг мэдэхийн тулд.
Хяналт: юу шалгах вэ?
Тогтмол пинг, зөвхөн хоёртын шалгалт биш - энэ нь ажилладаг эсвэл үгүй. RTT-ийг түүхэнд тэмдэглэснээр та дараа нь гажигуудыг харах боломжтой.
Traceroute. Энэ нь TCP/IP сүлжээн дэх өгөгдлийн маршрутыг тодорхойлох хэрэгсэл юм. Аномали ба бөглөрлийг тодорхойлоход тусална.
HTTP нь захиалгат URL болон TLS сертификатуудыг шалгадаг Энэ нь халдлагад зориулж хаах эсвэл DNS хуурамчаар үйлдэхийг илрүүлэхэд туслах бөгөөд энэ нь бараг ижил зүйл юм. Блоклох нь ихэвчлэн DNS хуурамчаар үйлдэх, урсгалыг бүдүүвч хуудас руу шилжүүлэх замаар хийгддэг.
Боломжтой бол, хэрэв танд өргөдөл байгаа бол өөр өөр газраас ирсэн үйлчлүүлэгчийнхээ шийдлийг шалгаарай. Энэ нь үйлчилгээ үзүүлэгчдийн заримдаа хийдэг DNS хулгайлах гажиг илрүүлэхэд тусална.
Хяналт: хаана шалгах вэ?
Бүх нийтийн хариулт байдаггүй. Хэрэглэгч хаанаас ирж байгааг шалгана уу. Хэрэв хэрэглэгчид Орост байгаа бол Оросоос шалгаарай, гэхдээ үүгээр бүү хязгаарлаарай. Хэрэв таны хэрэглэгчид өөр бүс нутагт амьдардаг бол эдгээр бүс нутгаас шалгаарай. Гэхдээ дэлхийн өнцөг булан бүрээс илүү сайн.
Хяналт: юу шалгах вэ?
Би гурван арга бодож олсон. Хэрэв та илүү ихийг мэдэж байвал сэтгэгдэл дээр бичээрэй.
- RIPE Атлас.
- Арилжааны хяналт.
- Өөрийн виртуал машинуудын сүлжээ.
Тэд тус бүрийн талаар ярилцъя.
RIPE Атлас - ийм жижигхэн хайрцаг байна. Дотоодын "Байцаагч" -ыг мэддэг хүмүүсийн хувьд энэ бол ижил хайрцаг, гэхдээ өөр наалттай.
RIPE Atlas бол үнэгүй програм юм. Та бүртгүүлж, чиглүүлэгчийг шуудангаар хүлээн авч, сүлжээнд холбоно. Өөр хэн нэгэн таны дээжийг ашигласан тохиолдолд та тодорхой хэмжээний кредит авдаг. Эдгээр зээлээр та өөрөө судалгаа хийх боломжтой. Та янз бүрийн аргаар тест хийж болно: ping, traceroute, шалгах гэрчилгээ. Хамрах хүрээ нь нэлээд том, олон зангилаа байдаг. Гэхдээ нюансууд байдаг.
Зээлийн систем нь үйлдвэрлэлийн шийдлийг бий болгохыг зөвшөөрдөггүй. Үргэлжилсэн судалгаа, арилжааны мониторинг хийхэд хангалттай зээл байхгүй болно. Кредит нь богино хугацааны судалгаа эсвэл нэг удаагийн шалгалтанд хангалттай. Нэг дээжийн өдөр тутмын нормыг 1-2 шалгалтаар хэрэглэдэг.
Хамрах хүрээ жигд бус байна. Хөтөлбөр нь хоёр чиглэлд үнэ төлбөргүй байдаг тул Европ, Оросын Европын хэсэг болон зарим бүс нутагт хамрах хүрээ сайн байдаг. Гэхдээ хэрэв танд Индонез эсвэл Шинэ Зеланд хэрэгтэй бол бүх зүйл бүр дордох болно - танд нэг улсад 50 дээж байхгүй байж магадгүй юм.
Та дээжээс http-г шалгах боломжгүй. Энэ нь техникийн нюанстай холбоотой юм. Тэд үүнийг шинэ хувилбараар засахаа амлаж байгаа ч одоогоор http-г шалгах боломжгүй байна. Зөвхөн гэрчилгээг баталгаажуулах боломжтой. Зарим төрлийн http шалгалтыг зөвхөн Anchor хэмээх тусгай RIPE Atlas төхөөрөмжид хийж болно.
Хоёр дахь арга нь арилжааны хяналт юм. Түүнд бүх зүйл сайхан байна, та мөнгө төлж байна, тийм үү? Тэд танд дэлхийн өнцөг булан бүрт хэдэн арван эсвэл хэдэн зуун хяналтын цэгүүдийг амлаж, хайрцагнаас үзэсгэлэнтэй хяналтын самбаруудыг зурж өгдөг. Гэхдээ дахиад л асуудал байна.
Энэ нь төлбөртэй, зарим газар маш их байдаг. Пинг хянах, дэлхий даяарх шалгалтууд, олон тооны http шалгалтууд нь жилд хэдэн мянган долларын үнэтэй байдаг. Хэрэв санхүү зөвшөөрвөл энэ шийдэл танд таалагдаж байвал үргэлжлүүлээрэй.
Хамрах хүрээ нь сонирхож буй бүс нутагт хангалтгүй байж болно. Үүнтэй ижил пинг ашиглан дэлхийн хамгийн их хийсвэр хэсгийг зааж өгсөн болно - Ази, Европ, Хойд Америк. Ховор хяналтын системүүд нь тодорхой улс орон эсвэл бүс нутагт өрөмдлөг хийх боломжтой.
Захиалгат туршилтын дэмжлэг сул. Хэрэв танд зүгээр л url дээр "буржгар" биш харин захиалгат зүйл хэрэгтэй бол үүнтэй холбоотой асуудал гарч ирнэ.
Гурав дахь арга бол таны хяналт юм. Энэ бол сонгодог: "Өөрсдөө бичье!"
Таны хяналт нь програм хангамжийн бүтээгдэхүүн болон тархсан бүтээгдэхүүн болж хувирдаг. Та дэд бүтцийн үйлчилгээ үзүүлэгч хайж байна, үүнийг хэрхэн байршуулах, хянах талаар хараарай - хяналтыг хянах хэрэгтэй, тийм үү? Мөн дэмжлэг шаардлагатай. Үүнийг хийхээсээ өмнө арван удаа бод. Хэн нэгэнд мөнгө төлөх нь илүү хялбар байж магадгүй юм.
BGP гажиг болон DDoS халдлагыг хянах
Энд байгаа нөөц бололцоогоо үндэслэн бүх зүйл илүү хялбар болсон. BGP гажиг нь QRadar, BGPmon зэрэг тусгай үйлчилгээг ашиглан илрүүлдэг. Тэд олон операторын бүрэн харах хүснэгтийг хүлээн авдаг. Өөр өөр операторуудаас харж байгаа зүйл дээрээ үндэслэн тэд гажиг илрүүлэх, өсгөгч хайх гэх мэт зүйлсийг хийж чадна. Бүртгэл нь ихэвчлэн үнэ төлбөргүй байдаг - та утасны дугаараа оруулаад, имэйлийн мэдэгдэлд бүртгүүлээрэй, үйлчилгээ нь таны асуудлын талаар танд мэдэгдэх болно.
DDoS халдлагыг хянах нь бас энгийн. Ерөнхийдөө энэ нь NetFlow дээр суурилсан ба бүртгэлүүд. гэх мэт тусгай системүүд байдаг FastNetMon, модулиуд Тасархай. Хамгийн сүүлчийн арга бол таны DDoS хамгаалалтын үйлчилгээ үзүүлэгч юм. Энэ нь мөн NetFlow-г алдаж болох бөгөөд үүн дээр үндэслэн таны зүг чиглэсэн халдлагын талаар танд мэдэгдэх болно.
үр дүн нь
Ямар ч хуурмаг зүйл бүү хий - Интернет гарцаагүй эвдэрнэ. Бүх зүйл, хүн бүр эвдэрдэггүй, гэхдээ 14 онд гарсан 2017 мянган тохиолдол нь зөрчил гарах болно гэдгийг харуулж байна.
Таны даалгавар бол асуудлыг аль болох эрт анзаарах явдал юм. Хамгийн багадаа таны хэрэглэгчээс хоцрохгүй. Зөвхөн анхаарах нь чухал биш, үргэлж "Б төлөвлөгөө" -ийг нөөцөд байлга. Төлөвлөгөө бол бүх зүйл нуран унах үед юу хийх стратеги юм.: нөөц операторууд, DC, CDN. Төлөвлөгөө бол бүх зүйлийн ажлыг шалгах тусдаа хяналтын хуудас юм. Төлөвлөгөө нь сүлжээний инженерүүдийн оролцоогүйгээр ажиллах ёстой, учир нь тэдгээр нь ихэвчлэн цөөхөн байдаг бөгөөд тэд унтахыг хүсдэг.
Тэгээд л болоо. Та бүхэнд өндөр хүртээмжтэй, ногоон мониторинг хийхийг хүсч байна.
Ирэх долоо хоногт Новосибирск хотод нартай, ачаалал ихтэй, хөгжүүлэгчид өндөр төвлөрөх төлөвтэй байна . Сибирьт хяналт-шинжилгээ, хүртээмж, туршилт, аюулгүй байдал, менежментийн талаархи тайлангуудын нүүр царайг урьдчилан таамаглаж байна. Хур тунадас сараачсан тэмдэглэл, сүлжээ, гэрэл зураг, нийгмийн сүлжээн дэх нийтлэл хэлбэрээр орох төлөвтэй байна. 24-р сарын 25, XNUMX-нд болох бүх үйл ажиллагааг хойшлуулахыг зөвлөж байна . Бид таныг Сибирьт хүлээж байна!
Эх сурвалж: www.habr.com