Internet nampaknya merupakan struktur yang kuat, bebas dan tidak boleh dihancurkan. Secara teorinya, rangkaian itu cukup kuat untuk bertahan daripada letupan nuklear. Pada hakikatnya, Internet boleh menjatuhkan satu penghala kecil. Semuanya kerana Internet adalah timbunan percanggahan, kelemahan, ralat dan video tentang kucing. Tulang belakang Internet, BGP, penuh dengan masalah. Sungguh menakjubkan bahawa dia masih bernafas. Sebagai tambahan kepada ralat dalam Internet itu sendiri, ia juga dipecahkan oleh semua dan pelbagai: penyedia Internet besar, syarikat, negeri dan serangan DDoS. Apa yang perlu dilakukan mengenainya dan bagaimana untuk hidup dengannya?
Tahu jawapannya Alexey Uchakin () ialah ketua pasukan jurutera rangkaian di IQ Option. Tugas utamanya ialah kebolehaksesan platform untuk pengguna. Dalam transkrip laporan Alexey mengenai Mari kita bincangkan tentang BGP, serangan DDOS, suis Internet, ralat pembekal, desentralisasi dan kes apabila penghala kecil menghantar Internet untuk tidur. Pada akhirnya - beberapa petua tentang cara untuk terus hidup semua ini.
Hari Internet Memusnahkan
Saya akan memetik hanya beberapa insiden di mana sambungan Internet terputus. Ini akan mencukupi untuk gambaran lengkap.
"Insiden AS7007". Kali pertama Internet rosak adalah pada April 1997. Terdapat pepijat dalam perisian satu penghala daripada sistem autonomi 7007. Pada satu ketika, penghala mengumumkan jadual penghalaan dalamannya kepada jirannya dan menghantar separuh daripada rangkaian ke dalam lubang hitam.
"Pakistan menentang YouTube". Pada tahun 2008, lelaki berani dari Pakistan memutuskan untuk menyekat YouTube. Mereka melakukannya dengan baik sehingga separuh dunia dibiarkan tanpa kucing.
βTangkapan awalan VISA, MasterCard dan Symantec oleh Rostelecomβ. Pada 2017, Rostelecom tersilap mula mengumumkan awalan VISA, MasterCard dan Symantec. Akibatnya, trafik kewangan telah dialihkan melalui saluran yang dikawal oleh pembekal. Kebocoran itu tidak bertahan lama, tetapi ia tidak menyenangkan bagi syarikat kewangan.
Google lwn Jepun. Pada Ogos 2017, Google mula mengumumkan awalan penyedia utama Jepun NTT dan KDDI dalam beberapa pautan naiknya. Trafik telah dihantar kepada Google sebagai transit, kemungkinan besar secara tidak sengaja. Memandangkan Google bukan pembekal dan tidak membenarkan trafik transit, sebahagian besar Jepun ditinggalkan tanpa Internet.
"DV LINK menangkap awalan Google, Apple, Facebook, Microsoft". Juga pada tahun 2017, penyedia Rusia DV LINK atas sebab tertentu mula mengumumkan rangkaian Google, Apple, Facebook, Microsoft dan beberapa pemain utama lain.
βeNet dari Amerika Syarikat telah menangkap awalan AWS Route53 dan MyEtherwalletβ. Pada 2018, pembekal Ohio atau salah seorang pelanggannya mengumumkan rangkaian dompet crypto Amazon Route53 dan MyEtherwallet. Serangan itu berjaya: walaupun walaupun sijil yang ditandatangani sendiri, amaran yang muncul kepada pengguna apabila memasuki laman web MyEtherwallet, banyak dompet telah dirampas dan sebahagian daripada mata wang kripto telah dicuri.
Terdapat lebih daripada 2017 kejadian sedemikian pada tahun 14 sahaja! Rangkaian masih tidak berpusat, jadi tidak semuanya dan tidak semua orang rosak. Tetapi terdapat beribu-ribu insiden, semuanya berkaitan dengan protokol BGP yang menguasai Internet.
BGP dan masalahnya
Protokol BGP - Protokol Gerbang Sempadan, pertama kali diterangkan pada tahun 1989 oleh dua jurutera dari IBM dan Cisco Systems pada tiga "serbet" - helaian A4. Ini masih duduk di ibu pejabat Cisco Systems di San Francisco sebagai peninggalan dunia rangkaian.
Protokol ini berdasarkan interaksi sistem autonomi - Sistem Autonomi atau singkatannya AS. Sistem autonomi hanyalah ID yang mana rangkaian IP diperuntukkan dalam pendaftaran awam. Penghala dengan ID ini boleh mengumumkan rangkaian ini kepada dunia. Sehubungan itu, mana-mana laluan di Internet boleh diwakili sebagai vektor, yang dipanggil Laluan AS. Vektor terdiri daripada bilangan sistem autonomi yang mesti dilalui untuk mencapai rangkaian destinasi.
Sebagai contoh, terdapat rangkaian beberapa sistem autonomi. Anda perlu mendapatkan daripada sistem AS65001 kepada sistem AS65003. Laluan daripada satu sistem diwakili oleh Laluan AS dalam rajah. Ia terdiri daripada dua sistem autonomi: 65002 dan 65003. Untuk setiap alamat destinasi terdapat vektor Laluan AS, yang terdiri daripada bilangan sistem autonomi yang perlu kita lalui.
Jadi apakah masalah dengan BGP?
BGP ialah protokol amanah
Protokol BGP adalah berasaskan kepercayaan. Ini bermakna kita mempercayai jiran kita secara lalai. Ini adalah ciri dari banyak protokol yang dibangunkan pada awal Internet. Mari kita fikirkan maksud "amanah".
Tiada pengesahan jiran. Secara rasmi, terdapat MD5, tetapi MD5 pada 2019 hanya itu...
Tiada penapisan. BGP mempunyai penapis dan ia diterangkan, tetapi ia tidak digunakan atau digunakan dengan tidak betul. Nanti saya terangkan kenapa.
Sangat mudah untuk menyediakan kawasan kejiranan. Menyediakan kejiranan dalam protokol BGP pada hampir mana-mana penghala ialah beberapa baris konfigurasi.
Tiada hak pengurusan BGP diperlukan. Anda tidak perlu mengambil peperiksaan untuk membuktikan kelayakan anda. Tiada siapa yang akan mengambil hak anda untuk mengkonfigurasi BGP semasa mabuk.
Dua masalah utama
Rampasan awalan. Rampasan awalan ialah mengiklankan rangkaian yang bukan milik anda, seperti yang berlaku dengan MyEtherwallet. Kami mengambil beberapa awalan, bersetuju dengan pembekal atau menggodamnya, dan melaluinya kami mengumumkan rangkaian ini.
Kebocoran laluan. Kebocoran adalah sedikit lebih rumit. Kebocoran ialah perubahan dalam Laluan AS. Paling baik, perubahan itu akan mengakibatkan kelewatan yang lebih besar kerana anda perlu menempuh laluan yang lebih jauh atau pada pautan yang kurang luas. Paling teruk, kes dengan Google dan Jepun akan berulang.
Google sendiri bukanlah pengendali atau sistem autonomi transit. Tetapi apabila dia mengumumkan rangkaian pengendali Jepun kepada pembekalnya, trafik melalui Google melalui AS Path dilihat sebagai keutamaan yang lebih tinggi. Trafik pergi ke sana dan jatuh hanya kerana tetapan penghalaan di dalam Google lebih kompleks daripada hanya penapis di sempadan.
Mengapa penapis tidak berfungsi?
Tiada siapa kisah. Ini adalah sebab utama - tiada siapa yang peduli. Pentadbir pembekal kecil atau syarikat yang menyambung kepada pembekal melalui BGP mengambil MikroTik, mengkonfigurasi BGP padanya dan tidak tahu bahawa penapis boleh dikonfigurasikan di sana.
Ralat konfigurasi. Mereka mengacaukan sesuatu, membuat kesilapan dalam topeng, memakai mesh yang salah - dan kini terdapat kesilapan lagi.
Tiada kemungkinan teknikal. Sebagai contoh, penyedia telekomunikasi mempunyai ramai pelanggan. Perkara yang bijak untuk dilakukan ialah mengemas kini penapis secara automatik untuk setiap pelanggan - untuk memantau bahawa dia mempunyai rangkaian baharu, bahawa dia telah menyewakan rangkaiannya kepada seseorang. Sukar untuk mengikuti ini, dan lebih sukar dengan tangan anda. Oleh itu, mereka hanya memasang penapis santai atau tidak memasang penapis langsung.
Pengecualian. Terdapat pengecualian untuk pelanggan tercinta dan besar. Terutamanya dalam kes antara muka antara pengendali. Sebagai contoh, TransTeleCom dan Rostelecom mempunyai sekumpulan rangkaian dan terdapat antara muka di antara mereka. Jika sendi jatuh, ia tidak akan baik untuk sesiapa sahaja, jadi penapis dilonggarkan atau dikeluarkan sepenuhnya.
Maklumat lapuk atau tidak relevan dalam IRR. Penapis dibina berdasarkan maklumat yang direkodkan IRR - Pendaftaran Penghalaan Internet. Ini adalah pendaftaran pendaftar Internet serantau. Selalunya, pendaftaran mengandungi maklumat lapuk atau tidak berkaitan, atau kedua-duanya.
Siapakah pendaftar ini?
Semua alamat Internet adalah milik organisasi IANA - Pihak Berkuasa Nombor Diberikan Internet. Apabila anda membeli rangkaian IP daripada seseorang, anda tidak membeli alamat, tetapi hak untuk menggunakannya. Alamat ialah sumber tidak ketara dan dengan persetujuan bersama, semuanya dimiliki oleh IANA.
Sistem berfungsi seperti ini. IANA menyerahkan pengurusan alamat IP dan nombor sistem autonomi kepada lima pendaftar serantau. Mereka mengeluarkan sistem autonomi LIR - pendaftar internet tempatan. LIR kemudiannya memperuntukkan alamat IP kepada pengguna akhir.
Kelemahan sistem ini ialah setiap pendaftar wilayah mengekalkan daftarnya dengan cara tersendiri. Setiap orang mempunyai pandangan mereka sendiri tentang maklumat yang harus terkandung dalam daftar, dan siapa yang patut atau tidak harus menyemaknya. Hasilnya adalah kekacauan yang kita ada sekarang.
Bagaimana lagi anda boleh memerangi masalah ini?
IRR - kualiti sederhana. Ia jelas dengan IRR - semuanya buruk di sana.
BGP-komuniti. Ini adalah beberapa atribut yang diterangkan dalam protokol. Kita boleh melampirkan, sebagai contoh, komuniti khas pada pengumuman kita supaya jiran tidak menghantar rangkaian kita kepada jirannya. Apabila kami mempunyai pautan P2P, kami hanya menukar rangkaian kami. Untuk mengelakkan laluan daripada pergi ke rangkaian lain secara tidak sengaja, kami menambah komuniti.
Komuniti tidak transitif. Ia sentiasa kontrak untuk dua orang, dan ini adalah kelemahan mereka. Kami tidak boleh menetapkan mana-mana komuniti, kecuali satu, yang diterima secara lalai oleh semua orang. Kami tidak pasti bahawa semua orang akan menerima komuniti ini dan mentafsirnya dengan betul. Oleh itu, dalam kes terbaik, jika anda bersetuju dengan uplink anda, dia akan memahami apa yang anda mahukan daripadanya dari segi komuniti. Tetapi jiran anda mungkin tidak faham, atau pengendali hanya akan menetapkan semula teg anda, dan anda tidak akan mencapai apa yang anda mahukan.
RPKI + ROA hanya menyelesaikan sebahagian kecil masalah. RPKI ialah Infrastruktur Kunci Awam Sumber β rangka kerja khas untuk menandatangani maklumat penghalaan. Adalah idea yang baik untuk memaksa LIR dan pelanggan mereka mengekalkan pangkalan data ruang alamat yang terkini. Tetapi ada satu masalah dengannya.
RPKI juga merupakan sistem kunci awam berhierarki. IANA mempunyai kunci dari mana kunci RIR dijana, dan dari mana kunci LIR dijana? yang dengannya mereka menandatangani ruang alamat mereka menggunakan ROA - Keizinan Asal Laluan:
β Saya memberi jaminan kepada anda bahawa awalan ini akan diumumkan bagi pihak wilayah autonomi ini.
Selain ROA, terdapat objek lain, tetapi lebih lanjut mengenainya kemudian. Ia kelihatan seperti perkara yang baik dan berguna. Tetapi ia tidak melindungi kami daripada kebocoran daripada perkataan "sama sekali" dan tidak menyelesaikan semua masalah dengan rampasan awalan. Oleh itu, pemain tidak tergesa-gesa untuk melaksanakannya. Walaupun sudah ada jaminan daripada pemain besar seperti AT&T dan syarikat IX besar yang awalan dengan rekod ROA tidak sah akan digugurkan.
Mungkin mereka akan melakukan ini, tetapi buat masa ini kami mempunyai sejumlah besar awalan yang tidak ditandatangani dalam apa jua cara. Di satu pihak, tidak jelas sama ada ia diumumkan secara sah. Sebaliknya, kami tidak boleh menggugurkannya secara lalai, kerana kami tidak pasti sama ada ini betul atau tidak.
Apa lagi yang ada?
BGPSec. Ini adalah perkara yang hebat yang dibuat oleh ahli akademik untuk rangkaian kuda merah jambu. Mereka berkata:
- Kami mempunyai RPKI + ROA - mekanisme untuk mengesahkan tandatangan ruang alamat. Mari buat atribut BGP yang berasingan dan panggilnya Laluan BGPSec. Setiap penghala akan menandatangani dengan tandatangannya sendiri pengumuman yang diumumkannya kepada jirannya. Dengan cara ini kita akan mendapat laluan yang dipercayai daripada rangkaian pengumuman yang ditandatangani dan akan dapat menyemaknya.
Baik dari segi teori, tetapi dalam praktiknya terdapat banyak masalah. BGPSec memecahkan banyak mekanik BGP sedia ada untuk memilih lompatan seterusnya dan menguruskan trafik masuk/keluar terus pada penghala. BGPSec tidak berfungsi sehingga 95% daripada keseluruhan pasaran telah melaksanakannya, yang dengan sendirinya adalah utopia.
BGPSec mempunyai masalah prestasi yang besar. Pada perkakasan semasa, kelajuan menyemak pengumuman adalah kira-kira 50 awalan sesaat. Sebagai perbandingan: jadual Internet semasa sebanyak 700 awalan akan dimuat naik dalam masa 000 jam, di mana ia akan berubah 5 kali lagi.
Dasar Terbuka BGP (BGP berasaskan peranan). Cadangan baru berdasarkan model Gao-Rexford. Ini adalah dua saintis yang sedang menyelidik BGP.
Model Gao-Rexford adalah seperti berikut. Untuk memudahkan, dengan BGP terdapat sebilangan kecil jenis interaksi:
- Pelanggan Pembekal;
- P2P;
- komunikasi dalaman, katakan iBGP.
Berdasarkan peranan penghala, adalah mungkin untuk menetapkan dasar import/eksport tertentu secara lalai. Pentadbir tidak perlu mengkonfigurasi senarai awalan. Berdasarkan peranan yang dipersetujui oleh penghala sesama mereka dan yang boleh ditetapkan, kami sudah menerima beberapa penapis lalai. Pada masa ini, ini adalah draf yang sedang dibincangkan dalam IETF. Saya berharap tidak lama lagi kita akan melihat ini dalam bentuk RFC dan pelaksanaan pada perkakasan.
Pembekal Internet yang besar
Mari kita lihat contoh pembekal CenturyLink. Ia adalah penyedia ketiga terbesar AS, berkhidmat di 37 negeri dan mempunyai 15 pusat data.β
Pada Disember 2018, CenturyLink berada di pasaran AS selama 50 jam. Semasa kejadian, terdapat masalah dengan operasi ATM di dua negeri, dan nombor 911 tidak berfungsi selama beberapa jam di lima negeri. Loteri di Idaho telah musnah sepenuhnya. Insiden itu kini dalam siasatan oleh Suruhanjaya Telekomunikasi AS.
Punca tragedi adalah satu kad rangkaian dalam satu pusat data. Kad itu tidak berfungsi, menghantar paket yang salah, dan kesemua 15 pusat data pembekal rosak.
Idea ini tidak berfungsi untuk penyedia ini "terlalu besar untuk jatuh". Idea ini tidak berfungsi sama sekali. Anda boleh mengambil mana-mana pemain utama dan meletakkan beberapa perkara kecil di atas. AS masih berfungsi dengan baik dengan ketersambungan. Pelanggan CenturyLink yang mempunyai rizab pergi beramai-ramai. Kemudian pengendali alternatif mengadu tentang pautan mereka terlebih muatan.
Jika Kazakhtelecom bersyarat jatuh, seluruh negara akan ditinggalkan tanpa Internet.
Syarikat-syarikat
Mungkin Google, Amazon, FaceBook dan syarikat lain menyokong Internet? Tidak, mereka juga memecahkannya.
Pada tahun 2017 di St. Petersburg pada persidangan ENOG13 Jeff Houston daripada APNIC diperkenalkan . Ia mengatakan bahawa kita sudah biasa dengan interaksi, aliran wang dan trafik di Internet secara menegak. Kami mempunyai pembekal kecil yang membayar untuk sambungan kepada yang lebih besar, dan mereka sudah membayar untuk sambungan ke transit global.
Sekarang kita mempunyai struktur berorientasikan menegak. Segala-galanya akan baik-baik saja, tetapi dunia sedang berubah - pemain utama sedang membina kabel transoceanic mereka untuk membina tulang belakang mereka sendiri.
Berita mengenai kabel CDN.
Pada 2018, TeleGeography mengeluarkan kajian bahawa lebih separuh daripada trafik di Internet bukan lagi Internet, tetapi CDN tulang belakang pemain besar. Ini adalah trafik yang berkaitan dengan Internet, tetapi ini bukan lagi rangkaian yang kita bincangkan.
Internet terpecah menjadi satu set besar rangkaian yang bersambung longgar.
Microsoft mempunyai rangkaiannya sendiri, Google mempunyai rangkaiannya sendiri, dan mereka mempunyai sedikit pertindihan antara satu sama lain. Trafik yang berasal dari suatu tempat di AS melalui saluran Microsoft merentasi lautan ke Eropah di suatu tempat pada CDN, kemudian melalui CDN atau IX ia bersambung dengan pembekal anda dan sampai ke penghala anda.
Desentralisasi semakin hilang.
Kekuatan Internet ini, yang akan membantunya bertahan daripada letupan nuklear, semakin hilang. Tempat tumpuan pengguna dan trafik muncul. Jika Google Cloud bersyarat jatuh, akan ada ramai mangsa sekaligus. Kami merasakan ini sebahagiannya apabila Roskomnadzor menyekat AWS. Dan contoh CenturyLink menunjukkan bahawa perkara kecil pun sudah cukup untuk ini.
Sebelum ini, tidak semuanya dan tidak semua orang pecah. Pada masa hadapan, kita mungkin membuat kesimpulan bahawa dengan mempengaruhi seorang pemain utama, kita boleh memecahkan banyak perkara, di banyak tempat dan di banyak orang.
negeri
Negeri berada dalam barisan seterusnya, dan inilah yang biasanya berlaku kepada mereka.
Di sini Roskomnadzor kami bukanlah perintis sama sekali. Amalan penutupan Internet yang serupa wujud di Iran, India dan Pakistan. Di England terdapat rang undang-undang mengenai kemungkinan menutup Internet.
Mana-mana negeri besar ingin mendapatkan suis untuk mematikan Internet, sama ada sepenuhnya atau sebahagian: Twitter, Telegram, Facebook. Bukannya mereka tidak faham bahawa mereka tidak akan berjaya, tetapi mereka benar-benar menginginkannya. Suis digunakan, sebagai peraturan, untuk tujuan politik - untuk menghapuskan pesaing politik, atau pilihan raya semakin hampir, atau penggodam Rusia telah memecahkan sesuatu lagi.
Serangan DDoS
Saya tidak akan mengambil roti daripada rakan seperjuangan saya dari Qrator Labs, mereka melakukannya dengan lebih baik daripada saya. Mereka mempunyai mengenai kestabilan Internet. Dan inilah yang mereka tulis dalam laporan 2018.
Tempoh purata serangan DDoS menurun kepada 2.5 jam. Penyerang juga mula mengira wang, dan jika sumber itu tidak tersedia dengan serta-merta, maka mereka segera meninggalkannya.
Keamatan serangan semakin meningkat. Pada 2018, kami melihat 1.7 Tb/s pada rangkaian Akamai, dan ini bukan hadnya.
Vektor serangan baru muncul dan vektor lama semakin giat. Protokol baharu muncul yang terdedah kepada penguatan, dan serangan baharu muncul pada protokol sedia ada, terutamanya TLS dan seumpamanya.
Kebanyakan trafik adalah daripada peranti mudah alih. Pada masa yang sama, trafik Internet beralih kepada pelanggan mudah alih. Kedua-dua mereka yang menyerang dan mereka yang bertahan perlu dapat bekerja dengan ini.
Kebal - tidak. Ini adalah idea utama - tiada perlindungan sejagat yang pasti akan melindungi daripada mana-mana DDoS.
Sistem tidak boleh dipasang melainkan ia disambungkan ke Internet.
Saya harap saya sudah cukup menakutkan awak. Sekarang mari kita fikirkan apa yang perlu dilakukan mengenainya.
Apa nak buat?!
Jika anda mempunyai masa lapang, keinginan dan pengetahuan bahasa Inggeris, ambil bahagian dalam kumpulan kerja: IETF, RIPE WG. Ini adalah senarai mel terbuka, melanggan senarai mel, mengambil bahagian dalam perbincangan, datang ke persidangan. Jika anda mempunyai status LIR, anda boleh mengundi, sebagai contoh, dalam RIPE untuk pelbagai inisiatif.
Untuk manusia biasa ini pemantauan. Untuk mengetahui apa yang rosak.
Pemantauan: apa yang perlu diperiksa?
Ping biasa, dan bukan sahaja semakan binari - ia berfungsi atau tidak. Rekod RTT dalam sejarah supaya anda boleh melihat anomali kemudian.
Traceroute. Ini ialah program utiliti untuk menentukan laluan data pada rangkaian TCP/IP. Membantu mengenal pasti anomali dan sekatan.
Semakan HTTP untuk URL tersuai dan sijil TLS akan membantu mengesan penyekatan atau pemalsuan DNS untuk serangan, yang boleh dikatakan perkara yang sama. Penyekatan selalunya dilakukan oleh pemalsuan DNS dan dengan menukar trafik kepada halaman rintisan.
Jika boleh, semak keputusan pelanggan anda tentang asal usul anda dari tempat yang berbeza jika anda mempunyai permohonan. Ini akan membantu anda mengesan anomali rampasan DNS, sesuatu yang kadangkala dilakukan oleh pembekal.
Pemantauan: di mana untuk menyemak?
Tiada jawapan universal. Semak dari mana pengguna itu datang. Jika pengguna berada di Rusia, semak dari Rusia, tetapi jangan hadkan diri anda kepadanya. Jika pengguna anda tinggal di wilayah yang berbeza, semak dari wilayah ini. Tetapi lebih baik dari seluruh dunia.
Pemantauan: apa yang perlu diperiksa?
Saya datang dengan tiga cara. Jika anda tahu lebih lanjut, tulis dalam komen.
- RIPE Atlas.
- Pemantauan komersial.
- Rangkaian mesin maya anda sendiri.
Mari kita bercakap tentang setiap daripada mereka.
RIPE Atlas - ia adalah kotak kecil. Bagi mereka yang mengenali "Inspektor" domestik - ini adalah kotak yang sama, tetapi dengan pelekat yang berbeza.
RIPE Atlas ialah program percuma. Anda mendaftar, menerima penghala melalui mel dan pasangkannya ke rangkaian. Untuk fakta bahawa orang lain menggunakan sampel anda, anda mendapat beberapa kredit. Dengan pinjaman ini anda boleh membuat kajian sendiri. Anda boleh menguji dengan cara yang berbeza: ping, traceroute, semak sijil. Liputannya agak besar, terdapat banyak nod. Tetapi ada nuansa.
Sistem kredit tidak membenarkan membina penyelesaian pengeluaran. Tidak akan ada kredit yang mencukupi untuk penyelidikan berterusan atau pemantauan komersial. Kredit adalah mencukupi untuk kajian singkat atau pemeriksaan sekali. Norma harian dari satu sampel dimakan oleh 1-2 pemeriksaan.
Liputan tidak sekata. Memandangkan program ini percuma dalam kedua-dua arah, liputan adalah baik di Eropah, di bahagian Eropah di Rusia dan beberapa wilayah. Tetapi jika anda memerlukan Indonesia atau New Zealand, maka semuanya lebih teruk - anda mungkin tidak mempunyai 50 sampel setiap negara.
Anda tidak boleh menyemak http daripada sampel. Ini disebabkan oleh nuansa teknikal. Mereka berjanji untuk membetulkannya dalam versi baharu, tetapi buat masa ini http tidak boleh disemak. Hanya sijil boleh disahkan. Beberapa jenis semakan http hanya boleh dilakukan pada peranti RIPE Atlas khas yang dipanggil Anchor.
Kaedah kedua ialah pemantauan komersial. Semuanya baik-baik saja dengan dia, anda membayar wang, bukan? Mereka menjanjikan anda beberapa dozen atau ratusan titik pemantauan di seluruh dunia dan melukis papan pemuka yang cantik dari kotak. Tetapi, sekali lagi, terdapat masalah.
Ia berbayar, di beberapa tempat ia sangat. Pemantauan ping, semakan di seluruh dunia, dan banyak semakan http boleh menelan belanja beberapa ribu dolar setahun. Jika kewangan membenarkan dan anda menyukai penyelesaian ini, teruskan.
Perlindungan mungkin tidak mencukupi di kawasan yang diminati. Dengan ping yang sama, maksimum bahagian abstrak dunia ditentukan - Asia, Eropah, Amerika Utara. Sistem pemantauan yang jarang berlaku boleh menelusuri ke negara atau wilayah tertentu.
Sokongan yang lemah untuk ujian tersuai. Jika anda memerlukan sesuatu yang tersuai, dan bukan hanya "keriting" pada url, maka terdapat masalah dengan itu juga.
Cara ketiga ialah pemantauan anda. Ini adalah klasik: "Mari kita menulis sendiri!"
Pemantauan anda bertukar kepada pembangunan produk perisian dan produk yang diedarkan. Anda sedang mencari penyedia infrastruktur, lihat bagaimana untuk menggunakan dan memantaunya - pemantauan perlu dipantau, bukan? Ia juga memerlukan sokongan. Fikir sepuluh kali sebelum anda mengambil perkara ini. Mungkin lebih mudah untuk membayar seseorang untuk melakukannya untuk anda.
Memantau anomali BGP dan serangan DDoS
Di sini, berdasarkan sumber yang ada, semuanya lebih mudah. Anomali BGP dikesan menggunakan perkhidmatan khusus seperti QRadar, BGPmon. Mereka menerima jadual paparan penuh daripada berbilang pengendali. Berdasarkan apa yang mereka lihat daripada pengendali yang berbeza, mereka boleh mengesan anomali, mencari penguat dan sebagainya. Pendaftaran biasanya percuma - anda memasukkan nombor telefon anda, melanggan pemberitahuan e-mel, dan perkhidmatan akan memaklumkan anda tentang masalah anda.
Memantau serangan DDoS juga mudah. Biasanya ini adalah berasaskan NetFlow dan log. Terdapat sistem khusus seperti FastNetMon, modul untuk Splunk. Sebagai pilihan terakhir, terdapat penyedia perlindungan DDoS anda. Ia juga boleh membocorkan NetFlow dan, berdasarkannya, ia akan memberitahu anda tentang serangan ke arah anda.
Penemuan
Tidak mempunyai ilusi - Internet pasti akan rosak. Tidak semuanya dan tidak semua orang akan pecah, tetapi 14 ribu insiden pada tahun 2017 membayangkan bahawa akan ada insiden.
Tugas anda adalah untuk melihat masalah seawal mungkin. Sekurang-kurangnya, tidak lewat daripada pengguna anda. Bukan sahaja penting untuk diperhatikan, sentiasa simpan "Pelan B" sebagai simpanan. Pelan ialah strategi untuk apa yang anda akan lakukan apabila semuanya rosak.: pengendali rizab, DC, CDN. Pelan ialah senarai semak berasingan yang mana anda menyemak kerja segala-galanya. Pelan itu harus berfungsi tanpa penglibatan jurutera rangkaian, kerana biasanya terdapat sedikit daripada mereka dan mereka mahu tidur.
Itu sahaja. Saya berharap anda ketersediaan tinggi dan pemantauan hijau.
Minggu depan di Novosibirsk cahaya matahari, beban tinggi dan kepekatan tinggi pemaju dijangka . Di Siberia, hadapan laporan mengenai pemantauan, kebolehcapaian dan ujian, keselamatan dan pengurusan diramalkan. Pemendakan dijangka dalam bentuk catatan contengan, rangkaian, gambar dan siaran di rangkaian sosial. Kami mengesyorkan menangguhkan semua aktiviti pada 24 dan 25 Jun dan . Kami sedang menunggu anda di Siberia!
Sumber: www.habr.com