L-Internet jidher li huwa struttura b'saħħitha, indipendenti u indestructible. Fit-teorija, in-netwerk huwa b'saħħtu biżżejjed biex jgħix fi splużjoni nukleari. Fir-realtà, l-Internet jista 'jwaqqa' router żgħir wieħed. Kollox għaliex l-Internet huwa munzell ta 'kontradizzjonijiet, vulnerabbiltajiet, żbalji u vidjows dwar qtates. Is-sinsla tal-Internet, BGP, hija mimlija problemi. Hija tal-għaġeb li għadu jieħu n-nifs. Minbarra l-iżbalji fl-Internet innifsu, huwa wkoll miksur minn kulħadd u minn kulħadd: fornituri kbar tal-Internet, korporazzjonijiet, stati u attakki DDoS. X'għandek tagħmel dwarha u kif tgħix magħha?
Jaf it-tweġiba Alexey Uchakin () huwa l-mexxej ta 'tim ta' inġiniera tan-netwerk f'IQ Option. Il-kompitu ewlieni tiegħu huwa l-aċċessibbiltà tal-pjattaforma għall-utenti. Fit-traskrizzjoni tar-rapport ta’ Alexey dwar Ejja nitkellmu dwar BGP, attakki DDOS, swiċċijiet tal-Internet, żbalji tal-fornitur, deċentralizzazzjoni u każijiet meta router żgħir bagħat l-Internet biex torqod. Fl-aħħar - ftit suġġerimenti dwar kif tgħix dan kollu.
Il-Jum li kisser l-Internet
Se niċċita biss ftit inċidenti fejn il-konnettività tal-Internet falliet. Dan ikun biżżejjed għall-istampa sħiħa.
"Inċident AS7007". L-ewwel darba li l-Internet kiser kien f'April 1997. Kien hemm bug fis-softwer ta 'router wieħed mis-sistema awtonoma 7007. F'xi punt, ir-router ħabbar it-tabella tar-rotta interna tiegħu lill-ġirien tiegħu u bagħat nofs in-netwerk f'toqba sewda.
"Il-Pakistan kontra YouTube". Fl-2008, guys kuraġġużi mill-Pakistan iddeċidew li jimblokkaw YouTube. Tant għamluh tajjeb li nofs id-dinja baqgħet mingħajr qtates.
“Qbid tal-prefissi tal-VISA, MasterCard u Symantec minn Rostelecom”. Fl-2017, Rostelecom b'mod żbaljat bdiet tħabbar il-prefissi VISA, MasterCard u Symantec. Bħala riżultat, it-traffiku finanzjarju ġie mgħoddi minn kanali kkontrollati mill-fornitur. It-tnixxija ma dametx ħafna, iżda kienet spjaċevoli għall-kumpaniji finanzjarji.
Google vs Ġappun. F'Awwissu 2017, Google bdiet tħabbar il-prefissi tal-fornituri ewlenin Ġappuniżi NTT u KDDI f'uħud mill-uplinks tagħha. It-traffiku ntbagħat lil Google bħala transitu, x'aktarx bi żball. Peress li Google mhix fornitur u ma tippermettix traffiku ta' tranżitu, parti sinifikanti tal-Ġappun tħallew mingħajr l-Internet.
“DV LINK qabad il-prefissi ta’ Google, Apple, Facebook, Microsoft”. Ukoll fl-2017, il-fornitur Russu DV LINK għal xi raġuni beda jħabbar in-netwerks ta 'Google, Apple, Facebook, Microsoft u xi atturi ewlenin oħra.
"eNet mill-Istati Uniti qabad il-prefissi AWS Route53 u MyEtherwallet". Fl-2018, il-fornitur Ohio jew wieħed mill-klijenti tiegħu ħabbar in-netwerks tal-kartiera kripto Amazon Route53 u MyEtherwallet. L-attakk kien ta 'suċċess: anke minkejja ċ-ċertifikat iffirmat minnu nnifsu, twissija li dwarha dehret lill-utent meta daħal fil-websajt MyEtherwallet, ħafna kartieri ġew maħtufa u parti mill-munita kriptografika nsterqet.
Kien hemm aktar minn 2017 inċident bħal dan fl-14 biss! In-netwerk għadu deċentralizzat, għalhekk mhux kollox u mhux kulħadd jitkisser. Iżda hemm eluf ta 'inċidenti, kollha relatati mal-protokoll BGP li jħaddem l-Internet.
BGP u l-problemi tagħha
Protokoll BGP - Border Gateway Protocol, ġiet deskritta għall-ewwel darba fl-1989 minn żewġ inġiniera minn IBM u Cisco Systems fuq tliet "srievet" - folji A4. Dawn għadhom ipoġġu fil-kwartieri ġenerali ta 'Cisco Systems f'San Francisco bħala relikwa tad-dinja tan-netwerking.
Il-protokoll huwa bbażat fuq l-interazzjoni ta 'sistemi awtonomi - Sistemi Awtonomi jew AS fil-qosor. Sistema awtonoma hija sempliċement ID li għaliha huma assenjati netwerks IP fir-reġistru pubbliku. Router b'din l-ID jista' jħabbar dawn in-netwerks lid-dinja. Għaldaqstant, kwalunkwe rotta fuq l-Internet tista 'tiġi rappreżentata bħala vettur, li jissejjaħ AS Path. Il-vettur jikkonsisti fin-numri ta 'sistemi awtonomi li jridu jiġu traversati biex jilħqu n-netwerk tad-destinazzjoni.
Per eżempju, hemm netwerk ta 'numru ta' sistemi awtonomi. Għandek bżonn tikseb mis-sistema AS65001 għas-sistema AS65003. Il-mogħdija minn sistema waħda hija rappreżentata minn AS Path fid-dijagramma. Tikkonsisti f'żewġ sistemi awtonomi: 65002 u 65003. Għal kull indirizz ta 'destinazzjoni hemm vettur AS Path, li jikkonsisti fin-numri ta' sistemi awtonomi li rridu ngħaddu minnhom.
Allura x'inhuma l-problemi bil-BGP?
BGP huwa protokoll ta' fiduċja
Il-protokoll BGP huwa bbażat fuq il-fiduċja. Dan ifisser li aħna nafdaw lill-proxxmu tagħna awtomatikament. Din hija karatteristika ta 'ħafna protokolli li ġew żviluppati fil-bidu nett tal-Internet. Ejja naraw xi tfisser "fiduċja".
L-ebda awtentikazzjoni tal-proxxmu. Formalment, hemm MD5, iżda MD5 fl-2019 huwa biss dak...
L-ebda filtrazzjoni. BGP għandu filtri u huma deskritti, iżda mhumiex użati jew użati ħażin. Nispjega għaliex aktar tard.
Huwa faċli ħafna li twaqqaf lokal. It-twaqqif ta 'lokal fil-protokoll BGP fuq kważi kull router huwa ftit linji tal-konfigurazzjoni.
Ebda drittijiet ta 'ġestjoni BGP meħtieġa. M'għandekx bżonn tagħmel eżamijiet biex tipprova l-kwalifiki tiegħek. Ħadd mhu se jneħħi d-drittijiet tiegħek għall-konfigurazzjoni tal-BGP waqt li tkun fis-sakra.
Żewġ problemi ewlenin
Prefiss hijacks. Il-ħtif tal-prefiss huwa reklamar ta' netwerk li ma jappartjenix lilek, kif inhu l-każ ma' MyEtherwallet. Ħadna xi prefissi, ftiehmu mal-fornitur jew qabdejna, u permezz tiegħu nħabbru dawn in-netwerks.
It-tnixxija tar-rotta. It-tnixxijiet huma ftit aktar ikkumplikati. It-tnixxija hija bidla f'AS Path. Fl-aħjar, il-bidla tirriżulta f'dewmien akbar għaliex għandek bżonn tivvjaġġa rotta itwal jew fuq rabta inqas kapaċita. Fl-agħar każ, il-każ ma' Google u l-Ġappun se jiġi ripetut.
Google innifsu mhuwiex operatur jew sistema awtonoma ta' transitu. Iżda meta ħabbar in-netwerks tal-operaturi Ġappuniżi lill-fornitur tiegħu, it-traffiku permezz ta 'Google permezz ta' AS Path kien meqjus bħala prijorità ogħla. It-traffiku mar hemm u niżel sempliċement minħabba li s-settings tar-rotot ġewwa Google huma aktar kumplessi minn sempliċi filtri fil-fruntiera.
Għaliex il-filtri ma jaħdmux?
Ħadd ma jimpurtah. Din hija r-raġuni ewlenija - ħadd ma jimpurtah. L-amministratur ta 'fornitur żgħir jew kumpanija li konnessa mal-fornitur permezz ta' BGP ħa MikroTik, ikkonfigura BGP fuqha u lanqas biss jaf li l-filtri jistgħu jiġu kkonfigurati hemmhekk.
Żbalji ta' konfigurazzjoni. Ħassru xi ħaġa, żbaljaw fil-maskra, waqqsu l-malja ħażina - u issa reġa' hemm żball.
L-ebda possibbiltà teknika. Pereżempju, il-fornituri tat-telekomunikazzjoni għandhom ħafna klijenti. Il-ħaġa intelliġenti li tagħmel hi li taġġorna awtomatikament il-filtri għal kull klijent - biex tissorvelja li għandu netwerk ġdid, li jkun kera n-netwerk tiegħu lil xi ħadd. Huwa diffiċli li ssegwi dan, u saħansitra aktar diffiċli b'idejk. Għalhekk, sempliċement jinstallaw filtri rilassati jew ma jinstallawx filtri xejn.
Eċċezzjonijiet. Hemm eċċezzjonijiet għall-klijenti għeżież u kbar. Speċjalment fil-każ ta' interfaces inter-operaturi. Per eżempju, TransTeleCom u Rostelecom għandhom mazz ta 'netwerks u hemm interface bejniethom. Jekk il-ġonta taqa ', mhux se jkun tajjeb għal ħadd, għalhekk il-filtri huma rilassati jew imneħħija kompletament.
Informazzjoni skaduta jew irrilevanti fl-IRR. Il-filtri huma mibnija bbażati fuq informazzjoni li hija rreġistrata fi IRR - Reġistru tar-Rotot tal-Internet. Dawn huma reġistri tar-reġistraturi reġjonali tal-Internet. Ħafna drabi, ir-reġistri jkun fihom informazzjoni skaduta jew irrilevanti, jew it-tnejn.
Min huma dawn ir-reġistraturi?
L-indirizzi kollha tal-Internet jappartjenu lill-organizzazzjoni IANA - Awtorità ta' Numri Assenjati bl-Internet. Meta tixtri netwerk IP mingħand xi ħadd, ma tkunx qed tixtri indirizzi, iżda d-dritt li tużahom. L-indirizzi huma riżors intanġibbli u bi ftehim komuni huma kollha proprjetà tal-IANA.
Is-sistema taħdem hekk. L-IANA tiddelega l-ġestjoni tal-indirizzi IP u n-numri tas-sistema awtonomi lil ħames reġistraturi reġjonali. Huma joħorġu sistemi awtonomi LIR - reġistraturi lokali tal-internet. LIRs imbagħad jallokaw indirizzi IP lill-utenti finali.
L-iżvantaġġ tas-sistema huwa li kull wieħed mir-reġistraturi reġjonali jżomm ir-reġistri tiegħu bil-mod tiegħu. Kulħadd għandu l-fehmiet tiegħu dwar liema informazzjoni għandha tkun tinsab fir-reġistri, u min għandu jew m'għandux jiċċekkjaha. Ir-riżultat huwa t-tfixkil li għandna issa.
Kif inkella tista' tiġġieled dawn il-problemi?
IRR - kwalità medjokri. Huwa ċar bl-IRR - kollox huwa ħażin hemmhekk.
BGP-komunitajiet. Dan huwa xi attribut li huwa deskritt fil-protokoll. Nistgħu nehmu, pereżempju, komunità speċjali mat-tħabbira tagħna sabiex proxxmu ma jibgħatx in-netwerks tagħna lill-ġirien tiegħu. Meta jkollna rabta P2P, aħna niskambjaw in-netwerks tagħna biss. Biex tevita li r-rotta tmur aċċidentalment f'netwerks oħra, aħna nżidu l-komunità.
Il-komunitajiet mhumiex tranżittivi. Huwa dejjem kuntratt għal tnejn, u dan huwa l-iżvantaġġ tagħhom. Ma nistgħu nassenjaw ebda komunità, ħlief waħda, li hija aċċettata awtomatikament minn kulħadd. Ma nistgħux inkunu ċerti li kulħadd se jaċċetta din il-komunità u jinterpretaha b’mod korrett. Għalhekk, fl-aħjar każ, jekk taqbel mal-uplink tiegħek, hu jifhem dak li trid mingħandu f'termini ta 'komunità. Imma l-proxxmu tiegħek jista 'ma jifhimx, jew l-operatur sempliċiment jerġa' jissettja t-tikketta tiegħek, u mhux se tikseb dak li ridt.
RPKI + ROA issolvi biss parti żgħira mill-problemi. RPKI huwa Infrastruttura taċ-Ċavetta Pubblika tar-Riżorsi — qafas speċjali għall-iffirmar ta' informazzjoni dwar ir-rotot. Hija idea tajba li l-LIRs u l-klijenti tagħhom jiġu mġiegħla jżommu database aġġornata tal-ispazju tal-indirizzi. Iżda hemm problema waħda magħha.
RPKI hija wkoll sistema ta' ċavetta pubblika ġerarkika. L-IANA għandha ċavetta li minnha jiġu ġġenerati ċ-ċwievet RIR, u minn liema ċwievet LIR jiġu ġġenerati? li bihom jiffirmaw l-ispazju tal-indirizzi tagħhom billi jużaw ROAs - Awtorizzazzjonijiet tal-Oriġini tar-Rotot:
— Nassigurakom li dan il-prefiss se jitħabbar f'isem dan ir-reġjun awtonomu.
Minbarra r-ROA, hemm oġġetti oħra, iżda aktar dwarhom aktar tard. Jidher qisu ħaġa tajba u utli. Iżda ma tipproteġinax minn tnixxijiet mill-kelma "fuq kollox" u ma ssolvix il-problemi kollha bil-ħtif tal-prefiss. Għalhekk, il-plejers m'għandhomx għaġla biex jimplimentawha. Għalkemm diġà hemm assigurazzjonijiet minn atturi kbar bħal AT&T u kumpaniji kbar IX li prefissi b'rekord ROA invalidu se jitneħħew.
Forsi se jagħmlu dan, imma għalissa għandna numru kbir ta’ prefissi li m’huma ffirmati bl-ebda mod. Minn naħa, mhuwiex ċar jekk humiex imħabbra b'mod validu. Min-naħa l-oħra, ma nistgħux niżluhom awtomatikament, għax m'aħniex ċerti jekk dan hux korrett jew le.
X'hemm aktar?
BGPSec. Din hija ħaġa sabiħa li l-akkademiċi ħarġu biha għal netwerk ta 'ponijiet roża. Huma qalu:
- Għandna RPKI + ROA - mekkaniżmu għall-verifika tal-firem tal-ispazju tal-indirizz. Ejja noħolqu attribut BGP separat u sejjaħlu BGPSec Path. Kull router jiffirma bil-firma tiegħu stess l-avviżi li jħabbar lill-ġirien tiegħu. Dan il-mod se nġibu mogħdija ta 'fiduċja mill-katina ta' avviżi ffirmati u nkunu nistgħu niċċekkjawha.
Tajjeb fit-teorija, iżda fil-prattika hemm ħafna problemi. BGPsec ikisser ħafna mekkaniżmi eżistenti tal-BGP għall-għażla tal-ħops li jmiss u l-ġestjoni tat-traffiku deħlin/ħerġin direttament fuq ir-router. BGPSec ma jaħdimx sakemm 95% tas-suq kollu jkun implimentah, li fih innifsu huwa utopja.
BGPSec għandu problemi kbar ta 'prestazzjoni. Fuq il-ħardwer attwali, il-veloċità tal-iċċekkjar tal-avviżi hija madwar 50 prefiss kull sekonda. Għal paragun: it-tabella attwali tal-Internet ta '700 prefiss se tittella' f'000 sigħat, li matulhom tinbidel 5 darbiet oħra.
Politika Miftuħa tal-BGP (BGP ibbażat fuq ir-rwol). Proposta friska bbażata fuq il-mudell Gao-Rexford. Dawn huma żewġ xjenzati li qed jirriċerkaw il-BGP.
Il-mudell Gao-Rexford huwa kif ġej. Biex tissimplifika, ma 'BGP hemm numru żgħir ta' tipi ta 'interazzjonijiet:
- Fornitur Klijent;
- P2P;
- komunikazzjoni interna, ngħidu aħna iBGP.
Ibbażat fuq ir-rwol tar-router, huwa diġà possibbli li jiġu assenjati ċerti politiki ta 'importazzjoni/esportazzjoni b'mod awtomatiku. L-amministratur m'għandux għalfejn jikkonfigura l-listi tal-prefissi. Ibbażat fuq ir-rwol li r-routers jaqblu bejniethom u li jista 'jiġi ssettjat, diġà nirċievu xi filtri default. Dan bħalissa huwa abbozz li qed jiġi diskuss fl-IETF. Nittama li dalwaqt naraw dan fil-forma ta 'RFC u implimentazzjoni fuq hardware.
Fornituri kbar tal-Internet
Ejja nħarsu lejn l-eżempju ta 'fornitur CenturyLink. Huwa t-tielet l-akbar fornitur tal-Istati Uniti, li jservi 37 stat u li għandu 15-il ċentru tad-dejta.
F'Diċembru 2018, CenturyLink kien fis-suq Amerikan għal 50 siegħa. Waqt l-inċident, kien hemm problemi bl-operat tal-ATMs f’żewġ stati, u n-numru 911 ma kienx qed jaħdem għal diversi sigħat f’ħames stati. Il-lotterija f'Idaho kienet kompletament rovinata. L-inċident bħalissa jinsab taħt investigazzjoni mill-Kummissjoni tat-Telekomunikazzjoni tal-Istati Uniti.
Il-kawża tat-traġedja kienet karta tan-netwerk waħda f'ċentru tad-dejta wieħed. Il-karta ma ħadmet ħażin, bagħtet pakketti mhux korretti, u l-15 taċ-ċentri tad-dejta tal-fornitur niżlu.
L-idea ma ħadmitx għal dan il-fornitur "kbir wisq biex taqa'". Din l-idea ma taħdimx xejn. Tista 'tieħu kwalunkwe attur ewlieni u tpoġġi xi affarijiet żgħar fuq nett. L-Istati Uniti għadhom sejrin tajjeb bil-konnettività. Il-klijenti ta’ CenturyLink li kellhom riżerva daħlu fiha f’ħafna. Imbagħad operaturi alternattivi lmentaw dwar ir-rabtiet tagħhom mgħobbija żżejjed.
Jekk il-Kazakaktelecom kondizzjonali jaqa ', il-pajjiż kollu se jitħalla mingħajr l-Internet.
Korporazzjonijiet
Probabbilment Google, Amazon, FaceBook u korporazzjonijiet oħra jappoġġjaw l-Internet? Le, ikissruh ukoll.
Fl-2017 f'San Pietruburgu fil-konferenza ENOG13 Jeff Houston ta ' APnic daħħal . Jgħid li aħna mdorrijin li l-interazzjonijiet, il-flussi tal-flus u t-traffiku fuq l-Internet ikunu vertikali. Għandna fornituri żgħar li jħallsu għall-konnettività għal oħrajn akbar, u diġà jħallsu għall-konnettività għat-tranżitu globali.
Issa għandna tali struttura orjentata vertikalment. Kollox ikun tajjeb, iżda d-dinja qed tinbidel - atturi ewlenin qed jibnu l-kejbils transoċeaniċi tagħhom biex jibnu s-sinsla tagħhom stess.
Aħbarijiet dwar CDN cable.
Fl-2018, TeleGeography ħarġet studju li aktar minn nofs it-traffiku fuq l-Internet m'għadux l-Internet, iżda s-CDN tas-sinsla ta 'plejers kbar. Dan huwa traffiku li huwa relatat mal-Internet, iżda dan m'għadux in-netwerk li konna nitkellmu dwaru.
L-Internet qed jinqasam f'sett kbir ta' netwerks konnessi b'mod laxk.
Il-Microsoft għandha n-netwerk tagħha stess, Google għandha tagħha, u ftit li xejn jikkoinċidu ma 'xulxin. It-traffiku li oriġina x'imkien fl-Istati Uniti jgħaddi minn kanali ta' Microsoft madwar l-oċean lejn l-Ewropa x'imkien fuq CDN, imbagħad permezz ta' CDN jew IX jgħaqqad mal-fornitur tiegħek u jasal mar-router tiegħek.
Id-deċentralizzazzjoni qed tisparixxi.
Din is-saħħa tal-Internet, li se tgħinu jgħix fi splużjoni nukleari, qed tintilef. Jidhru postijiet ta’ konċentrazzjoni ta’ utenti u traffiku. Jekk il-Google Cloud kondizzjonali jaqa ', se jkun hemm ħafna vittmi f'daqqa. Dan ħassejna parzjalment meta Roskomnadzor imblokka l-AWS. U l-eżempju ta 'CenturyLink juri li anke affarijiet żgħar huma biżżejjed għal dan.
Qabel, mhux kollox u mhux kulħadd kissru. Fil-futur, nistgħu naslu għall-konklużjoni li billi ninfluwenzaw attur wieħed ewlieni, nistgħu nkissru ħafna affarijiet, f'ħafna postijiet u f'ħafna nies.
l-Istati
L-Istati huma li jmiss fil-linja, u dan huwa dak li normalment jiġri lilhom.
Hawnhekk Roskomnadzor tagħna lanqas biss huwa pijunier. Prattika simili ta 'għeluq tal-Internet teżisti fl-Iran, l-Indja u l-Pakistan. Fl-Ingilterra hemm abbozz ta’ liġi dwar il-possibbiltà li jingħalaq l-Internet.
Kwalunkwe stat kbir irid jikseb swiċċ biex jitfi l-Internet, jew kompletament jew f'partijiet: Twitter, Telegram, Facebook. Mhux talli ma jifhmux li qatt mhu se jirnexxu, imma jriduh tassew. Is-swiċċ jintuża, bħala regola, għal skopijiet politiċi - biex jiġu eliminati l-kompetituri politiċi, jew l-elezzjonijiet qed joqorbu, jew il-hackers Russi reġgħu kissru xi ħaġa.
Attakki DDoS
Mhux se nieħu l-ħobż mingħand sħabi minn Qrator Labs, jagħmluh ħafna aħjar minni. Għandhom dwar l-istabbiltà tal-Internet. U dan huwa dak li kitbu fir-rapport tal-2018.
It-tul medju tal-attakki DDoS jinżel għal 2.5 sigħat. L-attakkanti wkoll jibdew jgħoddu l-flus, u jekk ir-riżorsa ma tkunx disponibbli immedjatament, allura malajr iħalluha waħedha.
L-intensità tal-attakki qed tikber. Fl-2018, rajna 1.7 Tb/s fuq in-netwerk Akamai, u dan mhuwiex il-limitu.
Qed jitfaċċaw attakki ġodda u dawk qodma qed jintensifikaw. Qed jitfaċċaw protokolli ġodda li huma suxxettibbli għall-amplifikazzjoni, u qed jitfaċċaw attakki ġodda fuq protokolli eżistenti, speċjalment TLS u affarijiet simili.
Ħafna mit-traffiku huwa minn apparat mobbli. Fl-istess ħin, it-traffiku tal-Internet jinbidel għal klijenti mobbli. Kemm dawk li jattakkaw kif ukoll dawk li jiddefendu jeħtieġ li jkunu jistgħu jaħdmu b’dan.
Invulnerabbli - le. Din hija l-idea ewlenija - m'hemm l-ebda protezzjoni universali li definittivament se tipproteġi kontra kwalunkwe DDoS.
Is-sistema ma tistax tiġi installata sakemm ma tkunx konnessa mal-Internet.
Nispera li bżajtlek biżżejjed. Ejja issa naħsbu dwar x'għandek tagħmel dwarha.
X'tagħmel?!
Jekk għandek ħin liberu, xewqa u għarfien tal-Ingliż, ħu sehem fi gruppi ta’ ħidma: IETF, RIPE WG. Dawn huma listi tal-posta miftuħa, tabbona għal-listi tal-posta, tipparteċipa f'diskussjonijiet, tasal għal konferenzi. Jekk għandek status ta' LIR, tista' tivvota, pereżempju, f'RIPE għal diversi inizjattivi.
Għal sempliċi mortals dan huwa monitoraġġ. Biex tkun taf x'inhu miksur.
Monitoraġġ: x'għandek tiċċekkja?
Ping regolari, u mhux biss verifika binarja - taħdem jew le. Irreġistra RTT fl-istorja sabiex tkun tista' tħares lejn l-anomaliji aktar tard.
Traceroute. Dan huwa programm ta 'utilità għad-determinazzjoni tar-rotot tad-dejta fuq netwerks TCP/IP. Jgħin biex jidentifika anomaliji u imblukkar.
Kontrolli HTTP għal URLs personalizzati u ċertifikati TLS se jgħin biex jiskopri imblukkar jew DNS spoofing għal attakk, li huwa prattikament l-istess ħaġa. L-imblukkar spiss isir permezz ta' spoofing tad-DNS u billi t-traffiku jinbidel f'paġna stub.
Jekk possibbli, iċċekkja d-deċiżjoni tal-klijenti tiegħek dwar l-oriġini tiegħek minn postijiet differenti jekk għandek applikazzjoni. Dan jgħinek tiskopri anomaliji tal-ħtif tad-DNS, xi ħaġa li xi drabi jagħmlu l-fornituri.
Monitoraġġ: fejn tiċċekkja?
M'hemm l-ebda tweġiba universali. Iċċekkja minn fejn ġej l-utent. Jekk l-utenti jkunu fir-Russja, iċċekkja mir-Russja, imma tillimitax lilek innifsek għaliha. Jekk l-utenti tiegħek jgħixu f'reġjuni differenti, iċċekkja minn dawn ir-reġjuni. Imma aħjar mid-dinja kollha.
Monitoraġġ: x'għandek tiċċekkja?
Ħriġt bi tliet modi. Jekk taf aktar, ikteb fil-kummenti.
- RIPE Atlas.
- Monitoraġġ kummerċjali.
- In-netwerk tiegħek ta' magni virtwali.
Ejja nitkellmu dwar kull wieħed minnhom.
RIPE Atlas - hija kaxxa daqshekk żgħira. Għal dawk li jafu l-"Ispettur" domestiku - din hija l-istess kaxxa, iżda bi stiker differenti.
RIPE Atlas huwa programm b'xejn. Tirreġistra, tirċievi router bil-posta u plaggha fin-netwerk. Għall-fatt li xi ħadd ieħor juża l-kampjun tiegħek, ikollok xi krediti. B'dan is-self tista' tagħmel xi riċerka lilek innifsek. Tista 'tittestja b'modi differenti: ping, traceroute, iċċekkja ċertifikati. Il-kopertura hija pjuttost kbira, hemm ħafna nodi. Iżda hemm sfumaturi.
Is-sistema ta 'kreditu ma tippermettix soluzzjonijiet ta' produzzjoni tal-bini. Mhux se jkun hemm biżżejjed krediti għal riċerka kontinwa jew monitoraġġ kummerċjali. Il-kredti huma biżżejjed għal studju qasir jew kontroll ta' darba. In-norma ta 'kuljum minn kampjun wieħed hija kkunsmata minn kontrolli 1-2.
Il-kopertura hija irregolari. Peress li l-programm huwa b'xejn fiż-żewġ direzzjonijiet, il-kopertura hija tajba fl-Ewropa, fil-parti Ewropea tar-Russja u xi reġjuni. Imma jekk għandek bżonn l-Indoneżja jew New Zealand, allura kollox huwa ħafna agħar - jista 'ma jkollokx 50 kampjun għal kull pajjiż.
Ma tistax tiċċekkja http minn kampjun. Dan huwa dovut għal sfumaturi tekniċi. Huma jwiegħdu li jiffissawha fil-verżjoni l-ġdida, iżda għalissa http ma tistax tiġi ċċekkjata. Iċ-ċertifikat biss jista' jiġi vverifikat. Xi tip ta' http check jista' jsir biss fuq apparat speċjali ta' RIPE Atlas imsejjaħ Anchor.
It-tieni metodu huwa l-monitoraġġ kummerċjali. Kollox tajjeb miegħu, qed tħallas flus, hux? Iwiegħduk diversi tużżani jew mijiet ta' punti ta' monitoraġġ madwar id-dinja u jiġbed dashboards sbieħ barra mill-kaxxa. Iżda, għal darb'oħra, hemm problemi.
Huwa mħallas, f'xi postijiet huwa ħafna. Il-monitoraġġ tal-ping, kontrolli madwar id-dinja, u lottijiet ta 'kontrolli http jistgħu jiswew diversi eluf ta' dollari fis-sena. Jekk il-finanzi jippermettu u togħġobkom din is-soluzzjoni, aqbad.
Il-kopertura tista' ma tkunx biżżejjed fir-reġjun ta' interess. Bl-istess ping, huwa speċifikat massimu ta 'parti astratta tad-dinja - l-Asja, l-Ewropa, l-Amerika ta' Fuq. Sistemi ta 'monitoraġġ rari jistgħu jħaffru għal pajjiż jew reġjun speċifiku.
Appoġġ dgħajjef għal testijiet tad-dwana. Jekk għandek bżonn xi ħaġa tad-dwana, u mhux biss "kaboċċi" fuq l-url, allura hemm problemi ma 'dak ukoll.
It-tielet mod huwa l-monitoraġġ tiegħek. Dan huwa klassiku: "Ejja niktbu tagħna!"
Il-monitoraġġ tiegħek jinbidel fl-iżvilupp ta 'prodott ta' softwer, u wieħed imqassam. Qed tfittex fornitur tal-infrastruttura, ħares lejn kif tiskjera u timmonitorjah - il-monitoraġġ jeħtieġ li jiġi mmonitorjat, hux? U l-appoġġ huwa meħtieġ ukoll. Aħseb għaxar darbiet qabel ma tieħu dan. Jista 'jkun aktar faċli li tħallas lil xi ħadd biex jagħmel dan għalik.
Monitoraġġ ta' anomaliji BGP u attakki DDoS
Hawnhekk, ibbażat fuq ir-riżorsi disponibbli, kollox huwa saħansitra aktar sempliċi. L-anomaliji tal-BGP jiġu skoperti bl-użu ta’ servizzi speċjalizzati bħal QRadar, BGPmon. Jaċċettaw tabella ta 'viżjoni sħiħa minn operaturi multipli. Ibbażat fuq dak li jaraw minn operaturi differenti, jistgħu jiskopru anomaliji, ifittxu amplifikaturi, eċċ. Ir-reġistrazzjoni ġeneralment tkun b'xejn - iddaħħal in-numru tat-telefon tiegħek, tabbona għan-notifiki bl-email, u s-servizz javżak għall-problemi tiegħek.
Il-monitoraġġ tal-attakki DDoS huwa sempliċi wkoll. Tipikament dan huwa Ibbażat fuq NetFlow u zkuk. Hemm sistemi speċjalizzati bħal FastNetMon, moduli għal Splunk. Bħala l-aħħar għażla, hemm il-fornitur tal-protezzjoni DDoS tiegħek. Jista 'wkoll inixxi NetFlow u, abbażi tiegħu, jinnotifikak b'attakki fid-direzzjoni tiegħek.
Sejbiet
M'għandekx illużjonijiet - l-Internet żgur se jinkiser. Mhux kollox u mhux kulħadd se jkisser, iżda 14-il elf inċident fl-2017 jagħtu ħjiel li se jkun hemm inċidenti.
Il-kompitu tiegħek huwa li tinnota problemi kmieni kemm jista 'jkun. Bħala minimu, mhux aktar tard mill-utent tiegħek. Mhux biss huwa importanti li wieħed jinnota, dejjem żomm "Pjan B" fir-riżerva. Pjan huwa strateġija għal dak li se tagħmel meta kollox ikisser.: operaturi ta' riżerva, DC, CDN. Pjan huwa lista ta 'kontroll separata li magħha tiċċekkja x-xogħol ta' kollox. Il-pjan għandu jaħdem mingħajr l-involviment ta 'inġiniera tan-netwerk, għaliex normalment ikun hemm ftit minnhom u jridu jorqdu.
Dak kollox. Nixtieqilkom disponibbiltà għolja u monitoraġġ aħdar.
Il-ġimgħa d-dieħla f'Novosibirsk huma mistennija xemx, tagħbija għolja u konċentrazzjoni għolja ta 'żviluppaturi . Fis-Siberja, huwa previst front ta' rapporti dwar il-monitoraġġ, l-aċċessibbiltà u l-ittestjar, is-sigurtà u l-ġestjoni. Preċipitazzjoni hija mistennija fil-forma ta 'noti mħarrġa, netwerking, ritratti u postijiet fuq netwerks soċjali. Nirrakkomandaw li l-attivitajiet kollha jiġu posposti għall-24 u l-25 ta’ Ġunju u . Qed nistennewk fis-Siberja!
Sors: www.habr.com