Het internet lijkt een sterke, onafhankelijke en onverwoestbare structuur te zijn. In theorie is het netwerk sterk genoeg om een kernexplosie te overleven. In werkelijkheid kan internet één kleine router laten vallen. Allemaal omdat internet een hoop tegenstrijdigheden, kwetsbaarheden, fouten en video's over katten is. De ruggengraat van het internet, BGP, kent veel problemen. Het is verbazingwekkend dat hij nog ademt. Naast fouten in het internet zelf, wordt het ook door iedereen kapot gemaakt: grote internetproviders, bedrijven, staten en DDoS-aanvallen. Wat kun je eraan doen en hoe ermee leven?
Kent het antwoord Alexey Uchakin () is de leider van een team van netwerkingenieurs bij IQ Option. Haar voornaamste taak is de toegankelijkheid van het platform voor gebruikers. In het transcript van Alexey's rapport over Laten we het hebben over BGP, DDOS-aanvallen, internetswitches, providerfouten, decentralisatie en gevallen waarin een kleine router het internet in de slaapstand stuurde. Aan het einde - een paar tips om dit allemaal te overleven.
De dag dat het internet kapot ging
Ik zal slechts een paar incidenten noemen waarbij de internetconnectiviteit uitviel. Dit is voldoende voor het complete plaatje.
"AS7007-incident". De eerste keer dat het internet kapot ging was in april 1997. Er zat een bug in de software van één router van het autonome systeem 7007. Op een gegeven moment maakte de router zijn interne routeringstabel bekend aan zijn buren en stuurde de helft van het netwerk in een zwart gat.
"Pakistan tegen YouTube". In 2008 besloten dappere jongens uit Pakistan YouTube te blokkeren. Ze deden het zo goed dat de halve wereld zonder katten zat.
“Vastlegging van VISA-, MasterCard- en Symantec-voorvoegsels door Rostelecom”. In 2017 begon Rostelecom per ongeluk de voorvoegsels VISA, MasterCard en Symantec aan te kondigen. Als gevolg hiervan werd het financiële verkeer via door de aanbieder gecontroleerde kanalen geleid. Het lek duurde niet lang, maar was wel vervelend voor financiële bedrijven.
Google versus Japan. In augustus 2017 begon Google in sommige van zijn uplinks de voorvoegsels van de grote Japanse providers NTT en KDDI aan te kondigen. Het verkeer is hoogstwaarschijnlijk per ongeluk naar Google gestuurd als transit. Omdat Google geen aanbieder is en geen transitverkeer toestaat, zat een aanzienlijk deel van Japan zonder internet.
“DV LINK heeft de voorvoegsels van Google, Apple, Facebook, Microsoft vastgelegd”. Ook in 2017 begon de Russische provider DV LINK om de een of andere reden de netwerken van Google, Apple, Facebook, Microsoft en enkele andere grote spelers aan te kondigen.
“eNet uit de VS heeft de voorvoegsels AWS Route53 en MyEtherwallet vastgelegd”. In 2018 kondigde de aanbieder uit Ohio of een van zijn klanten de crypto-portemonneenetwerken Amazon Route53 en MyEtherwallet aan. De aanval was succesvol: ondanks het zelfondertekende certificaat, waarvoor de gebruiker een waarschuwing kreeg bij het betreden van de MyEtherwallet-website, werden veel portemonnees gekaapt en werd een deel van de cryptocurrency gestolen.
Alleen al in 2017 waren er meer dan 14 van dergelijke incidenten! Het netwerk is nog steeds gedecentraliseerd, dus niet alles en niet iedereen gaat kapot. Maar er zijn duizenden incidenten, allemaal gerelateerd aan het BGP-protocol dat het internet aandrijft.
BGP en zijn problemen
protocol BGP - Border Gateway-protocol, werd voor het eerst beschreven in 1989 door twee ingenieurs van IBM en Cisco Systems op drie "servetten" - A4-vellen. Deze zitten nog steeds op het hoofdkantoor van Cisco Systems in San Francisco als een overblijfsel van de netwerkwereld.
Het protocol is gebaseerd op de interactie van autonome systemen - Autonomous Systems of kortweg AS. Een autonoom systeem is eenvoudigweg een ID waaraan IP-netwerken in het openbare register zijn toegewezen. Een router met dit ID kan deze netwerken aan de wereld bekendmaken. Dienovereenkomstig kan elke route op internet worden weergegeven als een vector, die wordt genoemd AS-pad. De vector bestaat uit het aantal autonome systemen dat moet worden doorlopen om het bestemmingsnetwerk te bereiken.
Zo is er een netwerk van een aantal autonome systemen. U moet van het AS65001-systeem naar het AS65003-systeem gaan. Het pad van één systeem wordt in het diagram weergegeven door AS Path. Het bestaat uit twee autonome systemen: 65002 en 65003. Voor elk bestemmingsadres is er een AS Path-vector, die bestaat uit de aantallen autonome systemen die we moeten doorlopen.
Wat zijn de problemen met BGP?
BGP is een vertrouwensprotocol
Het BGP-protocol is gebaseerd op vertrouwen. Dit betekent dat we onze naaste standaard vertrouwen. Dit is een kenmerk van veel protocollen die aan het begin van het internet zijn ontwikkeld. Laten we eens kijken wat ‘vertrouwen’ betekent.
Geen burenauthenticatie. Formeel is er MD5, maar MD5 anno 2019 is precies dat...
Geen filtering. BGP heeft filters en deze worden beschreven, maar ze worden niet of verkeerd gebruikt. Ik zal later uitleggen waarom.
Het is heel eenvoudig om een buurt op te zetten. Het opzetten van een buurt in het BGP-protocol op vrijwel elke router is een paar regels van de configuratie.
Geen BGP-beheerrechten vereist. U hoeft geen examens af te leggen om uw kwalificaties te bewijzen. Niemand zal uw rechten wegnemen voor het configureren van BGP terwijl u dronken bent.
Twee belangrijke problemen
Kapingen met voorvoegsels. Bij het kapen van voorvoegsels maakt u reclame voor een netwerk dat niet van u is, zoals het geval is bij MyEtherwallet. We hebben een aantal voorvoegsels genomen, met de provider afgesproken of deze gehackt, en via deze kondigen we deze netwerken aan.
Route-lekken. Lekken zijn iets ingewikkelder. Een lek is een verandering in het AS-pad. In het beste geval zal de wijziging resulteren in een grotere vertraging omdat u een langere route of een minder ruime verbinding moet afleggen. In het slechtste geval zal het geval met Google en Japan worden herhaald.
Google zelf is geen operator of autonoom vervoerssysteem. Maar toen hij bij zijn provider de netwerken van Japanse operators aankondigde, werd verkeer via Google via AS Path als een hogere prioriteit gezien. Het verkeer ging daarheen en daalde simpelweg omdat de routeringsinstellingen binnen Google complexer zijn dan alleen filters aan de grens.
Waarom werken filters niet?
Het kan niemand iets schelen. Dit is de belangrijkste reden: het kan niemand iets schelen. De beheerder van een kleine provider of bedrijf dat via BGP verbinding maakte met de provider heeft MikroTik meegenomen, BGP erop geconfigureerd en weet niet eens dat daar filters kunnen worden geconfigureerd.
Configuratiefouten. Ze hebben iets verprutst, een fout gemaakt in het masker, het verkeerde gaas opgezet - en nu is er weer een fout.
Geen technische mogelijkheid. Telecomaanbieders hebben bijvoorbeeld veel klanten. Het slimste is om de filters voor elke klant automatisch bij te werken - om te controleren of hij een nieuw netwerk heeft, of hij zijn netwerk aan iemand heeft verhuurd. Het is moeilijk om dit te volgen, en nog moeilijker met je handen. Daarom installeren ze eenvoudigweg ontspannen filters of installeren ze helemaal geen filters.
Исключения. Er zijn uitzonderingen voor geliefde en grote klanten. Vooral in het geval van interfaces tussen operators. TransTeleCom en Rostelecom hebben bijvoorbeeld een aantal netwerken en er is een interface daartussen. Als het gewricht valt, is dat voor niemand goed, dus worden de filters versoepeld of helemaal verwijderd.
Verouderde of irrelevante informatie in de IRR. Filters worden gebouwd op basis van informatie die is vastgelegd in IRR - Register voor internetroutering. Dit zijn registers van regionale internetregistrars. Registers bevatten vaak verouderde of irrelevante informatie, of beide.
Wie zijn deze registrars?
Alle internetadressen zijn eigendom van de organisatie IANA - Autoriteit voor toegewezen nummers via internet. Wanneer u van iemand een IP-netwerk koopt, koopt u geen adressen, maar het recht om deze te gebruiken. Adressen zijn een immateriële hulpbron en in onderlinge overeenstemming zijn ze allemaal eigendom van de IANA.
Het systeem werkt als volgt. IANA delegeert het beheer van IP-adressen en autonome systeemnummers aan vijf regionale registrars. Ze geven autonome systemen uit LIR - lokale internetregistreerders. LIR's wijzen vervolgens IP-adressen toe aan eindgebruikers.
Het nadeel van het systeem is dat elk van de regionale registrars zijn registers op zijn eigen manier bijhoudt. Iedereen heeft zijn eigen mening over welke informatie in registers moet staan en wie deze wel of niet moet controleren. Het resultaat is de puinhoop die we nu hebben.
Hoe kun je deze problemen anders bestrijden?
IRR - middelmatige kwaliteit. Het is duidelijk met IRR: alles is daar slecht.
BGP-gemeenschappen. Dit is een kenmerk dat in het protocol wordt beschreven. We kunnen bijvoorbeeld een speciale community aan onze aankondiging koppelen, zodat een buurman onze netwerken niet naar zijn buren stuurt. Wanneer we een P2P-link hebben, wisselen we alleen onze netwerken uit. Om te voorkomen dat de route per ongeluk naar andere netwerken gaat, voegen we community toe.
Gemeenschappen zijn niet transitief. Het is altijd een contract voor twee, en dit is hun nadeel. We kunnen geen enkele community toewijzen, met uitzondering van één, die standaard door iedereen wordt geaccepteerd. We kunnen er niet zeker van zijn dat iedereen deze gemeenschap zal accepteren en correct zal interpreteren. Daarom zal hij, in het beste geval, als u het eens bent met uw uplink, begrijpen wat u van hem verwacht in termen van gemeenschap. Maar uw buurman begrijpt het misschien niet, of de telefoniste reset eenvoudigweg uw tag en u bereikt niet wat u wilde.
RPKI + ROA lost slechts een klein deel van de problemen op. RPKI is Bron openbare sleutelinfrastructuur — een speciaal raamwerk voor het ondertekenen van routeringsinformatie. Het is een goed idee om LIR's en hun klanten te dwingen een up-to-date adresruimtedatabase bij te houden. Maar er is één probleem mee.
RPKI is ook een hiërarchisch openbaar sleutelsysteem. IANA heeft een sleutel waaruit RIR-sleutels worden gegenereerd, en waaruit LIR-sleutels worden gegenereerd? waarmee ze hun adresruimte ondertekenen met behulp van ROA's - Route Origin Authorizations:
— Ik verzeker u dat dit voorvoegsel namens deze autonome regio zal worden aangekondigd.
Naast ROA zijn er nog andere objecten, maar daarover later meer. Het lijkt een goed en nuttig ding. Maar het beschermt ons niet tegen lekken uit het woord ‘helemaal’ en lost niet alle problemen met het kapen van voorvoegsels op. Daarom hebben spelers geen haast om het te implementeren. Hoewel er al garanties zijn van grote spelers zoals AT&T en grote IX-bedrijven dat voorvoegsels met een ongeldig ROA-record zullen worden geschrapt.
Misschien zullen ze dit doen, maar voorlopig hebben we een groot aantal voorvoegsels die op geen enkele manier zijn ondertekend. Enerzijds is het onduidelijk of ze op geldige wijze zijn aangekondigd. Aan de andere kant kunnen we ze niet standaard laten vallen, omdat we niet zeker weten of dit correct is of niet.
Wat is er nog meer?
BGPSec. Dit is iets cools dat academici hebben bedacht voor een netwerk van roze pony's. Ze zeiden:
- We hebben RPKI + ROA - een mechanisme voor het verifiëren van handtekeningen in adresruimten. Laten we een afzonderlijk BGP-kenmerk maken en dit BGPSec-pad noemen. Elke router ondertekent de aankondigingen die hij aan zijn buren bekendmaakt met zijn eigen handtekening. Op deze manier krijgen we een betrouwbaar pad uit de keten van ondertekende aankondigingen en kunnen we dit controleren.
In theorie goed, maar in de praktijk zijn er veel problemen. BGPSec verbreekt veel bestaande BGP-mechanismen voor het selecteren van volgende hops en het rechtstreeks op de router beheren van inkomend/uitgaand verkeer. BGPSec werkt pas als 95% van de gehele markt het heeft geïmplementeerd, wat op zichzelf een utopie is.
BGPSec heeft enorme prestatieproblemen. Op de huidige hardware bedraagt de snelheid van het controleren van aankondigingen ongeveer 50 prefixen per seconde. Ter vergelijking: de huidige internettabel met 700 voorvoegsels wordt binnen 000 uur geüpload, gedurende welke deze nog 5 keer zal veranderen.
BGP Open Policy (op rollen gebaseerde BGP). Nieuw voorstel gebaseerd op het model Gao-Rexford. Dit zijn twee wetenschappers die onderzoek doen naar BGP.
Het Gao-Rexford-model is als volgt. Ter vereenvoudiging: er zijn bij BGP een klein aantal soorten interacties:
- Aanbieder Klant;
- P2P;
- interne communicatie, zeg iBGP.
Op basis van de rol van de router is het al mogelijk om bepaald import-/exportbeleid standaard toe te wijzen. De beheerder hoeft geen voorvoegsellijsten te configureren. Op basis van de rol die de routers onderling afspreken en die kunnen worden ingesteld, ontvangen we al enkele standaardfilters. Dit is momenteel een concept dat wordt besproken in de IETF. Ik hoop dat we dit binnenkort in de vorm van een RFC en implementatie op hardware gaan zien.
Grote internetproviders
Laten we eens kijken naar het voorbeeld van een aanbieder CenturyLink. Het is de derde grootste Amerikaanse provider, bedient 37 staten en beschikt over 15 datacenters.
In december 2018 was CenturyLink 50 uur op de Amerikaanse markt. Tijdens het incident waren er in twee staten problemen met de werking van geldautomaten en in vijf staten werkte het 911-nummer enkele uren niet. De loterij in Idaho was volledig verwoest. Het incident wordt momenteel onderzocht door de Amerikaanse Telecommunicatiecommissie.
De oorzaak van de tragedie was één netwerkkaart in één datacenter. De kaart werkte niet goed, stuurde onjuiste pakketten en alle vijftien datacenters van de provider vielen uit.
Het idee werkte niet voor deze provider "te groot om te vallen". Dit idee werkt helemaal niet. Je kunt elke grote speler nemen en daar een paar kleine dingen bovenop leggen. De VS doen het nog steeds goed op het gebied van connectiviteit. CenturyLink-klanten die een reserve hadden, gingen er massaal in. Vervolgens klaagden alternatieve operators over overbelasting van hun links.
Als de voorwaardelijke Kazakhtelecom valt, zal het hele land zonder internet zitten.
Bedrijven
Waarschijnlijk ondersteunen Google, Amazon, FaceBook en andere bedrijven het internet? Nee, zij breken het ook.
In 2017 in Sint-Petersburg op de ENOG13-conferentie Jeff Houston van APNIC ingediend . Er staat dat we eraan gewend zijn dat interacties, geldstromen en verkeer op internet verticaal zijn. We hebben kleine aanbieders die betalen voor connectiviteit met grotere, en zij betalen al voor connectiviteit met mondiale doorvoer.
Nu hebben we zo'n verticaal georiënteerde structuur. Alles zou in orde zijn, maar de wereld verandert: grote spelers bouwen hun transoceanische kabels om hun eigen backbones te bouwen.
Nieuws over CDN-kabel.
In 2018 bracht TeleGeography een onderzoek uit waaruit bleek dat meer dan de helft van het internetverkeer niet langer het internet is, maar de ruggengraat van het CDN van grote spelers. Dit is verkeer dat gerelateerd is aan internet, maar dit is niet langer het netwerk waar we het over hadden.
Het internet valt uiteen in een groot aantal losjes met elkaar verbonden netwerken.
Microsoft heeft zijn eigen netwerk, Google heeft zijn eigen netwerk, en ze overlappen elkaar weinig. Verkeer dat ergens in de VS vandaan komt, gaat via Microsoft-kanalen over de oceaan naar Europa, ergens op een CDN, en maakt vervolgens via CDN of IX verbinding met uw provider en komt bij uw router terecht.
Decentralisatie verdwijnt.
Deze kracht van het internet, die het zal helpen een nucleaire explosie te overleven, gaat verloren. Er verschijnen plaatsen van concentratie van gebruikers en verkeer. Als de voorwaardelijke Google Cloud valt, zullen er veel slachtoffers tegelijk zijn. We voelden dit gedeeltelijk toen Roskomnadzor AWS blokkeerde. En het voorbeeld van CenturyLink laat zien dat zelfs kleine dingen hiervoor voldoende zijn.
Vroeger ging niet alles en niet iedereen kapot. In de toekomst kunnen we tot de conclusie komen dat we, door één grote speler te beïnvloeden, veel dingen, veel plaatsen en veel mensen kapot kunnen maken.
Staten
Staten zijn de volgende in de rij, en dit is wat er meestal met hen gebeurt.
Hier is onze Roskomnadzor helemaal geen pionier. Een soortgelijke praktijk van het afsluiten van het internet bestaat in Iran, India en Pakistan. In Engeland ligt een wetsvoorstel over de mogelijkheid om het internet af te sluiten.
Elke grote staat wil een schakelaar krijgen om het internet geheel of gedeeltelijk uit te schakelen: Twitter, Telegram, Facebook. Het is niet zo dat ze niet begrijpen dat ze nooit zullen slagen, maar ze willen het echt. De schakelaar wordt in de regel voor politieke doeleinden gebruikt: om politieke concurrenten uit te schakelen, of er komen verkiezingen aan, of Russische hackers hebben weer iets kapot gemaakt.
DDoS-aanvallen
Ik zal geen brood afnemen van mijn kameraden van Qrator Labs, zij doen het veel beter dan ik. Zij hebben over internetstabiliteit. En dit is wat ze schreven in het rapport van 2018.
De gemiddelde duur van DDoS-aanvallen daalt naar 2.5 uur. De aanvallers beginnen ook het geld te tellen, en als de hulpbron niet onmiddellijk beschikbaar is, laten ze het snel met rust.
De intensiteit van de aanvallen neemt toe. In 2018 zagen we 1.7 Tb/s op het Akamai-netwerk, en dit is niet de limiet.
Er ontstaan nieuwe aanvalsvectoren en de oude worden steeds intensiever. Er ontstaan nieuwe protocollen die vatbaar zijn voor versterking, en er ontstaan nieuwe aanvallen op bestaande protocollen, vooral TLS en dergelijke.
Het meeste verkeer komt van mobiele apparaten. Tegelijkertijd verschuift het internetverkeer naar mobiele clients. Zowel degenen die aanvallen als degenen die verdedigen moeten hiermee aan de slag kunnen.
Onkwetsbaar - nee. Dit is het hoofdidee: er bestaat geen universele bescherming die zeker bescherming biedt tegen welke DDoS dan ook.
Het systeem kan alleen worden geïnstalleerd als het is verbonden met internet.
Ik hoop dat ik je genoeg bang heb gemaakt. Laten we nu nadenken over wat we eraan kunnen doen.
Wat moeten we doen?!
Als je vrije tijd, zin en kennis van het Engels hebt, neem dan deel aan werkgroepen: IETF, RIPE WG. Dit zijn open maillijsten, abonneer je op mailinglijsten, neem deel aan discussies, kom naar conferenties. Als u de LIR-status heeft, kunt u bijvoorbeeld in RIPE stemmen op verschillende initiatieven.
Voor gewone stervelingen is dit wel het geval controle. Om te weten wat er kapot is.
Monitoring: wat te controleren?
Normale ping, en niet alleen een binaire controle: het werkt of niet. Neem RTT op in de geschiedenis, zodat u later naar afwijkingen kunt kijken.
traceroute. Dit is een hulpprogramma voor het bepalen van dataroutes op TCP/IP-netwerken. Helpt afwijkingen en blokkades te identificeren.
HTTP-controles op aangepaste URL's en TLS-certificaten helpt bij het detecteren van blokkering of DNS-spoofing voor een aanval, wat vrijwel hetzelfde is. Blokkeren wordt vaak uitgevoerd door DNS-spoofing en door verkeer naar een stubpagina te leiden.
Controleer indien mogelijk de vastberadenheid van uw klanten over uw herkomst op verschillende plaatsen als u een aanvraag heeft. Dit zal u helpen afwijkingen in DNS-kapingen te detecteren, iets wat providers soms doen.
Monitoring: waar controleren?
Er is geen universeel antwoord. Controleer waar de gebruiker vandaan komt. Als gebruikers zich in Rusland bevinden, controleer dan vanuit Rusland, maar beperk uzelf hier niet toe. Als uw gebruikers in verschillende regio's wonen, controleer dan vanuit deze regio's. Maar beter van over de hele wereld.
Monitoring: wat te controleren?
Ik heb drie manieren bedacht. Als je meer weet, schrijf dan in de reacties.
- RIJPE Atlas.
- Commercieel toezicht.
- Uw eigen netwerk van virtuele machines.
Laten we over elk van hen praten.
RIJPE Atlas - het is zo'n klein doosje. Voor degenen die de binnenlandse "Inspector" kennen: dit is dezelfde doos, maar met een andere sticker.
RIPE Atlas is een gratis programma. U registreert zich, ontvangt een router per post en sluit deze aan op het netwerk. Voor het feit dat iemand anders jouw monster gebruikt, krijg je wat credits. Met deze leningen kun je zelf wat onderzoek doen. Testen kan op verschillende manieren: ping, traceroute, certificaten controleren. De dekking is vrij groot, er zijn veel knooppunten. Maar er zijn nuances.
Het kredietsysteem staat geen bouwproductieoplossingen toe. Er zullen niet genoeg kredieten zijn voor lopend onderzoek of commerciële monitoring. De studiepunten zijn voldoende voor een korte studie of eenmalige controle. De dagelijkse norm van één monster wordt verbruikt door 1-2 controles.
De dekking is ongelijk. Omdat het programma in beide richtingen gratis is, is de dekking goed in Europa, in het Europese deel van Rusland en in sommige regio's. Maar als je Indonesië of Nieuw-Zeeland nodig hebt, dan is alles veel erger: je hebt misschien niet 50 monsters per land.
Je kunt http niet controleren op basis van een voorbeeld. Dit komt door technische nuances. Ze beloven het in de nieuwe versie te repareren, maar voorlopig kan http niet worden gecontroleerd. Alleen het certificaat kan worden geverifieerd. Een soort http-controle kan alleen worden uitgevoerd op een speciaal RIPE Atlas-apparaat genaamd Anchor.
De tweede methode is commerciële monitoring. Alles gaat goed met hem, je betaalt geld, toch? Ze beloven je enkele tientallen of honderden monitoringpunten over de hele wereld en tekenen prachtige dashboards uit de doos. Maar nogmaals, er zijn problemen.
Het wordt betaald, op sommige plaatsen is het erg. Ping-monitoring, wereldwijde controles en veel http-controles kunnen enkele duizenden dollars per jaar kosten. Als de financiën het toelaten en deze oplossing je bevalt, ga je gang.
De dekking is mogelijk niet voldoende in het interessegebied. Met dezelfde ping wordt maximaal een abstract deel van de wereld gespecificeerd: Azië, Europa, Noord-Amerika. Zeldzame monitoringsystemen kunnen inzoomen op een specifiek land of een specifieke regio.
Zwakke ondersteuning voor aangepaste tests. Als je iets op maat nodig hebt, en niet alleen maar een “krullend” op de url, dan zijn daar ook problemen mee.
De derde manier is uw monitoring. Dit is een klassieker: “Laten we onze eigen schrijven!”
Uw monitoring verandert in de ontwikkeling van een softwareproduct, en een gedistribueerd product. U bent op zoek naar een infrastructuuraanbieder, kijk hoe u deze kunt inzetten en monitoren - monitoring moet worden gemonitord, toch? En er is ook ondersteuning nodig. Denk tien keer na voordat je hieraan begint. Het kan gemakkelijker zijn om iemand te betalen om het voor u te doen.
Monitoring van BGP-afwijkingen en DDoS-aanvallen
Hier is alles, op basis van de beschikbare bronnen, nog eenvoudiger. BGP-afwijkingen worden gedetecteerd met behulp van gespecialiseerde services zoals QRadar en BGPmon. Ze accepteren een volledige weergavetabel van meerdere operators. Op basis van wat ze van verschillende operators zien, kunnen ze afwijkingen detecteren, zoeken naar versterkers, enzovoort. Registratie is meestal gratis: u voert uw telefoonnummer in, abonneert u op e-mailmeldingen en de service waarschuwt u voor uw problemen.
Het monitoren van DDoS-aanvallen is ook eenvoudig. Typisch is dit NetFlow-gebaseerd en logs. Er zijn gespecialiseerde systemen zoals FastNetMon, modules voor Splunk. Als laatste redmiddel is er uw DDoS-beveiligingsaanbieder. Het kan ook NetFlow lekken en op basis daarvan zal het u op de hoogte stellen van aanvallen in uw richting.
Bevindingen
Maak je geen illusies: het internet zal zeker kapot gaan. Niet alles en niet iedereen gaat kapot, maar 14 duizend incidenten in 2017 duiden erop dat er incidenten zullen plaatsvinden.
Jouw taak is om problemen zo vroeg mogelijk op te merken. In ieder geval niet later dan uw gebruiker. Het is niet alleen belangrijk om op te merken, houd altijd een “Plan B” achter de hand. Een plan is een strategie voor wat u gaat doen als alles mislukt.: reserveoperatoren, DC, CDN. Een plan is een aparte checklist waaraan je de werking van alles aftoetst. Het plan zou moeten werken zonder de tussenkomst van netwerkingenieurs, omdat er meestal maar weinig zijn en ze willen slapen.
Dat is alles. Ik wens u een hoge beschikbaarheid en groene monitoring.
Volgende week worden in Novosibirsk zonneschijn, hoge belasting en een hoge concentratie ontwikkelaars verwacht . In Siberië wordt een front van rapporten over monitoring, toegankelijkheid en testen, beveiliging en beheer voorspeld. Er wordt neerslag verwacht in de vorm van krabbels, netwerken, foto's en berichten op sociale netwerken. Wij adviseren om alle activiteiten op 24 en 25 juni uit te stellen . We wachten op je in Siberië!
Bron: www.habr.com