Internet wydaje się być strukturą silną, niezależną i niezniszczalną. Teoretycznie sieć jest wystarczająco silna, aby przetrwać eksplozję nuklearną. W rzeczywistości Internet może porzucić jeden mały router. Wszystko dlatego, że Internet to kupa sprzeczności, luk, błędów i filmów o kotach. Trzon Internetu, BGP, jest pełen problemów. To niesamowite, że nadal oddycha. Oprócz błędów w samym Internecie, łamią go także wszyscy: duzi dostawcy Internetu, korporacje, państwa i ataki DDoS. Co z tym zrobić i jak z tym żyć?
Zna odpowiedź Aleksiej Uczakin () jest liderem zespołu inżynierów sieciowych w IQ Option. Jego głównym zadaniem jest dostępność platformy dla użytkowników. W transkrypcji raportu Aleksieja dot Porozmawiajmy o BGP, atakach DDOS, przełącznikach internetowych, błędach dostawców, decentralizacji i przypadkach, gdy mały router uśpił Internet. Na koniec – kilka wskazówek, jak to wszystko przetrwać.
Dzień, w którym zepsuł się Internet
Przytoczę tylko kilka incydentów, w których zepsuła się łączność z Internetem. To wystarczy, aby uzyskać pełny obraz.
„Incydent AS7007”. Pierwsza awaria Internetu miała miejsce w kwietniu 1997 r. W oprogramowaniu jednego routera z systemu autonomicznego 7007 pojawił się błąd. W pewnym momencie router ogłosił sąsiadom swoją wewnętrzną tablicę routingu i wysłał połowę sieci do czarnej dziury.
„Pakistan przeciwko YouTube”. W 2008 roku odważni goście z Pakistanu postanowili zablokować YouTube. Zrobili to tak dobrze, że połowa świata została bez kotów.
„Przechwytywanie prefiksów VISA, MasterCard i Symantec przez Rostelecom”. W 2017 roku Rostelecom omyłkowo zaczął ogłaszać prefiksy VISA, MasterCard i Symantec. W rezultacie ruch finansowy był kierowany kanałami kontrolowanymi przez dostawcę. Wyciek nie trwał długo, ale był nieprzyjemny dla firm finansowych.
Google kontra Japonia. W sierpniu 2017 r. Google zaczął ogłaszać przedrostki głównych japońskich dostawców NTT i KDDI w niektórych swoich łączach nadrzędnych. Ruch został przesłany do Google jako tranzyt, najprawdopodobniej przez pomyłkę. Ponieważ Google nie jest dostawcą i nie zezwala na ruch tranzytowy, znaczna część Japonii została pozbawiona Internetu.
„DV LINK przechwycił przedrostki Google, Apple, Facebook, Microsoft”. Również w 2017 roku rosyjski dostawca DV LINK z jakiegoś powodu zaczął ogłaszać sieci Google, Apple, Facebook, Microsoft i kilku innych głównych graczy.
„eNet z USA przechwycił prefiksy AWS Route53 i MyEtherwallet”. W 2018 roku dostawca z Ohio lub jeden z jego klientów ogłosił utworzenie sieci portfeli kryptowalutowych Amazon Route53 i MyEtherwallet. Atak zakończył się sukcesem: nawet pomimo certyfikatu z podpisem własnym, o którym ostrzegał użytkownik wchodząc na stronę MyEtherwallet, doszło do przejęcia wielu portfeli i skradzienia części kryptowaluty.
Tylko w 2017 roku takich zdarzeń było ponad 14 000! Sieć jest nadal zdecentralizowana, więc nie wszystko i nie wszyscy się psują. Ale zdarzają się tysiące incydentów, wszystkie związane z protokołem BGP obsługującym Internet.
BGP i jego problemy
Protokół BGP – protokół bramy granicznej, został po raz pierwszy opisany w 1989 roku przez dwóch inżynierów z IBM i Cisco Systems na trzech „serwetkach” - kartkach A4. Te nadal siedzi w siedzibie Cisco Systems w San Francisco jako relikt świata sieci.
Protokół opiera się na interakcji systemów autonomicznych - Systemy Autonomiczne lub w skrócie AS. System autonomiczny to po prostu identyfikator, do którego przypisane są sieci IP w rejestrze publicznym. Router o tym identyfikatorze może ogłosić te sieci światu. W związku z tym dowolną trasę w Internecie można przedstawić jako wektor, który nazywa się Ścieżka AS. Wektor składa się z liczby systemów autonomicznych, które należy pokonać, aby dotrzeć do sieci docelowej.
Na przykład istnieje sieć wielu systemów autonomicznych. Należy przedostać się z systemu AS65001 do systemu AS65003. Ścieżkę z jednego systemu reprezentuje na diagramie ścieżka AS. Składa się z dwóch systemów autonomicznych: 65002 i 65003. Dla każdego adresu docelowego istnieje wektor ścieżki AS, który składa się z liczby systemów autonomicznych, przez które musimy przejść.
Jakie są więc problemy z protokołem BGP?
BGP jest protokołem zaufania
Protokół BGP opiera się na zaufaniu. Oznacza to, że domyślnie ufamy naszemu sąsiadowi. Jest to cecha wielu protokołów opracowanych u zarania istnienia Internetu. Zastanówmy się, co oznacza „zaufanie”.
Brak uwierzytelniania sąsiada. Formalnie jest MD5, ale MD5 w 2019 to właśnie to...
Bez filtrowania. BGP ma filtry i są one opisane, ale nie są używane lub są używane nieprawidłowo. Wyjaśnię później dlaczego.
Bardzo łatwo jest założyć sąsiedztwo. Konfiguracja sąsiedztwa w protokole BGP na prawie każdym routerze to kilka linijek konfiguracji.
Nie są wymagane żadne uprawnienia do zarządzania BGP. Nie musisz zdawać egzaminów, aby potwierdzić swoje kwalifikacje. Nikt nie odbierze Ci praw za konfigurowanie BGP po pijanemu.
Dwa główne problemy
Przejmowanie prefiksów. Przejmowanie prefiksów polega na reklamowaniu sieci, która nie należy do Ciebie, jak ma to miejsce w przypadku MyEtherwallet. Wzięliśmy kilka prefiksów, zgodziliśmy się z dostawcą lub zhakowaliśmy go i za jego pośrednictwem ogłaszamy te sieci.
Wycieki na trasie. Wycieki są trochę bardziej skomplikowane. Wyciek oznacza zmianę ścieżki AS. W najlepszym przypadku zmiana będzie skutkowała większym opóźnieniem, gdyż trzeba będzie przejechać dłuższą trasę lub mniej pojemnym łączem. W najgorszym przypadku sytuacja z Google i Japonią się powtórzy.
Samo Google nie jest operatorem ani autonomicznym systemem tranzytowym. Kiedy jednak ogłosił swojemu dostawcy sieci japońskich operatorów, ruch w Google za pośrednictwem AS Path uznano za wyższy priorytet. Ruch tam poszedł i spadł po prostu dlatego, że ustawienia routingu w Google są bardziej złożone niż tylko filtry na granicy.
Dlaczego filtry nie działają?
Nikogo to nie obchodzi. To jest główny powód – nikogo to nie obchodzi. Administrator małego dostawcy lub firmy, która połączyła się z dostawcą przez BGP, wziął MikroTika, skonfigurował na nim BGP i nawet nie wie, że można tam konfigurować filtry.
Błędy konfiguracji. Coś pomieszali, pomylili się w masce, założyli złą siatkę - i teraz znów jest błąd.
Brak możliwości technicznych. Na przykład dostawcy usług telekomunikacyjnych mają wielu klientów. Mądrze jest automatycznie aktualizować filtry dla każdego klienta, aby monitorować, czy ma on nową sieć i czy komuś ją wynajął. Trudno za tym podążać, a jeszcze trudniej z rękami. Dlatego po prostu instalują zrelaksowane filtry lub w ogóle ich nie instalują.
Wyjątki. Są wyjątki dla ukochanych i dużych klientów. Szczególnie w przypadku interfejsów międzyoperatorskich. Na przykład TransTeleCom i Rostelecom mają wiele sieci i istnieje między nimi interfejs. Jeśli złącze opadnie, nikomu nie będzie to dobre, dlatego filtry należy poluzować lub całkowicie usunąć.
Nieaktualne lub nieistotne informacje w IRR. Filtry są budowane na podstawie informacji zapisanych w IRR - Rejestr routingu internetowego. Są to rejestry regionalnych rejestratorów internetowych. Często rejestry zawierają nieaktualne lub nieistotne informacje lub jedno i drugie.
Kim są ci rejestratorzy?
Wszystkie adresy internetowe należą do organizacji IANA – Urząd ds. Numerów Przydzielonych w Internecie. Kupując od kogoś sieć IP, nie kupujesz adresów, ale prawo do ich używania. Adresy są zasobem niematerialnym i na mocy wspólnego porozumienia są własnością IANA.
System działa w ten sposób. IANA deleguje zarządzanie adresami IP i numerami systemów autonomicznych do pięciu regionalnych rejestratorów. Wydają systemy autonomiczne LIR - lokalni rejestratorzy internetowi. Następnie LIR przydzielają adresy IP użytkownikom końcowym.
Wadą systemu jest to, że każdy z rejestratorów regionalnych prowadzi swoje rejestry na swój własny sposób. Każdy ma swoje zdanie na temat tego, jakie informacje powinny znajdować się w rejestrach i kto powinien je sprawdzać, a kto nie. Rezultatem jest bałagan, jaki mamy teraz.
Jak jeszcze możesz walczyć z tymi problemami?
IRR - przeciętna jakość. Z IRR jest jasne - tam wszystko jest źle.
Społeczności BGP. Jest to jakiś atrybut opisany w protokole. Do naszego ogłoszenia możemy dołączyć np. specjalną społeczność, aby sąsiad nie wysyłał naszych sieci do swoich sąsiadów. Kiedy mamy łącze P2P, wymieniamy tylko nasze sieci. Aby zapobiec przypadkowemu przejściu trasy do innych sieci, dodajemy społeczność.
Społeczności nie są przechodnie. Zawsze jest to kontrakt dla dwojga i to jest ich wada. Nie możemy przypisać żadnej społeczności, z wyjątkiem jednej, która jest domyślnie akceptowana przez wszystkich. Nie możemy być pewni, że wszyscy zaakceptują tę wspólnotę i poprawnie ją zinterpretują. Dlatego w najlepszym przypadku, jeśli zgodzisz się ze swoim łączem, zrozumie, czego od niego oczekujesz w zakresie społeczności. Ale twój sąsiad może nie zrozumieć, albo operator po prostu zresetuje Twój tag i nie osiągniesz tego, czego chciałeś.
RPKI + ROA rozwiązuje tylko niewielką część problemów. RPKI jest Infrastruktura klucza publicznego zasobów — specjalne ramy do podpisywania informacji o routingu. Dobrym pomysłem jest zmuszenie firm LIR i ich klientów do utrzymywania aktualnej bazy danych przestrzeni adresowych. Ale jest z tym jeden problem.
RPKI jest także hierarchicznym systemem kluczy publicznych. IANA ma klucz, z którego generowane są klucze RIR i z którego generowane są klucze LIR? którymi podpisują swoją przestrzeń adresową za pomocą ROA – Route Origin Authorizations:
— Zapewniam, że prefiks ten zostanie ogłoszony w imieniu tego regionu autonomicznego.
Oprócz ROA są jeszcze inne obiekty, ale o nich później. Wydaje się, że to dobra i przydatna rzecz. Nie chroni nas to jednak przed wyciekami słowa „w ogóle” i nie rozwiązuje wszystkich problemów związanych z przejmowaniem prefiksów. Dlatego gracze nie spieszą się z jego wdrożeniem. Chociaż istnieją już zapewnienia dużych graczy, takich jak AT&T i duże firmy IX, że prefiksy z nieprawidłowym rekordem ROA zostaną usunięte.
Być może to zrobią, ale na razie mamy ogromną liczbę przedrostków, które nie są w żaden sposób podpisane. Z jednej strony nie jest jasne, czy są one prawomocnie ogłoszone. Z drugiej strony nie możemy ich domyślnie usunąć, ponieważ nie jesteśmy pewni, czy jest to poprawne, czy nie.
Co jeszcze tu jest?
BBGPSec. To fajna rzecz, którą naukowcy wymyślili dla sieci różowych kucyków. Oni powiedzieli:
- Posiadamy RPKI + ROA - mechanizm weryfikacji podpisów przestrzeni adresowej. Utwórzmy osobny atrybut BGP i nazwijmy go ścieżką BGPSec. Każdy router będzie podpisywał własnym podpisem ogłoszenia ogłaszane swoim sąsiadom. W ten sposób uzyskamy zaufaną ścieżkę z łańcucha podpisanych ogłoszeń i będziemy mogli ją sprawdzić.
W teorii dobrze, ale w praktyce jest wiele problemów. BGPSec łamie wiele istniejących mechanizmów BGP w zakresie wybierania następnych przeskoków i zarządzania ruchem przychodzącym/wychodzącym bezpośrednio na routerze. BGPSec nie będzie działać, dopóki nie wdroży go 95% całego rynku, co samo w sobie jest utopią.
BGPSec ma ogromne problemy z wydajnością. Na obecnym sprzęcie prędkość sprawdzania ogłoszeń wynosi około 50 prefiksów na sekundę. Dla porównania: aktualna tabela internetowa zawierająca 700 000 prefiksów zostanie załadowana w ciągu 5 godzin, podczas których zmieni się ona jeszcze 10 razy.
Polityka otwarta BGP (BGP oparty na rolach). Świeża propozycja oparta na modelu Gao-Rexforda. To dwaj naukowcy badający BGP.
Model Gao-Rexforda jest następujący. Dla uproszczenia, w BGP istnieje niewielka liczba rodzajów interakcji:
- Dostawca Klient;
- P2P;
- komunikacja wewnętrzna, powiedzmy iBGP.
W zależności od roli routera możliwe jest już domyślne przypisanie określonych zasad importu/eksportu. Administrator nie musi konfigurować list prefiksów. W zależności od roli, jaką routery ustalają między sobą i którą można ustawić, otrzymujemy już kilka domyślnych filtrów. Jest to obecnie projekt będący przedmiotem dyskusji w IETF. Mam nadzieję, że wkrótce zobaczymy to w formie RFC i implementacji na sprzęcie.
Duzi dostawcy Internetu
Spójrzmy na przykład dostawcy CenturyLink. Jest trzecim co do wielkości dostawcą w USA, obsługującym 37 stanów i posiadającym 15 centrów danych.
W grudniu 2018 CenturyLink był obecny na rynku amerykańskim przez 50 godzin. W trakcie zdarzenia wystąpiły problemy z pracą bankomatów w dwóch stanach, a w pięciu stanach przez kilka godzin nie działał numer 911. Loteria w Idaho została całkowicie zniszczona. Incydent jest obecnie badany przez amerykańską Komisję Telekomunikacji.
Przyczyną tragedii była jedna karta sieciowa w jednym centrum danych. Karta działała nieprawidłowo, wysyłała nieprawidłowe pakiety, a wszystkie 15 centrów danych dostawcy przestało działać.
Pomysł nie sprawdził się w przypadku tego dostawcy „zbyt duży, aby upaść”. Ten pomysł w ogóle nie działa. Możesz wziąć dowolnego głównego gracza i dodać kilka małych rzeczy na wierzch. Stany Zjednoczone nadal radzą sobie dobrze z łącznością. Klienci CenturyLink, którzy mieli rezerwę, masowo po nią sięgali. Wtedy operatorzy alternatywni skarżyli się, że ich łącza są przeciążone.
Jeśli warunkowy Kazakhtelecom upadnie, cały kraj pozostanie bez Internetu.
Korporacje
Pewnie Google, Amazon, FaceBook i inne korporacje wspierają Internet? Nie, oni też to łamią.
W 2017 roku w Petersburgu na konferencji ENOG13 Jeffa Houstona z APNIC wprowadzono . Mówi, że jesteśmy przyzwyczajeni do tego, że interakcje, przepływy pieniężne i ruch w Internecie są pionowe. Mamy małych dostawców, którzy płacą za łączność większym i już płacą za łączność z globalnym transportem.
Teraz mamy taką pionowo zorientowaną strukturę. Wszystko byłoby dobrze, ale świat się zmienia – główni gracze budują swoje kable transoceaniczne, aby zbudować własny szkielet.
Nowości na temat kabla CDN.
W 2018 roku TeleGeography opublikowało badanie, z którego wynika, że ponad połowa ruchu w Internecie to już nie Internet, ale szkielet CDN dużych graczy. Jest to ruch związany z Internetem, ale nie jest to już sieć, o której mówiliśmy.
Internet rozpada się na duży zbiór luźno połączonych sieci.
Microsoft ma własną sieć, Google ma własną i w niewielkim stopniu pokrywają się one ze sobą. Ruch pochodzący gdzieś z USA przechodzi kanałami Microsoft przez ocean do Europy gdzieś w CDN, następnie przez CDN lub IX łączy się z Twoim dostawcą i dociera do Twojego routera.
Decentralizacja zanika.
Traci się tę siłę Internetu, która pomoże mu przetrwać eksplozję nuklearną. Pojawiają się miejsca koncentracji użytkowników i ruchu. Jeśli warunkowe Google Cloud upadnie, ofiar będzie wiele na raz. Częściowo odczuliśmy to, gdy Roskomnadzor zablokował AWS. A przykład CenturyLink pokazuje, że wystarczą do tego nawet małe rzeczy.
Wcześniej nie wszystko i nie wszyscy psuli się. W przyszłości możemy dojść do wniosku, że wpływając na jednego dużego gracza, możemy zepsuć wiele rzeczy, wiele miejsc i wiele osób.
Stany
Następne w kolejce są państwa i zwykle im się to zdarza.
Tutaj nasz Roskomnadzor wcale nie jest nawet pionierem. Podobna praktyka wyłączania Internetu istnieje w Iranie, Indiach i Pakistanie. W Anglii obowiązuje projekt ustawy o możliwości wyłączenia Internetu.
Każde duże państwo chce mieć możliwość całkowitego lub częściowego wyłączenia Internetu: Twitter, Telegram, Facebook. To nie tak, że nie rozumieją, że nigdy im się nie uda, ale naprawdę tego chcą. Przełącznik jest z reguły wykorzystywany do celów politycznych - do wyeliminowania konkurentów politycznych, zbliżają się wybory lub rosyjscy hakerzy znów coś zepsuli.
Ataki DDoS
Nie będę odbierał chleba moim towarzyszom z Qrator Labs, robią to znacznie lepiej ode mnie. Oni mają na stabilność Internetu. I tak napisali w raporcie za 2018 rok.
Średni czas trwania ataków DDoS spada do 2.5 godziny. Napastnicy również zaczynają liczyć pieniądze, a jeśli zasób nie jest od razu dostępny, szybko go zostawiają.
Intensywność ataków rośnie. W 2018 roku zaobserwowaliśmy 1.7 Tb/s w sieci Akamai, a to nie jest limit.
Pojawiają się nowe wektory ataków, a stare się nasilają. Pojawiają się nowe protokoły podatne na amplifikację, a także pojawiają się nowe ataki na istniejące protokoły, zwłaszcza TLS i tym podobne.
Większość ruchu pochodzi z urządzeń mobilnych. Jednocześnie ruch internetowy przenosi się do klientów mobilnych. Zarówno ci, którzy atakują, jak i ci, którzy się bronią, muszą umieć nad tym pracować.
Niezniszczalny – nie. To jest główna idea – nie ma uniwersalnej ochrony, która zdecydowanie zabezpieczy przed jakimkolwiek DDoS.
Systemu nie można zainstalować, jeśli nie jest on podłączony do Internetu.
Mam nadzieję, że wystarczająco cię przestraszyłem. Zastanówmy się teraz, co z tym zrobić.
Co robić?!
Jeśli masz wolny czas, chęć i znajomość języka angielskiego, weź udział w grupach roboczych: IETF, RIPE WG. Są to otwarte listy mailingowe, subskrybuj listy mailingowe, bierz udział w dyskusjach, przychodź na konferencje. Jeśli posiadasz status LIR, możesz głosować np. w RIPE na różne inicjatywy.
Dla zwykłych śmiertelników tak jest monitoring. Aby wiedzieć, co jest zepsute.
Monitoring: co sprawdzać?
Normalny ping, a nie tylko sprawdzenie binarne - działa lub nie. Zapisz RTT w historii, aby móc później sprawdzić anomalie.
Traceroute. Jest to program narzędziowy służący do określania tras danych w sieciach TCP/IP. Pomaga zidentyfikować anomalie i blokady.
HTTP sprawdza niestandardowe adresy URL i certyfikaty TLS pomoże wykryć blokowanie lub fałszowanie DNS w celu ataku, co jest praktycznie tym samym. Blokowanie często odbywa się poprzez fałszowanie DNS i przekierowywanie ruchu na stronę pośredniczącą.
Jeśli to możliwe, sprawdź, czy Twoi klienci pochodzą z różnych miejsc, jeśli masz aplikację. Pomoże to wykryć anomalie związane z przejmowaniem DNS, co czasami robią dostawcy.
Monitoring: gdzie sprawdzić?
Nie ma uniwersalnej odpowiedzi. Sprawdź skąd pochodzi użytkownik. Jeśli użytkownicy są w Rosji, sprawdź w Rosji, ale nie ograniczaj się do tego. Jeśli Twoi użytkownicy mieszkają w różnych regionach, sprawdź w tych regionach. Ale lepsze z całego świata.
Monitoring: co sprawdzać?
Wymyśliłem trzy sposoby. Jeśli wiesz więcej napisz w komentarzach.
- DOJRZŁY Atlas.
- Monitoring komercyjny.
- Własna sieć maszyn wirtualnych.
Porozmawiajmy o każdym z nich.
DOJRZŁY Atlas - to takie małe pudełko. Dla tych, którzy znają krajowego „Inspektora” – to to samo pudełko, ale z inną naklejką.
RIPE Atlas jest programem darmowym. Rejestrujesz się, odbierasz router pocztą i podłączasz go do sieci. Za to, że ktoś inny skorzysta z Twojej próbki, otrzymujesz punkty. Dzięki tym pożyczkom możesz samodzielnie przeprowadzić badania. Możesz testować na różne sposoby: ping, traceroute, sprawdź certyfikaty. Zasięg jest dość duży, jest wiele węzłów. Ale są niuanse.
System kredytowy nie pozwala na budowanie rozwiązań produkcyjnych. Nie będzie wystarczającej liczby środków na bieżące badania lub monitorowanie komercyjne. Punkty wystarczą na krótką naukę lub jednorazową kontrolę. Dzienna norma z jednej próbki jest zużywana przez 1-2 kontrole.
Pokrycie jest nierówne. Ponieważ program jest bezpłatny w obu kierunkach, zasięg jest dobry w Europie, europejskiej części Rosji i niektórych regionach. Ale jeśli potrzebujesz Indonezji lub Nowej Zelandii, wszystko jest znacznie gorsze - możesz nie mieć 50 próbek na kraj.
Nie możesz sprawdzić http na podstawie próbki. Wynika to z niuansów technicznych. Obiecują, że naprawią to w nowej wersji, ale na razie nie można sprawdzić http. Tylko certyfikat może zostać zweryfikowany. Pewien rodzaj kontroli http można przeprowadzić tylko na specjalnym urządzeniu RIPE Atlas o nazwie Anchor.
Drugą metodą jest monitoring komercyjny. Z nim wszystko w porządku, płacisz pieniądze, prawda? Obiecują kilkadziesiąt lub setki punktów monitorowania na całym świecie i rysują piękne dashboardy od razu po wyjęciu z pudełka. Ale znowu są problemy.
Jest płatne, w niektórych miejscach bardzo. Monitorowanie pingów, kontrole na całym świecie i mnóstwo kontroli http mogą kosztować kilka tysięcy dolarów rocznie. Jeśli finanse na to pozwalają i podoba Ci się to rozwiązanie, śmiało.
Zasięg może nie być wystarczający w danym regionie. Przy tym samym pingu określa się maksymalnie abstrakcyjną część świata - Azję, Europę, Amerykę Północną. Rzadkie systemy monitorowania mogą sięgać do konkretnego kraju lub regionu.
Słaba obsługa testów niestandardowych. Jeśli potrzebujesz czegoś niestandardowego, a nie tylko „kręconego” adresu URL, to też są z tym problemy.
Trzeci sposób to monitorowanie. To klasyk: „Napiszmy własne!”
Twoje monitorowanie zamienia się w rozwój oprogramowania i to rozproszonego. Szukasz dostawcy infrastruktury, zastanów się, jak ją wdrożyć i monitorować – monitoring wymaga monitorowania, prawda? A wsparcie też jest potrzebne. Pomyśl dziesięć razy, zanim się tym zajmiesz. Być może łatwiej będzie zapłacić komuś, kto zrobi to za Ciebie.
Monitorowanie anomalii BGP i ataków DDoS
Tutaj, w oparciu o dostępne zasoby, wszystko jest jeszcze prostsze. Anomalie BGP wykrywane są za pomocą specjalistycznych usług takich jak QRadar, BGPmon. Akceptują tabelę pełnego widoku od wielu operatorów. Na podstawie tego, co widzą u różnych operatorów, mogą wykrywać anomalie, szukać wzmacniaczy i tak dalej. Rejestracja jest zazwyczaj bezpłatna – podajesz swój numer telefonu, subskrybujesz powiadomienia e-mail, a usługa będzie Cię informować o Twoich problemach.
Monitorowanie ataków DDoS jest również proste. Zazwyczaj tak jest Oparte na NetFlow i dziennikach. Istnieją wyspecjalizowane systemy, takie jak FastNet pon, moduły do Splunk. W ostateczności możesz skorzystać z usług dostawcy ochrony DDoS. Może również wyciekać NetFlow i na tej podstawie powiadamiać Cię o atakach w Twoim kierunku.
odkrycia
Nie miej złudzeń – Internet na pewno się załamie. Nie wszystko i nie wszyscy się zepsują, ale 14 tysięcy incydentów w 2017 roku wskazuje, że incydenty będą miały miejsce.
Twoim zadaniem jest jak najwcześniejsze zauważenie problemów. Przynajmniej nie później niż Twój użytkownik. Nie tylko ważne jest, aby o tym pamiętać, ale zawsze trzymaj „Plan B” w rezerwie. Plan to strategia dotycząca tego, co zrobisz, gdy wszystko się zawali.: operatorzy rezerw, DC, CDN. Plan to osobna lista kontrolna, według której sprawdzasz działanie wszystkiego. Plan powinien zadziałać bez udziału inżynierów sieciowych, bo zazwyczaj jest ich niewielu, a im się chce spać.
To wszystko. Życzę dużej dostępności i zielonego monitoringu.
W przyszłym tygodniu w Nowosybirsku spodziewane jest słońce, duże obciążenie i duża koncentracja deweloperów . Na Syberii przewiduje się pierwszą część raportów na temat monitorowania, dostępności i testowania, bezpieczeństwa i zarządzania. Oczekuje się opadów w postaci nabazgranych notatek, kontaktów, zdjęć i postów w sieciach społecznościowych. Zalecamy przełożenie wszelkich zajęć w dniach 24 i 25 czerwca oraz . Czekamy na Ciebie na Syberii!
Źródło: www.habr.com