انٽرنيٽ هڪ مضبوط، آزاد ۽ غير تباهي واري جوڙجڪ لڳي ٿي. نظريي ۾، نيٽ ورڪ ايٽمي ڌماڪي کان بچڻ لاء ڪافي مضبوط آهي. حقيقت ۾، انٽرنيٽ هڪ ننڍڙو روٽر ڇڏي سگهي ٿو. سڀ ڇاڪاڻ ته انٽرنيٽ تضادن، ڪمزورين، غلطين ۽ ٻلين بابت وڊيوز جو ڍير آهي. انٽرنيٽ جي پٺڀرائي، BGP، مسئلن سان ڀريل آهي. اها حيرت انگيز آهي ته هو اڃا تائين سانس ڪري رهيو آهي. خود انٽرنيٽ ۾ غلطين کان علاوه، اهو پڻ ٽوڙيو ويو آهي سڀني ۽ مختلف قسم جي: وڏي انٽرنيٽ فراهم ڪندڙ، ڪارپوريشن، رياستون ۽ DDoS حملا. ان بابت ڇا ڪجي ۽ ان سان ڪيئن رهجي؟
جواب ڄاڻي ٿو Alexey Uchakin () IQ آپشن تي نيٽ ورڪ انجنيئرز جي ٽيم جو اڳواڻ آهي. ان جو بنيادي ڪم صارفين لاء پليٽ فارم جي رسائي آهي. Alexey جي رپورٽ جي نقل ۾ اچو ته BGP بابت ڳالهايون، DDOS حملن، انٽرنيٽ سوئچز، فراهم ڪندڙ جي غلطيون، decentralization ۽ ڪيس جڏهن هڪ ننڍڙو روٽر انٽرنيٽ کي ننڊ ۾ موڪليو. آخر ۾ - هن سڀني کي ڪيئن رهڻو آهي تي ڪجهه ٽوٽڪا.
جنهن ڏينهن انٽرنيٽ ٽوڙيو
مان صرف چند واقعن جو حوالو ڏيندس جتي انٽرنيٽ جو ڪنيڪشن ٽٽي ويو. هي مڪمل تصوير لاء ڪافي ٿيندو.
"AS7007 واقعو". پهريون ڀيرو انٽرنيٽ ٽوڙيو هو اپريل 1997 ۾. خود مختيار سسٽم 7007 مان هڪ روٽر جي سافٽ ويئر ۾ هڪ بگ هو. ڪجهه نقطي تي، روٽر پنهنجي اندروني روٽنگ ٽيبل کي پنهنجي پاڙيسرين ڏانهن اعلان ڪيو ۽ نيٽ ورڪ جو اڌ هڪ بليڪ هول ۾ موڪليو.
يوٽيوب خلاف پاڪستان. 2008 ۾، پاڪستان جي بهادر ماڻهن يوٽيوب کي بلاڪ ڪرڻ جو فيصلو ڪيو. هنن اهو ڪم ايترو سٺو ڪيو جو اڌ دنيا ٻلين کان سواءِ رهجي وئي.
Rostelecom پاران ويزا، ماسٽر ڪارڊ ۽ سيمينٽڪ اڳڪٿين جو قبضو. 2017 ۾، Rostelecom غلط طور تي ويزا، ماسٽر ڪارڊ ۽ سيمينٽڪ پريفڪسز جو اعلان ڪرڻ شروع ڪيو. نتيجي طور، مالي ٽرئفڪ فراهم ڪندڙ پاران ڪنٽرول ڪيل چينلز ذريعي رويو ويو. ليڪ ڊگهي نه رهي، پر اهو مالي ڪمپنين لاء ناپسنديده هو.
گوگل بمقابلہ جاپان. آگسٽ 2017 ۾، گوگل ان جي ڪجهه اپ لنڪس ۾ وڏن جاپاني مهيا ڪندڙن NTT ۽ KDDI جي اڳڪٿين جو اعلان ڪرڻ شروع ڪيو. ٽريفڪ گوگل کي ٽرانزٽ طور موڪليو ويو، گهڻو ڪري غلطي سان. جيئن ته گوگل مهيا ڪندڙ نه آهي ۽ ٽرانسپورٽ ٽرئفڪ جي اجازت نٿو ڏئي، جاپان جو هڪ اهم حصو انٽرنيٽ کان سواء ڇڏي ويو.
"DV LINK گوگل، ايپل، فيسبوڪ، مائڪروسافٽ جي اڳڀرائي تي قبضو ڪيو". پڻ 2017 ۾، روسي فراهم ڪندڙ DV LINK ڪجهه سببن لاء گوگل، ايپل، فيسڪشن، مائڪروسافٽ ۽ ڪجهه ٻين وڏن رانديگرن جي نيٽ ورڪ جو اعلان ڪرڻ شروع ڪيو.
"آمريڪا کان eNet AWS Route53 ۽ MyEtherwallet پريفڪس تي قبضو ڪيو آهي". 2018 ۾، اوهائيو فراهم ڪندڙ يا ان جي گراهڪن مان هڪ اعلان ڪيو Amazon Route53 ۽ MyEtherwallet crypto wallet نيٽ ورڪ. حملو ڪامياب ٿي ويو: جيتوڻيڪ خود دستخط ٿيل سرٽيفڪيٽ جي باوجود، هڪ ڊيڄاريندڙ جنهن بابت صارف کي ظاهر ٿيو جڏهن MyEtherwallet ويب سائيٽ ۾ داخل ٿيو، ڪيترن ئي پرس کي اغوا ڪيو ويو ۽ cryptocurrency جو حصو چوري ڪيو ويو.
صرف 2017 ۾ 14 کان وڌيڪ اهڙا واقعا ٿيا! نيٽ ورڪ اڃا تائين غير معياري آهي، تنهنڪري هر شيء نه ۽ هرڪو ٽوڙيو ناهي. پر اهڙا هزارين واقعا آهن، سڀئي BGP پروٽوڪول سان لاڳاپيل آهن جيڪي انٽرنيٽ کي طاقت ڏين ٿا.
BGP ۽ ان جا مسئلا
پروٽوڪول BGP - بارڊر گيٽ وي پروٽوڪول، پهريون ڀيرو 1989 ۾ IBM ۽ Cisco Systems جي ٻن انجنيئرن پاران ٽن ”نيپکن“ - A4 شيٽس تي بيان ڪيو ويو. هنن اڃا تائين سان فرانسسڪو ۾ سسڪو سسٽم جي هيڊ ڪوارٽر ۾ نيٽ ورڪنگ دنيا جي هڪ رشتي جي طور تي ويٺي آهي.
پروٽوڪول خودمختيار نظام جي رابطي تي ٻڌل آهي - خودمختيار نظام يا AS مختصر لاء. هڪ خودمختيار نظام صرف هڪ ID آهي جنهن کي IP نيٽ ورڪ عوامي رجسٽري ۾ لڳايو ويو آهي. هن ID سان هڪ روٽر دنيا کي انهن نيٽ ورڪن جو اعلان ڪري سگهي ٿو. ان جي مطابق، انٽرنيٽ تي ڪنهن به رستي کي ویکٹر طور پيش ڪري سگهجي ٿو، جنهن کي سڏيو ويندو آهي AS رستو. ویکٹر خودمختيار نظامن جي تعداد تي مشتمل آھي جن کي منزل جي نيٽ ورڪ تائين پھچڻ لاءِ ھلڻو پوندو.
مثال طور، اتي ڪيترن ئي خودمختيار نظام جو هڪ نيٽ ورڪ آهي. توھان کي حاصل ڪرڻ جي ضرورت آھي AS65001 سسٽم کان AS65003 سسٽم تائين. ھڪڙي سسٽم مان رستو ڏيکاريو ويو آھي AS Path جي شڪل ۾. اهو ٻن خودمختيار نظامن تي مشتمل آهي: 65002 ۽ 65003. هر منزل جي ايڊريس لاءِ هڪ AS پاٿ ویکٹر هوندو آهي، جيڪو انهن خودمختيار نظامن جي تعداد تي مشتمل هوندو آهي، جن مان اسان کي وڃڻو پوندو.
پوءِ بي جي پي سان ڪهڙا مسئلا آهن؟
BGP هڪ اعتماد پروٽوڪول آهي
BGP پروٽوڪول اعتماد تي ٻڌل آهي. ان جو مطلب اهو آهي ته اسان پنهنجي پاڙيسري تي ڊفالٽ طور تي اعتماد ڪندا آهيون. هي ڪيترن ئي پروٽوڪول جي هڪ خاصيت آهي جيڪا انٽرنيٽ جي شروعات ۾ ترقي ڪئي وئي هئي. اچو ته سمجهون ته ”اعتماد“ جو مطلب ڇا آهي.
ڪوبه پاڙيسري جي تصديق ناهي. رسمي طور تي، اتي MD5 آهي، پر MD5 ۾ 2019 صرف اهو آهي ...
فلٽرنگ ناهي. BGP فلٽر آهن ۽ اهي بيان ڪيا ويا آهن، پر اهي استعمال نه ڪيا ويا آهن يا غلط استعمال ڪيا ويا آهن. مان بعد ۾ وضاحت ڪندس ڇو.
اهو هڪ پاڙيسري قائم ڪرڻ تمام آسان آهي. تقريبن ڪنهن به روٽر تي BGP پروٽوڪول ۾ پاڙيسري کي ترتيب ڏيڻ جي ترتيب جون ٻه لائينون آهن.
ڪابه BGP انتظامي حقن جي ضرورت ناهي. توهان کي پنهنجي قابليت ثابت ڪرڻ لاءِ امتحان وٺڻ جي ضرورت ناهي. بي جي پي کي ترتيب ڏيڻ لاءِ توهان جا حق ڪير به نه کڻندو جڏهن شراب پيئندو.
ٻه اهم مسئلا
اڳواٽ حجاج. Prefix hijacking هڪ نيٽ ورڪ جو اشتهار ڏئي رهيو آهي جيڪو توهان سان واسطو نٿو رکي، جيئن MyEtherwallet جو معاملو آهي. اسان ڪجھ اڳڀرائي ورتي، فراهم ڪندڙ سان اتفاق ڪيو يا ان کي هيڪ ڪيو، ۽ ان جي ذريعي اسان انهن نيٽ ورڪن جو اعلان ڪيو.
رستا ليڪس. ليڪ ٿورڙا وڌيڪ پيچيده آهن. ليڪ AS واٽ ۾ تبديلي آهي. بهترين طور تي، تبديلي وڏي دير جي نتيجي ۾ ٿيندي ڇو ته توهان کي ڊگهو رستو يا گهٽ گنجائش واري لنڪ تي سفر ڪرڻ جي ضرورت آهي. بدترين طور تي، گوگل ۽ جاپان سان معاملو بار بار ڪيو ويندو.
گوگل پاڻ هڪ آپريٽر يا ٽرانزٽ خودمختيار نظام ناهي. پر جڏهن هن اعلان ڪيو ته جاپاني آپريٽرز جي نيٽ ورڪن کي پنهنجي فراهم ڪندڙ کي، گوگل ذريعي ٽرئفڪ جي ذريعي اي ايس پاٿ کي اعلي ترجيح طور ڏٺو ويو. ٽريفڪ اُتي وئي ۽ بس ڇڏي وئي ڇاڪاڻ ته گوگل اندر روٽنگ سيٽنگون صرف سرحد تي فلٽرن کان وڌيڪ پيچيده آهن.
فلٽر ڇو نه ڪم ڪن؟
ڪنھن کي بہ خيال ناھي. اهو بنيادي سبب آهي - ڪو به پرواهه ناهي. هڪ ننڍڙي فراهم ڪندڙ يا ڪمپني جو منتظم جيڪو BGP ذريعي فراهم ڪندڙ سان ڳنڍيل آهي MikroTik ورتو، ان تي BGP ترتيب ڏني ۽ اها به خبر ناهي ته فلٽر اتي ترتيب ڏئي سگھن ٿا.
ٺاھ جوڙ جون غلطيون. انهن ڪجهه خراب ڪيو، ماسڪ ۾ غلطي ڪئي، غلط ميش لڳايو - ۽ هاڻي هڪ غلطي آهي.
ڪو به ٽيڪنيڪل امڪان ناهي. مثال طور، ٽيليڪ فراهم ڪندڙ ڪيترائي گراهڪ آهن. هوشيار ڪم اهو آهي ته هر ڪلائنٽ لاءِ فلٽر پاڻمرادو اپڊيٽ ڪرڻ - مانيٽر ڪرڻ لاءِ ته هن وٽ نئون نيٽ ورڪ آهي، ته هن پنهنجو نيٽ ورڪ ڪنهن کي ڪرائي تي ڏنو آهي. اهو هن جي پيروي ڪرڻ ڏکيو آهي، ۽ توهان جي هٿن سان اڃا به وڌيڪ ڏکيو آهي. تنهن ڪري، اهي صرف آرام سان فلٽر نصب ڪن ٿا يا فلٽر انسٽال نٿا ڪن.
استقبال. محبوب ۽ وڏن گراهڪن لاءِ استثنا آهن. خاص طور تي انٽر آپريٽر انٽرفيس جي صورت ۾. مثال طور، TransTeleCom ۽ Rostelecom وٽ نيٽ ورڪ جو هڪ گروپ آهي ۽ انهن جي وچ ۾ هڪ انٽرفيس آهي. جيڪڏهن گڏيل گر ٿي، اهو هر ڪنهن لاء سٺو نه ٿيندو، تنهنڪري فلٽر آرام سان يا مڪمل طور تي هٽايو ويو آهي.
IRR ۾ پراڻي يا غير لاڳاپيل معلومات. فلٽر ان معلومات جي بنياد تي ٺاهيا ويا آهن جيڪي رڪارڊ ٿيل آهن IRR - انٽرنيٽ روٽنگ رجسٽري. اهي علائقائي انٽرنيٽ رجسٽرار جا رجسٽر آهن. گهڻو ڪري، رجسٽرين ۾ پراڻي يا غير لاڳاپيل معلومات، يا ٻئي شامل آهن.
اهي رجسٽرار ڪير آهن؟
سڀئي انٽرنيٽ ايڊريس تنظيم سان تعلق رکن ٿا IANA - انٽرنيٽ اسائنڊ نمبرز اٿارٽي. جڏهن توهان ڪنهن کان IP نيٽ ورڪ خريد ڪندا آهيو، توهان ايڊريس خريد نه ڪندا آهيو، پر انهن کي استعمال ڪرڻ جو حق. ايڊريس هڪ غير محسوس وسيلو آهن ۽ عام معاهدي جي ذريعي اهي سڀئي IANA جي ملڪيت آهن.
سسٽم هن طرح ڪم ڪري ٿو. IANA پنجن علائقائي رجسٽرارن کي IP پتي ۽ خودمختيار نظام نمبرن جي انتظام جو نمائندو ڪري ٿو. اهي خودمختيار نظام جاري ڪن ٿا LIR - مقامي انٽرنيٽ رجسٽرار. LIRs پوءِ IP پتي کي ختم ڪندڙ صارفين لاءِ مختص ڪن ٿا.
سسٽم جو نقصان اهو آهي ته هر علائقائي رجسٽرار پنهنجي پنهنجي طريقي سان رجسٽرڊ کي برقرار رکندو آهي. هر ڪنهن جا پنهنجا پنهنجا رايا آهن ته رجسٽر ۾ ڪهڙي معلومات هجڻ گهرجي، ۽ ڪير ان کي چيڪ ڪرڻ گهرجي يا نه. نتيجو اهو آهي ته اسان وٽ هاڻي گندگي آهي.
ٻيو ڪيئن توهان انهن مسئلن کي منهن ڏئي سگهو ٿا؟
IRR - وچولي معيار. اهو IRR سان واضح آهي - اتي سڀ ڪجهه خراب آهي.
BGP-ڪميونٽيون. هي ڪجهه خاصيت آهي جنهن کي پروٽوڪول ۾ بيان ڪيو ويو آهي. اسان ڳنڍي سگهون ٿا، مثال طور، هڪ خاص ڪميونٽي کي اسان جي اعلان سان ته جيئن ڪو پاڙيسري اسان جا نيٽ ورڪ پنهنجن پاڙيسرين ڏانهن نه موڪلي. جڏهن اسان وٽ P2P لنڪ آهي، اسان صرف اسان جي نيٽ ورڪ کي مٽايو. رستي کي حادثاتي طور تي ٻين نيٽ ورڪن ڏانهن وڃڻ کان روڪڻ لاءِ، اسان ڪميونٽي شامل ڪندا آهيون.
ڪميونٽي منتقلي نه آهي. اهو هميشه ٻن لاء هڪ معاهدو آهي، ۽ اهو انهن جي خرابي آهي. اسان ڪنهن به ڪميونٽي کي تفويض نٿا ڪري سگهون، هڪ جي استثنا سان، جيڪو هر ڪنهن طرفان ڊفالٽ طور قبول ڪيو وڃي. اسان يقين نه ٿا ڪري سگھون ته هرڪو هن ڪميونٽي کي قبول ڪندو ۽ ان جي صحيح تعبير ڪندو. تنهن ڪري، بهترين صورت ۾، جيڪڏهن توهان پنهنجي اپ لنڪ سان متفق آهيو، هو سمجهي سگهندو ته توهان هن کان ڪميونٽي جي لحاظ کان ڇا چاهيو ٿا. پر توهان جو پاڙيسري سمجهي نه سگهندو، يا آپريٽر صرف توهان جي ٽيگ کي ري سيٽ ڪندو، ۽ توهان حاصل نه ڪندا جيڪو توهان چاهيو ٿا.
RPKI + ROA صرف مسئلن جو هڪ ننڍڙو حصو حل ڪري ٿو. RPKI آهي ريسورس پبلڪ ڪيئي انفراسٽرڪچر - هڪ خاص فريم ورڪ سائن ان روٽنگ معلومات لاءِ. اهو هڪ سٺو خيال آهي ته LIRs ۽ انهن جي گراهڪن کي هڪ تازه ترين ايڊريس اسپيس ڊيٽابيس کي برقرار رکڻ لاء مجبور ڪرڻ. پر ان سان گڏ ھڪڙو مسئلو آھي.
RPKI پڻ هڪ درجه بندي عوامي ڪيئي سسٽم آهي. IANA وٽ هڪ ڪنجي آهي جنهن مان RIR ڪيز ٺاهيا ويا آهن، ۽ ڪهڙيون LIR چابيون ٺاهيا ويا آهن؟ جنهن سان اهي ROAs - Route Origin Authorisations استعمال ڪندي پنهنجي ايڊريس اسپيس تي دستخط ڪن ٿا:
- مان توهان کي يقين ڏيان ٿو ته هن اڳڀرائي جو اعلان هن خودمختيار علائقي جي طرفان ڪيو ويندو.
ROA کان علاوه، ٻيون شيون آهن، پر انهن بابت وڌيڪ بعد ۾. اهو هڪ سٺو ۽ مفيد شيء وانگر لڳي ٿو. پر اهو اسان کي لفظ "سڀني" کان لڪي وڃڻ کان بچائي نٿو سگهي ۽ اڳي ئي اغوا ڪرڻ سان سڀني مسئلن کي حل نٿو ڪري. تنهن ڪري، رانديگرن کي ان تي عمل ڪرڻ ۾ جلدي ناهي. جيتوڻيڪ اتي اڳ ۾ ئي وڏي رانديگرن جهڙوڪ AT&T ۽ وڏي IX ڪمپنين کان يقين ڏياريو ويو آهي ته غلط ROA رڪارڊ سان اڳڀرائي ختم ٿي ويندي.
ٿي سگهي ٿو ته اهي ائين ڪندا، پر هن وقت اسان وٽ هڪ وڏي تعداد ۾ اڳڪٿيون آهن جيڪي ڪنهن به طريقي سان سائن نه ٿيل آهن. هڪ پاسي، اهو واضح ناهي ته ڇا اهي صحيح طور تي اعلان ڪيا ويا آهن. ٻئي طرف، اسان انهن کي ڊفالٽ طور نه ڇڏي سگهون ٿا، ڇو ته اسان کي پڪ ناهي ته اهو صحيح آهي يا نه.
اتي ٻيو ڇا آهي؟
BGPSec. اها هڪ سٺي شيءِ آهي جيڪا تعليمي ماهر گلابي پوني جي نيٽ ورڪ لاءِ آيا آهن. چيائون:
- اسان وٽ RPKI + ROA آهي - ايڊريس اسپيس جي دستخطن جي تصديق ڪرڻ لاءِ هڪ ميکانيزم. اچو ته هڪ الڳ BGP وصف ٺاهي ۽ ان کي سڏين BGPSec رستو. هر روٽر پنهنجي پنهنجي دستخط سان سائن ان ڪندو جنهن جو اعلان اهو پنهنجي پاڙيسرين ڏانهن ڪري ٿو. هن طريقي سان اسان دستخط ٿيل اعلانن جي زنجير مان هڪ قابل اعتماد رستو حاصل ڪنداسين ۽ ان کي جانچڻ جي قابل ٿي سگهنداسين.
نظريي ۾ سٺو، پر عملي طور تي ڪيترائي مسئلا آهن. BGPSec ايندڙ-هپس کي چونڊڻ ۽ سڌو روٽر تي ايندڙ / نڪرڻ واري ٽرئفڪ کي منظم ڪرڻ لاءِ ڪيترن ئي موجوده BGP ميڪينڪس کي ٽوڙي ٿو. BGPSec ڪم نٿو ڪري جيستائين سڄي مارڪيٽ جو 95٪ ان تي عمل نه ڪيو وڃي، جيڪو پاڻ ۾ يوٽوپيا آهي.
BGPSec وڏي ڪارڪردگي جا مسئلا آهن. موجوده هارڊويئر تي، اعلانن جي چڪاس جي رفتار لڳ ڀڳ 50 پريفيڪس في سيڪنڊ آهي. مقابلي لاءِ: موجوده انٽرنيٽ ٽيبل 700 اڳياڙين جو 000 ڪلاڪن ۾ اپ لوڊ ڪيو ويندو، جنهن دوران اهو 5 ڀيرا وڌيڪ تبديل ٿيندو.
BGP اوپن پاليسي (رول تي ٻڌل BGP). ماڊل جي بنياد تي تازو تجويز گاو-ريڪسفورڊ. اهي ٻه سائنسدان آهن جيڪي BGP تي تحقيق ڪري رهيا آهن.
Gao-Rexford ماڊل هن ريت آهي. آسان ڪرڻ لاء، BGP سان گڏ رابطي جا ٿورا تعداد آھن:
- مهيا ڪندڙ ڪسٽمر؛
- P2P؛
- اندروني رابطي، چون ٿا iBGP.
روٽر جي ڪردار جي بنياد تي، اهو اڳ ۾ ئي ممڪن آهي ته ڪجهه خاص درآمد / برآمد پاليسين کي ڊفالٽ طور تي تفويض ڪرڻ. منتظم کي ضرورت نه آهي ته اڳياڙين جي فهرستن کي ترتيب ڏيو. ان ڪردار جي بنياد تي جيڪي روٽر پاڻ ۾ متفق آهن ۽ جيڪي سيٽ ڪري سگهجن ٿا، اسان اڳ ۾ ئي ڪجهه ڊفالٽ فلٽر حاصل ڪريون ٿا. اهو هن وقت هڪ مسودو آهي جيڪو IETF ۾ بحث ڪيو پيو وڃي. مون کي اميد آهي ته جلد ئي اسان هن کي آر ايف سي جي صورت ۾ ڏسندا ۽ هارڊويئر تي عمل درآمد ڪندا.
وڏا انٽرنيٽ فراهم ڪندڙ
اچو ته هڪ مهيا ڪندڙ جو مثال ڏسو CenturyLink. اهو ٽيون نمبر وڏو يو ايس فراهم ڪندڙ آهي، جيڪو 37 رياستن جي خدمت ڪري ٿو ۽ 15 ڊيٽا مرڪز آهن.
ڊسمبر 2018 ۾، CenturyLink آمريڪي مارڪيٽ تي 50 ڪلاڪن تائين هئي. واقعي دوران ٻن رياستن ۾ اي ٽي ايمز جي آپريشن ۾ مشڪلاتون پيش آيون ۽ 911 نمبر پنجن رياستن ۾ ڪيترن ئي ڪلاڪن تائين ڪم نه ڪري رهيو هو. Idaho ۾ لاٽري مڪمل طور تي برباد ٿي وئي. اهو واقعو هن وقت يو ايس ٽيليڪميونيڪيشن ڪميشن جي تحقيقات هيٺ آهي.
سانحي جو سبب هڪ ڊيٽا سينٽر ۾ هڪ نيٽ ورڪ ڪارڊ هو. ڪارڊ خراب ٿي ويو، غلط پيڪٽ موڪليا ويا، ۽ فراهم ڪندڙ جي ڊيٽا سينٽرن جا سڀ 15 هيٺ ٿي ويا.
اهو خيال هن فراهم ڪندڙ لاء ڪم نه ڪيو "گرڻ تمام وڏو". اهو خيال بلڪل ڪم نٿو ڪري. توهان ڪنهن به وڏي رانديگر کي وٺي ۽ مٿي تي ڪجهه ننڍيون شيون وجهي سگهي ٿو. آمريڪا اڃا تائين رابطي سان سٺو ڪم ڪري رهيو آهي. CenturyLink گراهڪ جن وٽ هڪ رزرو هو ان ۾ گهڙي ويا. پوءِ متبادل آپريٽرز شڪايت ڪئي ته سندن لنڪ اوورلوڊ ٿيڻ بابت.
جيڪڏهن مشروط Kazakhtelecom پوي ٿو، سڄو ملڪ انٽرنيٽ کان سواء رهجي ويندو.
ڪارپوريشن
شايد گوگل، ايمازون، فيس بڪ ۽ ٻيون ڪارپوريشنون انٽرنيٽ جي حمايت ڪن ٿيون؟ نه، اهي به ٽوڙيندا آهن.
2017 ۾ سينٽ پيٽرسبرگ ۾ ENOG13 ڪانفرنس ۾ جيف هوسٽن کان اپني متعارف ڪرايو . اهو چوي ٿو ته اسان ڳالهين جا عادي آهيون، پئسا وهڻ ۽ انٽرنيٽ تي ٽرئفڪ عمودي هجڻ. اسان وٽ ننڍڙا مهيا ڪندڙ آهن جيڪي ادا ڪن ٿا ڪنيڪٽيويٽي لاءِ وڏن سان، ۽ اهي اڳ ۾ ئي ادا ڪن ٿا ڪنيڪشن لاءِ عالمي ٽرانزٽ.
هاڻي اسان وٽ اهڙي عمدي طور تي مبني جوڙجڪ آهي. سڀ ڪجھ ٺيڪ ٿي ويندو، پر دنيا بدلجي رهي آهي - وڏيون رانديون پنهنجون ٽرانسسينڪ ڪيبل ٺاهي رهيا آهن پنهنجون پٺتيون ٺاهڻ لاءِ.
CDN ڪيبل بابت خبرون.
2018 ۾، ٽيلي جيوگرافي هڪ مطالعو جاري ڪيو ته انٽرنيٽ تي اڌ کان وڌيڪ ٽريفڪ هاڻي انٽرنيٽ نه آهي، پر وڏن رانديگرن جي پٺڀرائي CDN آهي. هي ٽرئفڪ آهي جيڪو انٽرنيٽ سان لاڳاپيل آهي، پر اهو هاڻي نيٽ ورڪ ناهي جنهن بابت اسان ڳالهائي رهيا هئاسين.
انٽرنيٽ کي ٽوڙيو پيو وڃي هڪ وڏي سيٽ ۾ جڙيل نيٽ ورڪن جو.
Microsoft جو پنهنجو نيٽ ورڪ آهي، گوگل جو پنهنجو آهي، ۽ انهن وٽ هڪ ٻئي سان ٿورو اوورلوپ آهي. ٽريفڪ جيڪا USA ۾ ڪنهن جاءِ تي شروع ٿي Microsoft چينلز ذريعي سمنڊ جي پار يورپ ڏانهن وڃي ٿي ڪٿي CDN تي، پوءِ CDN يا IX ذريعي اها توهان جي فراهم ڪندڙ سان ڳنڍي ٿي ۽ توهان جي روٽر تائين پهچي ٿي.
Decentralization غائب ٿي رهيو آهي.
انٽرنيٽ جي اها طاقت، جيڪا ان کي ايٽمي ڌماڪي کان بچڻ ۾ مدد ڪندي، گم ٿي رهي آهي. صارفين ۽ ٽريفڪ جي ڪنسنٽريشن جا هنڌ ظاهر ٿيندا آهن. جيڪڏهن مشروط گوگل ڪلائوڊ پوي ٿو، اتي هڪ ئي وقت ۾ ڪيترائي متاثر ٿيندا. اسان اهو جزوي طور محسوس ڪيو جڏهن Roskomnadzor AWS کي بلاڪ ڪيو. ۽ CenturyLink جو مثال ڏيکاري ٿو ته اڃا به ننڍيون شيون هن لاء ڪافي آهن.
اڳي، نه سڀڪنھن شيء کي ۽ نه هرڪو ڀڃي. مستقبل ۾، اسان شايد ان نتيجي تي پهچي سگهون ٿا ته هڪ وڏي پليئر تي اثر انداز ڪرڻ سان، اسان ڪيترن ئي هنڌن تي ۽ ڪيترن ئي ماڻهن ۾ گهڻو ڪجهه ٽوڙي سگهون ٿا.
رياستون
رياستون قطار ۾ ايندڙ آهن، ۽ اهو ئي آهي جيڪو عام طور تي انهن سان ٿئي ٿو.
هتي اسان جو Roskomnadzor سڀ کان اڳ به نه آهي. انٽرنيٽ جي بندش جو ساڳيو رواج ايران، هندستان ۽ پاڪستان ۾ موجود آهي. انگلينڊ ۾ انٽرنيٽ کي بند ڪرڻ جي امڪان تي هڪ بل آهي.
ڪا به وڏي رياست انٽرنيٽ کي بند ڪرڻ لاءِ هڪ سوئچ حاصل ڪرڻ چاهي ٿي، يا ته مڪمل طور تي يا حصن ۾: Twitter، Telegram، Facebook. اهو نه آهي ته اهي نه سمجهندا آهن ته اهي ڪڏهن به ڪامياب نه ٿيندا، پر اهي واقعي چاهيندا آهن. سوئچ استعمال ڪيو ويندو آهي، ضابطي جي طور تي، سياسي مقصدن لاء - سياسي مقابلن کي ختم ڪرڻ لاء، يا چونڊون ويجهو آهن، يا روسي هيڪرز ٻيهر ڪجهه ٽوڙي ڇڏيو آهي.
DDoS حملا
مان پنهنجي ڪامريڊن کان قريٽر ليبز مان ماني نه وٺندس، اهي مون کان گهڻو بهتر ڪن ٿا. انهن وٽ آهي انٽرنيٽ جي استحڪام تي. ۽ اھو اھو آھي جيڪو انھن 2018 جي رپورٽ ۾ لکيو.
DDoS حملن جو سراسري مدو 2.5 ڪلاڪن تائين گھٽجي ٿو. حملي آور به پئسو ڳڻڻ شروع ڪن ٿا، ۽ جيڪڏهن وسيلا فوري طور تي دستياب نه آهن، ته پوءِ اهي جلدي ان کي اڪيلو ڇڏي ڏين ٿا.
حملن جي شدت وڌي رهي آهي. 2018 ۾، اسان ڏٺو 1.7 Tb/s Akamai نيٽ ورڪ تي، ۽ اها حد ناهي.
نوان حملا ویکٹر اڀري رهيا آهن ۽ پراڻا تيز ٿي رهيا آهن. نوان پروٽوڪول اڀري رهيا آهن جيڪي امڪاني طور تي حساس آهن، ۽ موجوده پروٽوڪول تي نوان حملا پيدا ٿي رهيا آهن، خاص طور تي TLS ۽ جهڙوڪ.
اڪثر ٽرئفڪ موبائل ڊوائيسز کان آهي. ساڳئي وقت، انٽرنيٽ ٽرئفڪ موبائيل ڪلائنٽ ڏانهن منتقل ڪري ٿو. ٻئي جيڪي حملو ڪن ٿا ۽ جيڪي دفاع ڪن ٿا انهن کي هن سان ڪم ڪرڻ جي قابل هجڻ گهرجي.
ناقابل قبول- نه. اهو بنيادي خيال آهي - ڪو به آفاقي تحفظ نه آهي جيڪو يقيني طور تي ڪنهن به DDoS جي خلاف حفاظت ڪندو.
سسٽم انسٽال نه ٿي ڪري سگھجي جيستائين اهو انٽرنيٽ سان ڳنڍيل نه هجي.
مون کي اميد آهي ته مون توهان کي ڪافي ڊڄي ڇڏيو آهي. اچو ته هاڻي سوچيو ته ان بابت ڇا ڪجي.
ڇا ڪجي؟!
جيڪڏهن توهان وٽ مفت وقت، خواهش ۽ انگريزي جي ڄاڻ آهي، ڪم ڪندڙ گروپن ۾ حصو وٺو: IETF، RIPE WG. اهي کليل ميل لسٽون آهن، ميلنگ لسٽن جي رڪنيت حاصل ڪريو، بحث ۾ حصو وٺن، ڪانفرنس ۾ اچن. جيڪڏهن توهان وٽ LIR جي حيثيت آهي، توهان ووٽ ڪري سگهو ٿا، مثال طور، RIPE ۾ مختلف شروعاتن لاءِ.
اهو صرف انسانن لاء آهي نگراني. ڄاڻڻ لاءِ ڇا ٿيو آهي.
نگراني: ڇا چيڪ ڪرڻ لاء؟
عام پنگ، ۽ نه رڳو هڪ بائنري چيڪ - اهو ڪم ڪري ٿو يا نه. RTT کي تاريخ ۾ رڪارڊ ڪريو ته جيئن توهان بعد ۾ بيضابطگيون ڏسي سگهو.
پيچروڪر. هي TCP/IP نيٽ ورڪن تي ڊيٽا جي رستن کي طئي ڪرڻ لاءِ هڪ يوٽيلٽي پروگرام آهي. غير معمولي ۽ رڪاوٽ جي سڃاڻپ ۾ مدد ڪري ٿي.
HTTP چيڪ ڪري ٿو ڪسٽم URLs ۽ TLS سرٽيفڪيٽن لاءِ حملي لاءِ بلاڪنگ يا ڊي اين ايس اسپفنگ کي ڳولڻ ۾ مدد ڪندو، جيڪو عملي طور تي ساڳيو آهي. بلاڪنگ اڪثر ڪري ڪئي ويندي آهي DNS اسپفنگ ذريعي ۽ ٽرئفڪ کي اسٽب پيج ڏانهن رخ ڪندي.
جيڪڏهن ممڪن هجي ته، مختلف جڳهن کان توهان جي ڪلائنٽ جو حل چيڪ ڪريو جيڪڏهن توهان وٽ درخواست آهي. اهو توهان جي مدد ڪندي DNS اغوا ڪرڻ جي غير معموليات کي ڳولڻ ۾، ڪجهه جيڪو مهيا ڪندڙ ڪڏهن ڪڏهن ڪندا آهن.
نگراني: ڪٿي چيڪ ڪرڻ لاء؟
ڪوبه عالمگير جواب نه آهي. چيڪ ڪريو جتي صارف اچي رهيو آهي. جيڪڏهن صارف روس ۾ آهن، روس کان چيڪ ڪريو، پر پنهنجو پاڻ کي ان تائين محدود نه ڪريو. جيڪڏهن توهان جا صارف مختلف علائقن ۾ رهن ٿا، انهن علائقن مان چيڪ ڪريو. پر سڄي دنيا کان بهتر.
نگراني: ڇا چيڪ ڪرڻ لاء؟
مون کي ٽن طريقن سان آيو. جيڪڏھن توھان وڌيڪ ڄاڻو ٿا، تبصرن ۾ لکندا.
- RIPE Atlas.
- تجارتي نگراني.
- ورچوئل مشينن جو توهان جو پنهنجو نيٽ ورڪ.
اچو ته انهن مان هر هڪ بابت ڳالهايون.
RIPE Atlas - اھو ھڪڙو ننڍڙو دٻو آھي. انهن لاء جيڪي ڄاڻن ٿا گهريلو "انسپيڪٽر" - اهو ساڳيو باڪس آهي، پر هڪ مختلف اسٽيڪر سان.
RIPE Atlas هڪ مفت پروگرام آهي. توهان رجسٽر ٿيو، ميل ذريعي هڪ روٽر وصول ڪريو ۽ ان کي نيٽ ورڪ ۾ پلگ ان ڪريو. حقيقت اها آهي ته ڪو ٻيو توهان جو نمونو استعمال ڪري ٿو، توهان ڪجهه ڪريڊٽ حاصل ڪندا آهيو. انهن قرضن سان توهان پنهنجو پاڻ کي ڪجهه تحقيق ڪري سگهو ٿا. توھان مختلف طريقن سان جانچ ڪري سگھو ٿا: پنگ، ٽريڪروٽ، چيڪ سرٽيفڪيٽ. ڪوريج ڪافي وڏي آهي، اتي ڪيترائي نوڊس آھن. پر اتي nuances آهن.
ڪريڊٽ سسٽم کي اجازت نه ڏيندو آهي عمارت جي پيداوار حل. جاري تحقيق يا تجارتي نگراني لاءِ ڪافي ڪريڊٽ نه هوندا. ڪريڊٽ هڪ مختصر مطالعي يا هڪ دفعي چيڪ لاءِ ڪافي آهن. هڪ نموني مان روزانو معمول 1-2 چيڪن ذريعي استعمال ڪيو ويندو آهي.
ڪوريج غير برابر آهي. جيئن ته پروگرام ٻنهي طرفن ۾ مفت آهي، ڪوريج يورپ ۾ سٺو آهي، روس جي يورپي حصي ۽ ڪجهه علائقن ۾. پر جيڪڏهن توهان کي انڊونيشيا يا نيوزي لينڊ جي ضرورت آهي ته پوءِ سڀ ڪجهه وڌيڪ خراب آهي - توهان وٽ هر ملڪ ۾ 50 نمونا نه هوندا.
توهان نموني مان http چيڪ نٿا ڪري سگهو. هن فني nuances جي ڪري آهي. اهي واعدو ڪن ٿا ته ان کي نئين نسخي ۾ درست ڪريو، پر هاڻي لاءِ http چيڪ نه ٿو ڪري سگهجي. صرف سند جي تصديق ڪري سگهجي ٿو. ڪجھ قسم جي http چيڪ صرف هڪ خاص RIPE Atlas ڊيوائس تي ڪري سگهجي ٿو جنهن کي اينڪر سڏيو ويندو آهي.
ٻيو طريقو تجارتي نگراني آهي. هن سان سڀ ڪجهه ٺيڪ آهي، توهان پئسا ادا ڪري رهيا آهيو، صحيح؟ اهي توهان کي دنيا جي ڪيترن ئي درجن يا سوين مانيٽرنگ پوائنٽن جو واعدو ڪن ٿا ۽ دٻي مان خوبصورت ڊيش بورڊ ڪڍو. پر، ٻيهر، اتي مسئلا آهن.
اهو ادا ڪيو ويو آهي، ڪجهه هنڌن تي اهو تمام گهڻو آهي. پنگ مانيٽرنگ، سڄي دنيا ۾ چيڪ، ۽ ڪيترائي http چيڪ هڪ سال ۾ ڪيترائي هزار ڊالر خرچ ڪري سگهن ٿا. جيڪڏهن ماليات جي اجازت ڏيو ۽ توهان هن حل کي پسند ڪريو، اڳتي وڌو.
دلچسپي جي علائقي ۾ ڪوريج ڪافي نه ٿي سگھي. ساڳئي پنگ سان، دنيا جو وڌ ۾ وڌ خلاصو حصو بيان ڪيو ويو آهي - ايشيا، يورپ، اتر آمريڪا. ناياب مانيٽرنگ سسٽم ڪنهن مخصوص ملڪ يا علائقي ۾ هيٺ ڪري سگهن ٿا.
ڪسٽم ٽيسٽ لاء ڪمزور سپورٽ. جيڪڏھن توھان کي ضرورت آھي ڪا شيءِ حسب ضرورت، ۽ نه رڳو url تي ”گھگھڙ“، پوءِ ان سان گڏ مسئلا آھن.
ٽيون رستو توهان جي نگراني آهي. هي هڪ کلاسک آهي: "اچو ته پنهنجو پاڻ لکون!"
توهان جي نگراني هڪ سافٽ ويئر پراڊڪٽ جي ترقي ۾ بدلجي ٿي، ۽ هڪ ورهايل هڪ. توهان هڪ انفراسٽرڪچر فراهم ڪندڙ ڳولي رهيا آهيو، ڏسو ته ڪيئن ترتيب ڏيڻ ۽ ان جي نگراني ڪرڻ - نگراني جي نگراني ڪرڻ جي ضرورت آهي، صحيح؟ ۽ سپورٽ پڻ گهربل آهي. ان کان پهريان ڏهه ڀيرا سوچيو. اهو آسان ٿي سگهي ٿو ڪنهن کي ادا ڪرڻ لاء ان کي توهان لاء.
مانيٽرنگ بي جي پي جي غير معموليات ۽ DDoS حملن
هتي، موجود وسيلن جي بنياد تي، سڀڪنھن شيء کي به سادو آهي. بي جي پي جي بي ضابطگين کي خاص خدمتون استعمال ڪندي معلوم ڪيو ويو آهي جهڙوڪ QRadar، BGPmon. اهي ڪيترن ئي آپريٽرز کان مڪمل ڏيک ٽيبل قبول ڪن ٿا. انهن جي بنياد تي جيڪي اهي مختلف آپريٽرز کان ڏسندا آهن، اهي غير معموليات کي ڳولي سگهندا آهن، ايمپليفائرز کي ڳوليندا آهن، وغيره. رجسٽريشن عام طور تي مفت آهي - توهان پنهنجو فون نمبر داخل ڪريو، اي ميل نوٽيفڪيشن جي رڪنيت حاصل ڪريو، ۽ خدمت توهان کي توهان جي مسئلن کان آگاهي ڏيندو.
DDoS حملن جي نگراني پڻ سادي آهي. عام طور تي هي آهي NetFlow تي ٻڌل ۽ لاگ. اهڙا خاص نظام آهن جهڙوڪ FastNetMon، ماڊلز لاءِ ڌار ڌار. آخري حل جي طور تي، توهان جو DDoS تحفظ فراهم ڪندڙ آهي. اهو پڻ ڪري سگھي ٿو NetFlow ۽، ان جي بنياد تي، اهو توهان کي توهان جي هدايت ۾ حملن جي اطلاع ڏيندو.
پهچڻ
ڪو به وهم نه رکو - انٽرنيٽ ضرور ڀڄي ويندو. نه سڀ ڪجهه ۽ نه هرڪو ڀڃندو، پر 14 ۾ 2017 هزار واقعن اشارو ڪيو ته اهڙا واقعا ٿيندا.
توهان جو ڪم جلدي ممڪن طور تي مسئلن کي نوٽيس ڪرڻ آهي. گهٽ ۾ گهٽ، توهان جي استعمال ڪندڙ کان پوء نه. نه رڳو اهو نوٽ ڪرڻ ضروري آهي، هميشه هڪ "پلان بي" کي رزرو ۾ رکو. هڪ منصوبو هڪ حڪمت عملي آهي جيڪو توهان ڪندا جڏهن سڀ ڪجهه خراب ٿي ويندو.: رزرو آپريٽرز، ڊي سي، سي ڊي اين. هڪ منصوبو هڪ الڳ چيڪ لسٽ آهي جنهن جي خلاف توهان هر شي جي ڪم جي جانچ ڪريو ٿا. منصوبي کي نيٽ ورڪ انجنيئرن جي شموليت کان سواء ڪم ڪرڻ گهرجي، ڇاڪاڻ ته عام طور تي انهن مان ٿورا آهن ۽ اهي سمهڻ چاهيندا آهن.
اهو ئي سڀ ڪجهه آهي. مان توهان کي اعلي دستيابي ۽ سائي نگراني جي خواهشمند آهيان.
ايندڙ هفتي Novosibirsk سج جي روشني ۾، تيز لوڊ ۽ ڊولپرز جي اعلي تسلسل جي توقع ڪئي وئي آهي . سائبيريا ۾، نگراني، رسائي ۽ جانچ، سيڪيورٽي ۽ انتظام تي رپورٽن جي سامهون پيش ڪيل آهي. ورهاڱي جي توقع ڪئي وئي آهي لکندڙ نوٽس، نيٽ ورڪنگ، فوٽوز ۽ سماجي نيٽ ورڪن تي پوسٽن جي صورت ۾. اسان جون 24 ۽ 25 جون تي سڀئي سرگرميون ملتوي ڪرڻ جي صلاح ڏين ٿا ۽ . اسان سائبيريا ۾ توهان جي انتظار ۾ آهيون!
جو ذريعو: www.habr.com