Interneti duket se është një strukturë e fortë, e pavarur dhe e pathyeshme. Në teori, rrjeti është mjaft i fortë për t'i mbijetuar një shpërthimi bërthamor. Në realitet, Interneti mund të heqë një ruter të vogël. E gjitha sepse Interneti është një grumbull kontradiktash, dobësish, gabimesh dhe videosh rreth maceve. Shtylla kurrizore e internetit, BGP, është e mbushur me probleme. Është e mahnitshme që ai ende po merr frymë. Përveç gabimeve në vetë internetin, ai gjithashtu prishet nga të gjithë dhe të ndryshëm: ofruesit e mëdhenj të internetit, korporatat, shtetet dhe sulmet DDoS. Çfarë të bëni për të dhe si të jetoni me të?
E di përgjigjen Alexey Uchakin () është drejtuesi i një ekipi inxhinierësh rrjeti në IQ Option. Detyra e tij kryesore është aksesueshmëria e platformës për përdoruesit. Në transkriptin e raportit të Alexey mbi Le të flasim për sulmet BGP, DDOS, ndërprerësit e Internetit, gabimet e ofruesve, decentralizimin dhe rastet kur një ruter i vogël dërgoi internetin në gjumë. Në fund - disa këshilla se si t'i mbijetoni gjithë kësaj.
Dita kur u prish Interneti
Unë do të citoj vetëm disa incidente ku lidhja e internetit u prish. Kjo do të jetë e mjaftueshme për tablonë e plotë.
"Incidenti AS7007". Hera e parë që u ndërpre interneti ishte në prill 1997. Kishte një gabim në softuerin e një ruteri nga sistemi autonom 7007. Në një moment, ruteri njoftoi tabelën e tij të brendshme të rrugëtimit fqinjëve dhe dërgoi gjysmën e rrjetit në një vrimë të zezë.
"Pakistani kundër YouTube". Në vitin 2008, djem të guximshëm nga Pakistani vendosën të bllokojnë YouTube. E bënë aq mirë sa gjysma e botës mbeti pa mace.
"Kapja e prefikseve VISA, MasterCard dhe Symantec nga Rostelecom". Në vitin 2017, Rostelecom gabimisht filloi të shpallte prefikset VISA, MasterCard dhe Symantec. Si rezultat, trafiku financiar u drejtua përmes kanaleve të kontrolluara nga ofruesi. Rrjedhja nuk zgjati shumë, por ishte e pakëndshme për kompanitë financiare.
Google kundër Japonisë. Në gusht 2017, Google filloi të shpallte prefikset e ofruesve kryesorë japonezë NTT dhe KDDI në disa prej lidhjeve të tij. Trafiku u dërgua te Google si tranzit, me shumë mundësi gabimisht. Meqenëse Google nuk është ofrues dhe nuk lejon trafikun tranzit, një pjesë e konsiderueshme e Japonisë mbeti pa internet.
"DV LINK kapi prefikset e Google, Apple, Facebook, Microsoft". Gjithashtu në vitin 2017, ofruesi rus DV LINK për disa arsye filloi të shpallte rrjetet e Google, Apple, Facebook, Microsoft dhe disa lojtarë të tjerë të mëdhenj.
"eNet nga SHBA ka kapur prefikset AWS Route53 dhe MyEtherwallet". Në vitin 2018, ofruesi i Ohajos ose një nga klientët e tij njoftoi rrjetet e portofolit të kriptove Amazon Route53 dhe MyEtherwallet. Sulmi ishte i suksesshëm: edhe përkundër certifikatës së vetë-nënshkruar, një paralajmërim për të cilin përdoruesi iu shfaq kur hynte në faqen e internetit MyEtherwallet, shumë kuleta u rrëmbyen dhe një pjesë e kriptomonedhës u vodh.
Ka pasur më shumë se 2017 incidente të tilla vetëm në vitin 14! Rrjeti është ende i decentralizuar, kështu që jo gjithçka dhe jo të gjithë prishen. Por ka mijëra incidente, të gjitha të lidhura me protokollin BGP që fuqizon internetin.
BGP dhe problemet e saj
Protokolli BGP - Protokolli i Portës Kufitare, u përshkrua për herë të parë në 1989 nga dy inxhinierë nga IBM dhe Cisco Systems në tre "peceta" - fletë A4. Këto ende qëndrojnë në selinë e Cisco Systems në San Francisko si një relike e botës së rrjeteve.
Protokolli bazohet në ndërveprimin e sistemeve autonome - Autonomous Systems ose shkurt AS. Një sistem autonom është thjesht një ID në të cilën rrjetet IP janë caktuar në regjistrin publik. Një ruter me këtë ID mund t'i njoftojë këto rrjete në botë. Prandaj, çdo rrugë në internet mund të përfaqësohet si një vektor, i cili quhet Rruga AS. Vektori përbëhet nga numrat e sistemeve autonome që duhet të përshkohen për të arritur në rrjetin e destinacionit.
Për shembull, ekziston një rrjet i një numri sistemesh autonome. Ju duhet të kaloni nga sistemi AS65001 në sistemin AS65003. Rruga nga një sistem përfaqësohet nga AS Path në diagram. Ai përbëhet nga dy sisteme autonome: 65002 dhe 65003. Për çdo adresë destinacioni ekziston një vektor AS Path, i cili përbëhet nga numrat e sistemeve autonome që duhet të kalojmë.
Pra, cilat janë problemet me BGP?
BGP është një protokoll besimi
Protokolli BGP bazohet në besim. Kjo do të thotë që ne i besojmë fqinjit tonë si parazgjedhje. Kjo është një veçori e shumë protokolleve që u zhvilluan në agimin e Internetit. Le të kuptojmë se çfarë do të thotë "besim".
Asnjë vërtetim fqinj. Formalisht, ekziston MD5, por MD5 në 2019 është pikërisht ajo...
Nuk ka filtrim. BGP ka filtra dhe ato përshkruhen, por nuk përdoren ose përdoren gabimisht. Unë do të shpjegoj pse më vonë.
Është shumë e lehtë të krijosh një lagje. Vendosja e një lagjeje në protokollin BGP në pothuajse çdo ruter është disa rreshta të konfigurimit.
Nuk kërkohen të drejta të menaxhimit të BGP. Ju nuk keni nevojë të bëni provime për të vërtetuar kualifikimet tuaja. Askush nuk do t'ju heqë të drejtat tuaja për konfigurimin e BGP kur jeni të dehur.
Dy probleme kryesore
Rrëmbimet e prefiksit. Rrëmbimi i prefiksit është reklamimi i një rrjeti që nuk ju përket, siç është rasti me MyEtherwallet. Ne morëm disa parashtesa, ramë dakord me ofruesin ose e hakuam dhe përmes tij shpallim këto rrjete.
Rrjedhjet e rrugës. Rrjedhjet janë pak më të komplikuara. Rrjedhja është një ndryshim në rrugën AS. Në rastin më të mirë, ndryshimi do të rezultojë në një vonesë më të madhe sepse ju duhet të udhëtoni një rrugë më të gjatë ose në një lidhje më pak të gjerë. Në rastin më të keq, rasti me Google dhe Japoninë do të përsëritet.
Google në vetvete nuk është një operator apo një sistem autonom tranziti. Por kur ai njoftoi rrjetet e operatorëve japonezë te ofruesi i tij, trafiku përmes Google përmes AS Path u pa si një prioritet më i lartë. Trafiku shkoi atje dhe ra thjesht sepse cilësimet e rrugës brenda Google janë më komplekse sesa thjesht filtra në kufi.
Pse filtrat nuk funksionojnë?
Askush nuk interesohet. Kjo është arsyeja kryesore - askush nuk kujdeset. Administratori i një ofruesi ose kompanie të vogël që u lidh me ofruesin përmes BGP mori MikroTik, konfiguroi BGP në të dhe as nuk e di që filtrat mund të konfigurohen atje.
Gabimet e konfigurimit. Ata ngatërruan diçka, bënë një gabim në maskë, vendosën rrjetën e gabuar - dhe tani ka përsëri një gabim.
Asnjë mundësi teknike. Për shembull, ofruesit e telekomit kanë shumë klientë. Gjëja më e zgjuar për të bërë është të përditësoni automatikisht filtrat për çdo klient - për të monitoruar që ai ka një rrjet të ri, se ai i ka dhënë me qira rrjetin e tij dikujt. Është e vështirë për ta ndjekur këtë, dhe akoma më e vështirë me duart tuaja. Prandaj, ata thjesht instalojnë filtra të relaksuar ose nuk instalojnë filtra fare.
përjashtime. Ka përjashtime për klientët e dashur dhe të mëdhenj. Sidomos në rastin e ndërfaqeve ndër-operatorësh. Për shembull, TransTeleCom dhe Rostelecom kanë një mori rrjetesh dhe ka një ndërfaqe midis tyre. Nëse nyja bie, nuk do të jetë e mirë për askënd, kështu që filtrat relaksohen ose hiqen plotësisht.
Informacion i vjetëruar ose i parëndësishëm në IRR. Filtrat ndërtohen në bazë të informacionit që regjistrohet në IRR - Regjistri i rrugëtimit në internet. Këto janë regjistra të regjistruesve rajonalë të internetit. Shpesh, regjistrat përmbajnë informacione të vjetruara ose të parëndësishme, ose të dyja.
Kush janë këta regjistrues?
Të gjitha adresat e internetit i përkasin organizatës IANA - Autoriteti i Numrave të Caktuar në Internet. Kur blini një rrjet IP nga dikush, nuk po blini adresa, por të drejtën për t'i përdorur ato. Adresat janë një burim i paprekshëm dhe me marrëveshje të përbashkët ato janë të gjitha në pronësi të IANA-s.
Sistemi funksionon kështu. IANA delegon menaxhimin e adresave IP dhe numrave të sistemit autonom te pesë regjistruesit rajonalë. Ata lëshojnë sisteme autonome LIR - regjistruesit lokalë të internetit. LIR-të më pas ndajnë adresat IP për përdoruesit fundorë.
Disavantazhi i sistemit është se secili nga regjistruesit rajonalë i mban regjistrat e tij në mënyrën e vet. Secili ka pikëpamjet e veta se çfarë informacioni duhet të përmbajë regjistrat dhe kush duhet ose jo ta kontrollojë atë. Rezultati është rrëmuja që kemi tani.
Si mund t'i luftoni ndryshe këto probleme?
IRR - cilësi mesatare. Është e qartë me IRR - gjithçka është e keqe atje.
BGP-komunitetet. Ky është një atribut që përshkruhet në protokoll. Ne mund t'i bashkëngjisim, për shembull, një komunitet të veçantë njoftimit tonë në mënyrë që një fqinj të mos dërgojë rrjetet tona te fqinjët e tij. Kur kemi një lidhje P2P, ne shkëmbejmë vetëm rrjetet tona. Për të parandaluar që rruga të shkojë aksidentalisht në rrjete të tjera, ne shtojmë komunitetin.
Komunitetet nuk janë kalimtare. Është gjithmonë një kontratë për dy, dhe kjo është pengesa e tyre. Ne nuk mund të caktojmë asnjë komunitet, me përjashtim të njërit, i cili pranohet si parazgjedhje nga të gjithë. Nuk mund të jemi të sigurt se të gjithë do ta pranojnë këtë komunitet dhe do ta interpretojnë atë drejt. Prandaj, në rastin më të mirë, nëse jeni dakord me lidhjen tuaj lart, ai do të kuptojë se çfarë dëshironi prej tij në aspektin e komunitetit. Por fqinji juaj mund të mos kuptojë, ose operatori thjesht do të rivendosë etiketën tuaj dhe ju nuk do të arrini atë që dëshironi.
RPKI + ROA zgjidh vetëm një pjesë të vogël të problemeve. RPKI është Infrastruktura e çelësit publik të burimeve — një kornizë e veçantë për nënshkrimin e informacionit të rrugëzimit. Është një ide e mirë të detyrosh LIR-ët dhe klientët e tyre të mbajnë një bazë të dhënash të përditësuar të hapësirës së adresave. Por ka një problem me të.
RPKI është gjithashtu një sistem me çelës publik hierarkik. IANA ka një çelës nga i cili gjenerohen çelësat RIR dhe nga cili çelësat LIR gjenerohen? me të cilën ata nënshkruajnë hapësirën e tyre të adresave duke përdorur ROA - Autorizimet e Origjinës së Rrugës:
— Ju siguroj se ky prefiks do të shpallet në emër të këtij rajoni autonom.
Përveç ROA, ka edhe objekte të tjera, por më vonë për to. Duket si një gjë e mirë dhe e dobishme. Por nuk na mbron nga rrjedhjet nga fjala "fare" dhe nuk zgjidh të gjitha problemet me rrëmbimin e prefiksit. Prandaj, lojtarët nuk po nxitojnë ta zbatojnë atë. Edhe pse tashmë ka garanci nga lojtarë të mëdhenj si AT&T dhe kompani të mëdha IX që prefikset me një rekord të pavlefshëm ROA do të hiqen.
Ndoshta ata do ta bëjnë këtë, por tani për tani kemi një numër të madh parashtesash që nuk janë nënshkruar në asnjë mënyrë. Nga njëra anë, është e paqartë nëse ato janë shpallur në mënyrë të vlefshme. Nga ana tjetër, ne nuk mund t'i heqim ato si parazgjedhje, sepse nuk jemi të sigurt nëse kjo është e saktë apo jo.
Çfarë tjetër ka?
BGPSec. Kjo është një gjë interesante që akademikët dolën me një rrjet poni rozë. Ata thanë:
- Kemi RPKI + ROA - një mekanizëm për verifikimin e nënshkrimeve të hapësirës së adresave. Le të krijojmë një atribut të veçantë BGP dhe ta quajmë atë Rruga BGPSec. Çdo ruter do të nënshkruajë me nënshkrimin e vet njoftimet që u shpall fqinjëve të tij. Në këtë mënyrë ne do të marrim një rrugë të besueshme nga zinxhiri i njoftimeve të nënshkruara dhe do të jemi në gjendje ta kontrollojmë atë.
Mirë në teori, por në praktikë ka shumë probleme. BGPSec thyen shumë mekanikë ekzistues BGP për zgjedhjen e hop-eve të ardhshme dhe menaxhimin e trafikut hyrës/dalës direkt në ruter. BGPSec nuk funksionon derisa ta ketë zbatuar 95% e të gjithë tregut, që në vetvete është një utopi.
BGPSec ka probleme të mëdha të performancës. Në harduerin aktual, shpejtësia e kontrollit të njoftimeve është afërsisht 50 prefiksa për sekondë. Për krahasim: tabela aktuale e internetit prej 700 prefiksesh do të ngarkohet në 000 orë, gjatë së cilës do të ndryshojë edhe 5 herë të tjera.
Politika e hapur e BGP (BGP e bazuar në role). Propozim i ri i bazuar në model Gao-Rexford. Këta janë dy shkencëtarë që po hulumtojnë BGP.
Modeli Gao-Rexford është si më poshtë. Për ta thjeshtuar, me BGP ka një numër të vogël të llojeve të ndërveprimeve:
- Konsumatori i Ofruesit;
- P2P;
- komunikimi i brendshëm, thonë iBGP.
Bazuar në rolin e ruterit, tashmë është e mundur të caktohen politika të caktuara importi/eksporti si parazgjedhje. Administratori nuk ka nevojë të konfigurojë listat e prefikseve. Bazuar në rolin që ruterët bien dakord mes tyre dhe që mund të vendoset, ne marrim tashmë disa filtra të paracaktuar. Ky është aktualisht një draft që po diskutohet në IETF. Shpresoj se së shpejti do ta shohim këtë në formën e një RFC dhe implementimit në harduer.
Ofruesit e mëdhenj të internetit
Le të shohim shembullin e një ofruesi CenturyLink. Ai është ofruesi i tretë më i madh në SHBA, duke shërbyer 37 shtete dhe ka 15 qendra të dhënash.
Në dhjetor 2018, CenturyLink ishte në tregun amerikan për 50 orë. Gjatë incidentit ka pasur probleme me funksionimin e ATM-ve në dy shtete dhe numri 911 nuk ka funksionuar për disa orë në pesë shtete. Lotaria në Idaho u shkatërrua plotësisht. Incidenti aktualisht është nën hetim nga Komisioni Amerikan i Telekomunikacionit.
Shkaku i tragjedisë ishte një kartë rrjeti në një qendër të dhënash. Karta nuk funksionoi, dërgoi pako të pasakta dhe të 15 qendrat e të dhënave të ofruesit u rrëzuan.
Ideja nuk funksionoi për këtë ofrues "shumë i madh për të rënë". Kjo ide nuk funksionon fare. Ju mund të merrni çdo lojtar kryesor dhe të vendosni disa gjëra të vogla në krye. SHBA-ja është ende mirë me lidhjen. Klientët e CenturyLink që kishin një rezervë hynë në të në grupe të shumta. Më pas operatorët alternativë u ankuan për mbingarkimin e lidhjeve të tyre.
Nëse kazaktelekomi i kushtëzuar bie, i gjithë vendi do të mbetet pa internet.
Korporatat
Ndoshta Google, Amazon, FaceBook dhe korporata të tjera mbështesin internetin? Jo, edhe ata e thyejnë atë.
Në vitin 2017 në Shën Petersburg në konferencën ENOG13 Jeff Houston nga APNIKU paraqitur . Ai thotë se ne jemi mësuar që ndërveprimet, flukset e parave dhe trafiku në internet të jenë vertikal. Ne kemi ofrues të vegjël që paguajnë për lidhjen me më të mëdhenjtë dhe ata tashmë paguajnë për lidhjen me transitin global.
Tani kemi një strukturë të tillë të orientuar vertikalisht. Gjithçka do të ishte mirë, por bota po ndryshon - lojtarët kryesorë po ndërtojnë kabllot e tyre transoqeanike për të ndërtuar shtyllat e tyre kurrizore.
Lajme rreth kabllos CDN.
Në vitin 2018, TeleGeography publikoi një studim që më shumë se gjysma e trafikut në internet nuk është më interneti, por shtylla e CDN-së së lojtarëve të mëdhenj. Ky është trafiku që lidhet me internetin, por ky nuk është më rrjeti për të cilin po flisnim.
Interneti po shpërbëhet në një grup të madh rrjetesh të lidhura lirshëm.
Microsoft ka rrjetin e vet, Google ka të vetin dhe ato kanë pak mbivendosje me njëra-tjetrën. Trafiku që ka origjinën diku në SHBA kalon përmes kanaleve të Microsoft-it përtej oqeanit në Evropë diku në një CDN, pastaj përmes CDN ose IX lidhet me ofruesin tuaj dhe shkon te ruteri juaj.
Decentralizimi po zhduket.
Kjo forcë e internetit, e cila do ta ndihmojë atë t'i mbijetojë një shpërthimi bërthamor, po humbet. Shfaqen vendet e përqendrimit të përdoruesve dhe trafikut. Nëse bie Google Cloud i kushtëzuar, do të ketë shumë viktima menjëherë. Ne e ndjemë këtë pjesërisht kur Roskomnadzor bllokoi AWS. Dhe shembulli i CenturyLink tregon se edhe gjërat e vogla mjaftojnë për këtë.
Më parë, jo gjithçka dhe jo të gjithë u prishën. Në të ardhmen, mund të arrijmë në përfundimin se duke ndikuar në një lojtar kryesor, ne mund të thyejmë shumë gjëra, në shumë vende dhe në shumë njerëz.
shtetet
Shtetet janë të radhës, dhe kjo është ajo që zakonisht ndodh me ta.
Këtu Roskomnadzor-i ynë nuk është as pionier. Një praktikë e ngjashme e mbylljes së internetit ekziston në Iran, Indi dhe Pakistan. Në Angli ka një projektligj për mundësinë e mbylljes së internetit.
Çdo shtet i madh dëshiron të marrë një ndërprerës për të fikur internetin, plotësisht ose pjesërisht: Twitter, Telegram, Facebook. Nuk është se nuk e kuptojnë se nuk do t'ia dalin kurrë, por e duan vërtet. Ndërprerësi përdoret, si rregull, për qëllime politike - për të eliminuar konkurrentët politikë, ose zgjedhjet po afrohen, ose hakerat rusë kanë thyer diçka përsëri.
Sulmet DDoS
Unë nuk do t'u heq bukën shokëve të Qrator Labs, ata e bëjnë shumë më mirë se unë. Ata kane mbi stabilitetin e internetit. Dhe kështu shkruan në raportin e vitit 2018.
Kohëzgjatja mesatare e sulmeve DDoS bie në 2.5 orë. Sulmuesit gjithashtu fillojnë të numërojnë para, dhe nëse burimi nuk është menjëherë i disponueshëm, atëherë ata shpejt e lënë atë të qetë.
Intensiteti i sulmeve po rritet. Në vitin 2018, ne pamë 1.7 Tb/s në rrjetin Akamai, dhe ky nuk është kufiri.
Vektorët e rinj të sulmit po shfaqen dhe të vjetrat po intensifikohen. Protokollet e reja po shfaqen që janë të ndjeshme ndaj amplifikimit, dhe sulme të reja po shfaqen në protokollet ekzistuese, veçanërisht TLS dhe të ngjashme.
Shumica e trafikut është nga pajisjet mobile. Në të njëjtën kohë, trafiku i internetit kalon tek klientët celularë. Si ata që sulmojnë ashtu edhe ata që mbrojnë duhet të jenë në gjendje të punojnë me këtë.
E paprekshme - jo. Kjo është ideja kryesore - nuk ka mbrojtje universale që patjetër do të mbrojë kundër çdo DDoS.
Sistemi nuk mund të instalohet nëse nuk është i lidhur me internetin.
Shpresoj se ju kam trembur mjaftueshëm. Le të mendojmë tani se çfarë të bëjmë për këtë.
Çfarë duhet bërë?!
Nëse keni kohë të lirë, dëshirë dhe njohuri të gjuhës angleze, merrni pjesë në grupet e punës: IETF, RIPE WG. Këto janë lista të hapura postare, pajtohuni në listat e postimeve, merrni pjesë në diskutime, vini në konferenca. Nëse keni statusin LIR, mund të votoni, për shembull, në RIPE për iniciativa të ndryshme.
Për njerëzit e thjeshtë kjo është monitorimi. Për të ditur se çfarë është prishur.
Monitorimi: çfarë të kontrolloni?
Ping i rregullt, dhe jo vetëm një kontroll binar - funksionon apo jo. Regjistroni RTT në histori në mënyrë që të mund të shikoni anomalitë më vonë.
traceroute. Ky është një program i dobishëm për përcaktimin e rrugëve të të dhënave në rrjetet TCP/IP. Ndihmon në identifikimin e anomalive dhe bllokimeve.
HTTP kontrollon për URL-të e personalizuara dhe certifikatat TLS do të ndihmojë në zbulimin e bllokimit ose mashtrimit të DNS për një sulm, që është praktikisht e njëjta gjë. Bllokimi kryhet shpesh nga mashtrimi DNS dhe duke e kthyer trafikun në një faqe cung.
Nëse është e mundur, kontrolloni vendosmërinë e klientëve tuaj për origjinën tuaj nga vende të ndryshme nëse keni një aplikim. Kjo do t'ju ndihmojë të zbuloni anomalitë e rrëmbimit të DNS, diçka që ofruesit e bëjnë ndonjëherë.
Monitorimi: ku të kontrolloni?
Nuk ka përgjigje universale. Kontrolloni se nga vjen përdoruesi. Nëse përdoruesit janë në Rusi, kontrolloni nga Rusia, por mos u kufizoni në të. Nëse përdoruesit tuaj jetojnë në rajone të ndryshme, kontrolloni nga këto rajone. Por më mirë nga e gjithë bota.
Monitorimi: çfarë të kontrolloni?
Unë dola me tre mënyra. Nëse dini më shumë, shkruani në komente.
- Atlas i PJEKUR.
- Monitorimi komercial.
- Rrjeti juaj i makinave virtuale.
Le të flasim për secilën prej tyre.
Atlas i PJEKUR - është një kuti kaq e vogël. Për ata që e njohin "Inspektorin" vendas - kjo është e njëjta kuti, por me një afishe të ndryshme.
RIPE Atlas është një program falas. Ju regjistroheni, merrni një ruter me postë dhe e lidhni atë në rrjet. Për faktin se dikush tjetër përdor mostrën tuaj, ju merrni disa kredite. Me këto kredi ju mund të bëni disa kërkime vetë. Ju mund të testoni në mënyra të ndryshme: ping, traceroute, kontrolloni certifikatat. Mbulimi është mjaft i madh, ka shumë nyje. Por ka nuanca.
Sistemi i kredive nuk lejon zgjidhje prodhimi ndërtimi. Nuk do të ketë kredi të mjaftueshme për kërkime të vazhdueshme apo monitorime komerciale. Kreditet janë të mjaftueshme për një studim të shkurtër ose kontroll një herë. Norma ditore nga një mostër konsumohet nga 1-2 kontrolle.
Mbulimi është i pabarabartë. Meqenëse programi është falas në të dy drejtimet, mbulimi është i mirë në Evropë, në pjesën evropiane të Rusisë dhe disa rajone. Por nëse keni nevojë për Indonezinë ose Zelandën e Re, atëherë gjithçka është shumë më keq - mund të mos keni 50 mostra për çdo vend.
Ju nuk mund të kontrolloni http nga një mostër. Kjo është për shkak të nuancave teknike. Ata premtojnë ta rregullojnë atë në versionin e ri, por tani për tani http nuk mund të kontrollohet. Vetëm certifikata mund të verifikohet. Një lloj kontrolli http mund të bëhet vetëm në një pajisje speciale RIPE Atlas të quajtur Anchor.
Metoda e dytë është monitorimi komercial. Gjithçka është në rregull me të, ju po paguani para, apo jo? Ata ju premtojnë disa dhjetëra ose qindra pika monitorimi në mbarë botën dhe nxjerrin panele të bukura nga kutia. Por, përsëri, ka probleme.
Paguhet, në disa vende është shumë. Monitorimi i ping, kontrollet në mbarë botën dhe shumë kontrolle http mund të kushtojnë disa mijëra dollarë në vit. Nëse financat ju lejojnë dhe ju pëlqen kjo zgjidhje, vazhdoni.
Mbulimi mund të mos jetë i mjaftueshëm në rajonin e interesit. Me të njëjtin ping, specifikohet maksimumi i një pjese abstrakte të botës - Azia, Evropa, Amerika e Veriut. Sistemet e rralla të monitorimit mund të shtrihen në një vend ose rajon të caktuar.
Mbështetje e dobët për testet me porosi. Nëse keni nevojë për diçka me porosi, dhe jo vetëm një "kaçurrelë" në url, atëherë ka probleme edhe me këtë.
Mënyra e tretë është monitorimi juaj. Ky është një klasik: "Le të shkruajmë tonën!"
Monitorimi juaj kthehet në zhvillimin e një produkti softuer, dhe një të shpërndarë. Ju jeni duke kërkuar për një ofrues të infrastrukturës, shikoni se si ta vendosni dhe monitoroni atë - monitorimi duhet të monitorohet, apo jo? Dhe gjithashtu kërkohet mbështetje. Mendoni dhjetë herë përpara se të merrni përsipër këtë. Mund të jetë më e lehtë të paguani dikë që ta bëjë atë për ju.
Monitorimi i anomalive BGP dhe sulmeve DDoS
Këtu, bazuar në burimet në dispozicion, gjithçka është edhe më e thjeshtë. Anomalitë BGP zbulohen duke përdorur shërbime të specializuara si QRadar, BGPmon. Ata pranojnë një tabelë me pamje të plotë nga operatorë të shumtë. Bazuar në atë që shohin nga operatorë të ndryshëm, ata mund të zbulojnë anomali, të kërkojnë përforcues etj. Regjistrimi është zakonisht falas - ju shkruani numrin tuaj të telefonit, abonoheni në njoftimet me email dhe shërbimi do t'ju njoftojë për problemet tuaja.
Monitorimi i sulmeve DDoS është gjithashtu i thjeshtë. Në mënyrë tipike kjo është Bazuar në NetFlow dhe regjistrat. Ka sisteme të specializuara si FastNetMon, module për Splunk. Si mjet i fundit, ekziston ofruesi juaj i mbrojtjes DDoS. Ai gjithashtu mund të rrjedhë NetFlow dhe, bazuar në të, do t'ju njoftojë për sulmet në drejtimin tuaj.
Gjetjet
Mos kini iluzione - Interneti patjetër do të prishet. Jo gjithçka dhe jo të gjithë do të thyejnë, por 14 mijë incidente në 2017-ën lë të kuptohet se do të ketë incidente.
Detyra juaj është të vini re problemet sa më shpejt që të jetë e mundur. Së paku, jo më vonë se përdoruesi juaj. Jo vetëm që është e rëndësishme të theksohet, mbani gjithmonë një "Plan B" në rezervë. Një plan është një strategji për atë që do të bëni kur gjithçka të prishet.: operatorët rezervë, DC, CDN. Një plan është një listë kontrolli e veçantë kundrejt së cilës kontrolloni punën e gjithçkaje. Plani duhet të funksionojë pa përfshirjen e inxhinierëve të rrjetit, sepse zakonisht ka pak prej tyre dhe duan të flenë.
Kjo eshte e gjitha. Ju uroj disponueshmëri të lartë dhe monitorim të gjelbër.
Javën e ardhshme në Novosibirsk priten rrezet e diellit, ngarkesë e lartë dhe një përqendrim i lartë i zhvilluesve . Në Siberi, parashikohet një front raportesh mbi monitorimin, aksesueshmërinë dhe testimin, sigurinë dhe menaxhimin. Priten reshje në formën e shënimeve të shkarravitura, rrjetëzimit, fotografive dhe postimeve në rrjetet sociale. Rekomandojmë shtyrjen e të gjitha aktiviteteve më 24 dhe 25 qershor dhe . Ju presim në Siberi!
Burimi: www.habr.com