Интернет як сохтори қавӣ, мустақил ва вайроннашаванда ба назар мерасад. Дар назария, ин шабака ба қадри кофӣ қавӣ аст, ки аз таркиши ҳастаӣ наҷот ёбад. Дар асл, Интернет метавонад як роутери хурдро тарк кунад. Ҳама аз он сабаб, ки Интернет як тӯдаи зиддиятҳо, осебпазириҳо, хатогиҳо ва видеоҳо дар бораи гурбаҳо мебошад. Пойгоҳи интернет, BGP, бо мушкилот пур аст. Аҷиб аст, ки ӯ ҳанӯз ҳам нафас мекашад. Илова ба хатогиҳо дар худи Интернет, он инчунин аз ҷониби ҳама ва гуногун вайрон карда мешавад: провайдерҳои бузурги интернетӣ, корпоратсияҳо, давлатҳо ва ҳамлаҳои DDoS. Бо он чӣ бояд кард ва бо он чӣ гуна бояд зиндагӣ кард?
Ҷавобашро медонад Алексей Учакин (Шаб_Мор) роҳбари як гурӯҳи муҳандисони шабака дар IQ Option мебошад. Вазифаи асосии он дастрасии платформа барои корбарон мебошад. Дар стенограммаи маърузаи Алексей дар бораи Saint HighLoad++ 2019 Биёед дар бораи BGP, ҳамлаҳои DDOS, коммутаторҳои интернет, хатогиҳои провайдерҳо, ғайримарказизатсия ва ҳолатҳое, ки роутери хурд Интернетро ба хоб фиристод, сӯҳбат кунем. Дар охир - якчанд маслиҳатҳо дар бораи чӣ гуна наҷот додани ҳамаи ин.
"Покистон бар зидди YouTube". Соли 2008 бачаҳои ҷасур аз Покистон тасмим гирифтанд, ки YouTube-ро масдуд кунанд. Ин корро чунон хуб карданд, ки нисфи дунё бе гурба монд.
"Забти префиксҳои VISA, MasterCard ва Symantec аз ҷониби Ростелеком". Дар соли 2017, Ростелеком иштибоҳан ба эълони префиксҳои VISA, MasterCard ва Symantec шурӯъ кард. Дар натиҷа, трафики молиявӣ тавассути каналҳое, ки аз ҷониби провайдер назорат карда мешаванд, равона карда шуд. Ихроҷ дер давом накард, аммо барои ширкатҳои молиявӣ ногувор буд.
Google против Ҷопон. Дар моҳи августи соли 2017, Google ба эълони префиксҳои провайдерҳои асосии Ҷопон NTT ва KDDI дар баъзе пайвандҳои худ оғоз кард. Трафик ба Google ҳамчун транзит фиристода шуд, эҳтимолан хатогӣ. Азбаски Google провайдер нест ва ба трафики транзитӣ иҷозат намедиҳад, қисми зиёди Ҷопон бе интернет монданд.
"DV LINK префиксҳои Google, Apple, Facebook, Microsoft-ро сабт кардааст". Инчунин дар соли 2017 провайдери русии DV LINK бо ягон сабаб ба эълони шабакаҳои Google, Apple, Facebook, Microsoft ва баъзе дигар бозигарони асосӣ шурӯъ кард.
"eNet аз ИМА префиксҳои AWS Route53 ва MyEtherwallet -ро забт кардааст". Дар соли 2018 провайдери Огайо ё яке аз муштариёни он шабакаҳои ҳамёни криптографии Amazon Route53 ва MyEtherwallet -ро эълон карданд. Ҳамла бомуваффақият анҷом ёфт: ҳатто сарфи назар аз шаҳодатномаи худ имзошуда, огоҳӣ дар бораи он ба корбар ҳангоми ворид шудан ба вебсайти MyEtherwallet пайдо шуд, ҳамёнҳои зиёде рабуда шуданд ва як қисми криптовалют дуздида шуд.
Танҳо дар соли 2017 беш аз 14 000 чунин ҳодиса рух додааст! Шабака то ҳол ғайримарказӣ аст, бинобар ин на ҳама чиз ва на ҳама вайрон мешаванд. Аммо ҳазорҳо ҳодисаҳо мавҷуданд, ки ҳама ба протоколи BGP марбутанд, ки ба Интернет қудрат медиҳанд.
BGP ва мушкилоти он
Протокол BGP - Протоколи дарвозаи сарҳадӣ, бори аввал соли 1989 аз ҷониби ду муҳандисони IBM ва Cisco Systems дар се "салфетка" - варақи А4 тавсиф карда шудааст. Инхо "салфеткаҳо" то ҳол дар қароргоҳи Cisco Systems дар Сан-Франсиско ҳамчун ёдгории ҷаҳони шабакавӣ нишастааст.
Протокол ба таъсири мутақобилаи системаҳои автономӣ асос ёфтааст - Системаҳои автономӣ ё кӯтоҳ AS. Системаи худмухтор танҳо як ID аст, ки шабакаҳои IP дар феҳристи давлатӣ ба он таъин карда мешаванд. Роутер бо ин ID метавонад ин шабакаҳоро ба ҷаҳон эълон кунад. Мувофиқи он, ҳама гуна масир дар Интернет метавонад ҳамчун вектор муаррифӣ карда шавад, ки он номида мешавад AS роҳ. Вектор аз рақамҳои системаҳои мустақил иборат аст, ки барои расидан ба шабакаи таъинот бояд убур карда шаванд.
Масалан, сети як катор системахои автономй мавчуд аст. Шумо бояд аз системаи AS65001 ба системаи AS65003 гузаред. Роҳ аз як система бо AS Path дар диаграмма нишон дода шудааст. Он аз ду системаи автономӣ иборат аст: 65002 ва 65003. Барои ҳар як суроғаи таъинот вектори AS Path мавҷуд аст, ки аз рақамҳои системаҳои автономие иборат аст, ки мо бояд аз онҳо гузарем.
Ҷамъиятҳо гузаранда нестанд. Ҳамеша шартнома барои ду нафар аст ва ин камбудии онҳост. Мо наметавонем ягон ҷомеаро таъин кунем, ба истиснои як ҷомеа, ки аз ҷониби ҳама қабул карда мешавад. Мо наметавонем итминон дошта бошем, ки ҳама ин ҷомеаро қабул мекунанд ва онро дуруст шарҳ медиҳанд. Аз ин рӯ, дар беҳтарин ҳолат, агар шумо бо uplink худ розӣ бошед, ӯ дарк хоҳад кард, ки шумо аз ӯ дар робита бо ҷомеа чӣ мехоҳед. Аммо ҳамсояатон шояд нафаҳмад, ё оператор танҳо тегатонро аз нав барқарор мекунад ва шумо он чизеро, ки мехостед, ба даст намеоред.
RPKI + ROA танҳо як қисми ками мушкилотро ҳал мекунад. RPKI аст Инфраструктураи захираҳои калиди ҷамъиятӣ - чаҳорчӯбаи махсус барои имзои иттилооти масир. Ин як фикри хубест, ки LIRs ва мизоҷони онҳоро маҷбур созанд, ки пойгоҳи додаҳои фазои суроғаҳои муосирро нигоҳ доранд. Аммо дар он як мушкилот вуҷуд дорад.
RPKI инчунин системаи иерархивии калидҳои оммавӣ мебошад. IANA дорои калидест, ки аз он калидҳои RIR тавлид мешаванд ва аз кадом калидҳои LIR тавлид мешаванд? ки бо он онҳо фазои суроғаи худро бо истифода аз ROA - Autorisations Route Origin имзо мекунанд:
— Ман шуморо бовар мекунонам, ки ин префикс аз номи ин вилояти автономй эълон карда мешавад.
Илова ба ROA, объектҳои дигар вуҷуд доранд, аммо дар бораи онҳо баъдтар. Ин як чизи хуб ва муфид ба назар мерасад. Аммо он моро аз ихроҷ аз калимаи "тамом" муҳофизат намекунад ва на ҳама мушкилотро бо рабудани префикс ҳал мекунад. Аз ин рӯ, бозигарон ба татбиқи он шитоб намекунанд. Гарчанде ки аллакай аз бозигарони калон ба монанди AT&T ва ширкатҳои бузурги IX кафолат дода шудааст, ки префиксҳо бо сабти ROA беэътибор партофта мешаванд.
Шояд онҳо ин корро кунанд, аммо ҳоло мо шумораи зиёди префиксҳо дорем, ки ба ҳеҷ ваҷҳ имзо нашудаанд. Аз як тараф, маълум нест, ки оё онҳо дуруст эълон шудаанд. Аз тарафи дигар, мо онҳоро бо нобаёнӣ партофта наметавонем, зеро мо боварӣ надорем, ки ин дуруст аст ё не.
Боз чӣ ҳаст?
BGPSec. Ин як чизи аҷибест, ки академикҳо барои шабакаи пониҳои гулобӣ пайдо кардаанд. Гуфтанд:
- Мо RPKI + ROA дорем - механизми санҷиши имзоҳои фазои суроғавӣ. Биёед атрибути алоҳидаи BGP эҷод кунем ва онро BGPSec Path номида бошем. Ҳар як роутер ба эълонҳое, ки ба ҳамсоягонаш эълон мекунад, бо имзои худ имзо мегузорад. Бо ин роҳ мо аз силсилаи эълонҳои имзошуда роҳи боэътимод мегирем ва метавонем онро тафтиш кунем.
Дар назария хуб бошад хам, вале дар амал мушкилихо зиёданд. BGPSec бисёр механикаҳои мавҷудаи BGP-ро барои интихоби хопҳои навбатӣ ва идоракунии трафики воридотӣ/берунӣ мустақиман дар роутер мешиканад. BGPSec то он даме, ки 95% тамоми бозор онро амалӣ накунад, кор намекунад, ки ин худ як утопия аст.
BGPSec мушкилоти бузурги иҷроиш дорад. Дар сахтафзори ҷорӣ суръати тафтиши эълонҳо тақрибан 50 префикс дар як сонияро ташкил медиҳад. Барои муқоиса: ҷадвали ҳозираи интернетии 700 000 префикс пас аз 5 соат бор карда мешавад, ки дар давоми он боз 10 маротиба дигар мешавад.
Биёед ба мисоли провайдер назар андозем CenturyLink. Он сеюмин провайдери калонтарини ИМА мебошад, ки ба 37 иёлот хизмат мерасонад ва дорои 15 маркази маълумот мебошад.
Дар соли 2018 TeleGeography як пажӯҳишеро нашр кард, ки беш аз нисфи трафики Интернет дигар на Интернет, балки асоси CDN-и бозигарони калон аст. Ин трафик аст, ки ба Интернет марбут аст, аммо ин дигар шабакае нест, ки мо дар бораи он сӯҳбат мекардем.
Microsoft шабакаи худро дорад, Google шабакаи худро дорад ва онҳо бо ҳамдигар каме мувофиқат мекунанд. Трафике, ки дар ҷое дар ИМА пайдо шудааст, тавассути каналҳои Microsoft тавассути уқёнус ба Аврупо дар ягон ҷо дар CDN мегузарад, сипас тавассути CDN ё IX он бо провайдери шумо пайваст мешавад ва ба роутери шумо мерасад.
Гайримарказизатсия аз байн меравад.
Ин қудрати интернет, ки ба он дар натиҷаи таркиши ҳастаӣ наҷот хоҳад дод, аз даст меравад. Ҷойҳои тамаркузи истифодабарандагон ва трафик пайдо мешаванд. Агар шарти Google Cloud афтад, якбора қурбониҳои зиёде хоҳанд буд. Мо инро қисман вақте ҳис кардем, ки Роскомнадзор AWS-ро масдуд кард. Ва мисоли CenturyLink нишон медиҳад, ки ҳатто чизҳои хурд барои ин кофӣ мебошанд.
Пештар на ҳама ва на ҳама мешикастанд. Дар оянда, мо метавонем ба хулосае ояд, ки бо таъсир расонидан ба як бозигари асосӣ, мо метавонем бисёр чизҳоро, дар бисёр ҷойҳо ва дар бисёр одамон вайрон кунем.
Иёлоти
Давлатҳо дар навбат ҳастанд ва ин одатан бо онҳо рӯй медиҳад.
Дар ин чо Роскомнадзорамон хатто пешрав хам нест. Таҷрибаи шабеҳи қатъи интернет дар Эрон, Ҳиндустон ва Покистон вуҷуд дорад. Дар Англия лоиҳаи қонун дар бораи имкони қатъи интернет вуҷуд дорад.
Ҳар як давлати бузург мехоҳад, ки барои хомӯш кардани интернет ё қисман ё қисман калид бигирад: Twitter, Telegram, Facebook. Ин на он аст, ки онҳо намефаҳманд, ки онҳо ҳеҷ гоҳ муваффақ намешаванд, аммо онҳо дар ҳақиқат инро мехоҳанд. Гузариш, чун қоида, бо ҳадафҳои сиёсӣ истифода мешавад - барои аз байн бурдани рақибони сиёсӣ, ё интихобот наздик аст, ё ҳакерҳои русӣ боз чизеро шикастанд.
Ҳамлаҳои DDoS
Ман аз рафиқони худ аз Qrator Labs нон намегирам, онҳо аз ман беҳтар кор мекунанд. Онҳо доранд ҳисоботи солона дар бораи устувории Интернет. Ва ин аст он чизе ки онҳо дар гузориши соли 2018 навиштаанд.
Давомнокии миёнаи ҳамлаҳои DDoS то 2.5 соат коҳиш меёбад. Ҳамлагарон инчунин ба ҳисоб кардани пул шурӯъ мекунанд ва агар захира фавран дастрас набошад, онҳо зуд онро танҳо мегузоранд.
Векторҳои нави ҳамла ба вуҷуд меоянд ва ҳамлаҳои кӯҳна шиддат мегиранд. Протоколҳои наве пайдо мешаванд, ки ба тақвият ҳассосанд ва ҳамлаҳои нав ба протоколҳои мавҷуда, бахусус TLS ва монанди инҳо пайдо мешаванд.
Аксари трафик аз дастгоҳҳои мобилӣ аст. Ҳамзамон трафики интернет ба муштариёни мобилӣ мегузарад. Ҳам ҳамлагарон ва ҳам онҳое, ки дифоъ мекунанд, бояд бо ин кор карда тавонанд.
Ҷавоби универсалӣ вуҷуд надорад. Санҷед, ки корбар аз куҷо меояд. Агар корбарон дар Русия бошанд, аз Русия тафтиш кунед, аммо худро бо он маҳдуд накунед. Агар корбарони шумо дар минтақаҳои гуногун зиндагӣ кунанд, аз ин минтақаҳо санҷед. Аммо беҳтар аз тамоми ҷаҳон.
Мониторинг: чиро бояд тафтиш кард?
Ман се роҳро пайдо кардам. Агар шумо бештар донед, дар шарҳҳо нависед.
Атласи RIPE.
Мониторинги тиҷоратӣ.
Шабакаи мошинҳои виртуалии шумо.
Биёед дар бораи ҳар яки онҳо сӯҳбат кунем.
Атласи RIPE - Ин як қуттии хурд аст. Барои онхое, ки «Инспектор»-и ватаниро мешиносанд — ин як куттй, вале бо стикери дигар.
RIPE Atlas як барномаи ройгон аст. Шумо ба қайд гирифта, роутерро тавассути почта қабул мекунед ва онро ба шабака пайваст мекунед. Барои он, ки ягон каси дигар намунаи шуморо истифода мебарад, шумо якчанд кредит мегиред. Бо ин қарзҳо шумо метавонед худатон каме тадқиқот гузаронед. Шумо метавонед бо роҳҳои гуногун санҷед: ping, traceroute, санҷиши сертификатҳо. Фарогирии он хеле калон аст, гиреҳҳои зиёде мавҷуданд. Аммо нозукиҳо вуҷуд доранд.
Мониторинги шумо ба таҳияи маҳсулоти нармафзор ва паҳншуда табдил меёбад. Шумо провайдери инфрасохторро меҷӯед, бубинед, ки чӣ гуна онро ҷойгир кардан ва назорат кардан мумкин аст - мониторинг бояд назорат карда шавад, дуруст? Ва дастгирӣ низ лозим аст. Пеш аз он ки ин корро кунед, даҳ маротиба фикр кунед. Мумкин аст, ки ба касе пул додан осонтар бошад, то ин корро бароятон кунад.
Мониторинги аномалияҳои BGP ва ҳамлаҳои DDoS
Дар ин чо дар асоси захирахои мавчуда хама чиз боз хам оддйтар аст. Аномалияҳои BGP бо истифода аз хидматҳои махсус ба монанди QRadar, BGPmon муайян карда мешаванд. Онҳо ҷадвали пурраи намоишро аз якчанд операторҳо қабул мекунанд. Дар асоси он чизе, ки аз операторҳои гуногун мебинанд, онҳо метавонанд аномалияҳоро ошкор кунанд, пурқувваткунандаҳоро ҷустуҷӯ кунанд ва ғайра. Бақайдгирӣ одатан ройгон аст - шумо рақами телефони худро ворид мекунед, ба огоҳиҳои почтаи электронӣ обуна мешавед ва хидмат шуморо аз мушкилоти шумо огоҳ мекунад.
Мониторинги ҳамлаҳои DDoS низ оддӣ аст. Одатан ин аст Дар асоси NetFlow ва гузоришҳо. Системаҳои махсус вуҷуд доранд, ба монанди FastNetMon, модулҳо барои Сплук. Ҳамчун чораи охирин, провайдери муҳофизати DDoS-и шумо вуҷуд дорад. Он инчунин метавонад NetFlow-ро фош кунад ва дар асоси он, он шуморо аз ҳамлаҳо дар самти шумо огоҳ мекунад.
натиҷаҳои
Ҳеҷ гуна хаёл накунед - Интернет бешубҳа мешиканад. На ҳама чиз ва на ҳама мешиканад, аммо 14 ҳазор ҳодиса дар соли 2017 ишора мекунад, ки ҳодисаҳо рух медиҳанд.