อินเทอร์เน็ตดูเหมือนจะมีโครงสร้างที่แข็งแกร่ง เป็นอิสระ และไม่อาจทำลายได้ ตามทฤษฎีแล้ว เครือข่ายนี้แข็งแกร่งพอที่จะรอดจากการระเบิดของนิวเคลียร์ได้ ในความเป็นจริงอินเทอร์เน็ตสามารถปล่อยเราเตอร์ขนาดเล็กตัวหนึ่งได้ ทั้งหมดนี้เป็นเพราะอินเทอร์เน็ตเต็มไปด้วยความขัดแย้ง ความเปราะบาง ข้อผิดพลาด และวิดีโอเกี่ยวกับแมว แกนหลักของอินเทอร์เน็ต BGP เต็มไปด้วยปัญหา น่าแปลกใจที่เขายังมีลมหายใจอยู่ นอกเหนือจากข้อผิดพลาดในอินเทอร์เน็ตแล้ว ยังถูกทำลายโดยทุกคน: ผู้ให้บริการอินเทอร์เน็ตรายใหญ่ องค์กร รัฐ และการโจมตี DDoS จะทำอย่างไรกับมันและจะอยู่กับมันได้อย่างไร?
รู้คำตอบ อเล็กเซย์ อูชาคิน () เป็นผู้นำทีมวิศวกรเครือข่ายที่ IQ Option หน้าที่หลักคือการเข้าถึงแพลตฟอร์มสำหรับผู้ใช้ ในบันทึกรายงานของ Alexey เรามาพูดถึงการโจมตี BGP, DDOS, สวิตช์อินเทอร์เน็ต, ข้อผิดพลาดของผู้ให้บริการ, การกระจายอำนาจ และกรณีที่เราเตอร์ขนาดเล็กส่งอินเทอร์เน็ตเข้าสู่โหมดสลีป ในตอนท้าย - เคล็ดลับสองสามข้อเกี่ยวกับวิธีการเอาตัวรอดทั้งหมดนี้
วันที่อินเตอร์เน็ตล่ม
ฉันจะยกตัวอย่างเหตุการณ์บางส่วนที่การเชื่อมต่ออินเทอร์เน็ตขัดข้อง นี่จะเพียงพอสำหรับภาพที่สมบูรณ์
"เหตุการณ์ AS7007". ครั้งแรกที่อินเทอร์เน็ตขัดข้องคือในเดือนเมษายน พ.ศ. 1997 มีข้อบกพร่องในซอฟต์แวร์ของเราเตอร์ตัวหนึ่งจากระบบอัตโนมัติ 7007 เมื่อถึงจุดหนึ่ง เราเตอร์ได้ประกาศตารางเส้นทางภายในไปยังเพื่อนบ้าน และส่งเครือข่ายครึ่งหนึ่งเข้าไปในหลุมดำ
"ปากีสถานต่อต้านยูทูบ". ในปี 2008 ผู้กล้าจากปากีสถานตัดสินใจบล็อก YouTube พวกเขาทำได้ดีมากจนคนครึ่งโลกเหลืออยู่โดยไม่มีแมว
“การจับภาพคำนำหน้า VISA, MasterCard และ Symantec โดย Rostelecom”. ในปี 2017 Rostelecom เริ่มประกาศคำนำหน้า VISA, MasterCard และ Symantec โดยไม่ได้ตั้งใจ เป็นผลให้การรับส่งข้อมูลทางการเงินถูกส่งผ่านช่องทางที่ควบคุมโดยผู้ให้บริการ การรั่วไหลเกิดขึ้นได้ไม่นาน แต่ก็ไม่เป็นที่พอใจสำหรับบริษัททางการเงิน
กูเกิล vs ญี่ปุ่น. ในเดือนสิงหาคม 2017 Google เริ่มประกาศคำนำหน้าของผู้ให้บริการรายใหญ่ของญี่ปุ่น NTT และ KDDI ในอัปลิงก์บางส่วน การจราจรถูกส่งไปยัง Google ในรูปแบบการขนส่งสาธารณะ ซึ่งน่าจะเกิดจากความผิดพลาด เนื่องจาก Google ไม่ใช่ผู้ให้บริการและไม่อนุญาติให้มีการขนส่งสาธารณะ พื้นที่สำคัญของญี่ปุ่นจึงไม่มีอินเทอร์เน็ต
“DV LINK บันทึกคำนำหน้าของ Google, Apple, Facebook, Microsoft”. นอกจากนี้ในปี 2017 ผู้ให้บริการรัสเซีย DV LINK เริ่มประกาศเครือข่ายของ Google, Apple, Facebook, Microsoft และผู้เล่นหลักอื่น ๆ ด้วยเหตุผลบางประการ
“eNet จากสหรัฐอเมริกาได้บันทึกคำนำหน้า AWS Route53 และ MyEtherwallet”. ในปี 2018 ผู้ให้บริการในรัฐโอไฮโอหรือลูกค้ารายหนึ่งได้ประกาศเครือข่ายกระเป๋าเงินดิจิทัลของ Amazon Route53 และ MyEtherwallet การโจมตีประสบความสำเร็จ: แม้จะมีใบรับรองที่ลงนามด้วยตนเอง แต่มีคำเตือนเกี่ยวกับสิ่งที่ปรากฏต่อผู้ใช้เมื่อเข้าสู่เว็บไซต์ MyEtherwallet กระเป๋าเงินจำนวนมากถูกแย่งชิงและส่วนหนึ่งของสกุลเงินดิจิทัลถูกขโมย
มีเหตุการณ์ดังกล่าวมากกว่า 2017 เหตุการณ์ในปี 14 เพียงปีเดียว! เครือข่ายยังคงมีการกระจายอำนาจ ดังนั้นจึงไม่ใช่ทุกอย่างและไม่ใช่ทุกคนจะพัง แต่มีเหตุการณ์หลายพันเหตุการณ์ ทั้งหมดเกี่ยวข้องกับโปรโตคอล BGP ที่ขับเคลื่อนอินเทอร์เน็ต
BGP และปัญหาของมัน
มาตรการ BGP - โปรโตคอลเกตเวย์ชายแดนได้รับการอธิบายครั้งแรกในปี 1989 โดยวิศวกรสองคนจาก IBM และ Cisco Systems บน "ผ้าเช็ดปาก" สามแผ่น - กระดาษ A4 เหล่านี้ ยังคงนั่งอยู่ที่สำนักงานใหญ่ของ Cisco Systems ในซานฟรานซิสโกเพื่อเป็นอนุสรณ์แห่งโลกระบบเครือข่าย
โปรโตคอลจะขึ้นอยู่กับปฏิสัมพันธ์ของระบบอัตโนมัติ - ระบบอัตโนมัติหรือ AS เรียกสั้น ๆ ระบบอัตโนมัติเป็นเพียง ID ที่กำหนดเครือข่าย IP ไว้ในทะเบียนสาธารณะ เราเตอร์ที่มี ID นี้สามารถประกาศเครือข่ายเหล่านี้ให้โลกได้รับรู้ ดังนั้นเส้นทางใด ๆ บนอินเทอร์เน็ตจึงสามารถแสดงเป็นเวกเตอร์ได้ซึ่งเรียกว่า เป็นเส้นทาง. เวกเตอร์ประกอบด้วยจำนวนระบบอัตโนมัติที่ต้องเดินทางเพื่อไปยังเครือข่ายปลายทาง
ตัวอย่างเช่น มีเครือข่ายของระบบอัตโนมัติจำนวนหนึ่ง คุณต้องได้รับจากระบบ AS65001 ไปยังระบบ AS65003 เส้นทางจากระบบหนึ่งแสดงด้วยเส้นทาง AS ในแผนภาพ ประกอบด้วยระบบอัตโนมัติสองระบบ: 65002 และ 65003 สำหรับที่อยู่ปลายทางแต่ละแห่งจะมีเวกเตอร์ AS Path ซึ่งประกอบด้วยจำนวนระบบอัตโนมัติที่เราต้องผ่าน
แล้วปัญหาของ BGP คืออะไร?
BGP เป็นโปรโตคอลที่เชื่อถือได้
โปรโตคอล BGP นั้นอิงตามความน่าเชื่อถือ ซึ่งหมายความว่าเราเชื่อใจเพื่อนบ้านของเราเป็นค่าเริ่มต้น นี่เป็นคุณลักษณะของโปรโตคอลจำนวนมากที่พัฒนาขึ้นในช่วงเริ่มต้นของอินเทอร์เน็ต เรามาทำความเข้าใจกันว่า "ความไว้วางใจ" หมายถึงอะไร
ไม่มีการรับรองความถูกต้องของเพื่อนบ้าน. อย่างเป็นทางการก็มี MD5 แต่ MD5 ในปี 2019 ก็แค่นั้นแหละ...
ไม่มีการกรอง. BGP มีตัวกรองและมีการอธิบายไว้ แต่ไม่ได้ใช้หรือใช้อย่างไม่ถูกต้อง ฉันจะอธิบายว่าทำไมในภายหลัง
การตั้งพื้นที่ใกล้เคียงทำได้ง่ายมาก. การตั้งค่าพื้นที่ใกล้เคียงในโปรโตคอล BGP บนเราเตอร์เกือบทุกตัวนั้นเป็นเพียงการกำหนดค่าสองสามบรรทัด
ไม่จำเป็นต้องมีสิทธิ์การจัดการ BGP. คุณไม่จำเป็นต้องสอบเพื่อพิสูจน์คุณสมบัติของคุณ จะไม่มีใครพรากสิทธิ์ของคุณในการกำหนดค่า BGP ในขณะที่เมา
ปัญหาหลักสองประการ
คำนำหน้าจี้. การหักหลังคำนำหน้าคือการโฆษณาเครือข่ายที่ไม่ได้เป็นของคุณ เช่นเดียวกับกรณีของ MyEtherwallet เราใช้คำนำหน้าบางส่วน ตกลงกับผู้ให้บริการหรือแฮ็กมัน และเราก็ประกาศเครือข่ายเหล่านี้ผ่านผู้ให้บริการ
เส้นทางรั่ว. การรั่วไหลมีความซับซ้อนมากขึ้นเล็กน้อย การรั่วไหลคือการเปลี่ยนแปลงใน AS Path. อย่างดีที่สุด การเปลี่ยนแปลงจะส่งผลให้เกิดความล่าช้ามากขึ้น เนื่องจากคุณต้องเดินทางในเส้นทางที่ยาวกว่าหรือบนเส้นทางที่มีความจุน้อยกว่า อย่างเลวร้ายที่สุด กรณีของ Google และญี่ปุ่นจะเกิดขึ้นซ้ำอีก
Google เองไม่ใช่ผู้ให้บริการหรือระบบขนส่งอัตโนมัติ แต่เมื่อเขาประกาศเครือข่ายของผู้ให้บริการชาวญี่ปุ่นแก่ผู้ให้บริการของเขา การรับส่งข้อมูลผ่าน Google ผ่าน AS Path ถูกมองว่ามีลำดับความสำคัญสูงกว่า การเข้าชมไปที่นั่นและลดลงเพียงเพราะการตั้งค่าเส้นทางภายใน Google มีความซับซ้อนมากกว่าตัวกรองที่ชายแดน
เหตุใดตัวกรองจึงไม่ทำงาน
ไม่มีใครสนใจ. นี่คือเหตุผลหลัก - ไม่มีใครสนใจ ผู้ดูแลระบบของผู้ให้บริการขนาดเล็กหรือบริษัทที่เชื่อมต่อกับผู้ให้บริการผ่าน BGP ได้นำ MikroTik กำหนดค่า BGP ไว้ และไม่รู้ด้วยซ้ำว่าสามารถกำหนดค่าตัวกรองที่นั่นได้
ข้อผิดพลาดในการกำหนดค่า. พวกเขาทำบางอย่างผิดพลาด ทำผิดพลาดในการสวมหน้ากาก ใส่ตาข่ายผิด และตอนนี้ก็มีข้อผิดพลาดอีกครั้ง
ไม่มีความเป็นไปได้ทางเทคนิค. ตัวอย่างเช่น ผู้ให้บริการโทรคมนาคมมีลูกค้าจำนวนมาก สิ่งที่ชาญฉลาดที่ต้องทำคืออัปเดตตัวกรองสำหรับลูกค้าแต่ละรายโดยอัตโนมัติ - เพื่อตรวจสอบว่าเขามีเครือข่ายใหม่ ว่าเขาได้เช่าเครือข่ายของเขาให้กับใครบางคน การติดตามสิ่งนี้เป็นเรื่องยากและยากยิ่งกว่าด้วยมือของคุณ ดังนั้นพวกเขาเพียงแค่ติดตั้งตัวกรองแบบผ่อนคลายหรือไม่ติดตั้งตัวกรองเลย
ข้อยกเว้น. มีข้อยกเว้นสำหรับลูกค้าที่รักและลูกค้ารายใหญ่ โดยเฉพาะอย่างยิ่งในกรณีของอินเทอร์เฟซระหว่างโอเปอเรเตอร์ ตัวอย่างเช่น TransTeleCom และ Rostelecom มีเครือข่ายจำนวนมากและมีอินเทอร์เฟซระหว่างกัน หากข้อต่อหลุดออกไปจะไม่เป็นผลดีต่อใคร ดังนั้น ตัวกรองจึงคลายตัวหรือถอดออกทั้งหมด
ข้อมูลที่ล้าสมัยหรือไม่เกี่ยวข้องใน IRR. ตัวกรองถูกสร้างขึ้นตามข้อมูลที่บันทึกไว้ IRR - รีจิสทรีการกำหนดเส้นทางอินเทอร์เน็ต. สิ่งเหล่านี้คือการลงทะเบียนของผู้รับจดทะเบียนอินเทอร์เน็ตระดับภูมิภาค บ่อยครั้งที่รีจิสทรีมีข้อมูลที่ล้าสมัยหรือไม่เกี่ยวข้อง หรือทั้งสองอย่าง
นายทะเบียนเหล่านี้คือใคร?
ที่อยู่อินเทอร์เน็ตทั้งหมดเป็นขององค์กร IANA - หน่วยงานกำหนดหมายเลขอินเทอร์เน็ต. เมื่อคุณซื้อเครือข่าย IP จากใครบางคน คุณไม่ได้ซื้อที่อยู่ แต่เป็นสิทธิ์ในการใช้ที่อยู่เหล่านั้น ที่อยู่เป็นทรัพยากรที่จับต้องไม่ได้ และตามข้อตกลงร่วมกัน ที่อยู่ทั้งหมดเป็นของ IANA
ระบบทำงานแบบนี้ IANA มอบหมายการจัดการที่อยู่ IP และหมายเลขระบบอัตโนมัติให้กับผู้รับจดทะเบียนระดับภูมิภาคห้าราย พวกเขาออกระบบอัตโนมัติ LIR - นายทะเบียนอินเทอร์เน็ตในพื้นที่. LIR จะจัดสรรที่อยู่ IP ให้กับผู้ใช้ปลายทาง
ข้อเสียของระบบคือผู้รับจดทะเบียนระดับภูมิภาคแต่ละรายจะดูแลรักษาทะเบียนของตนเองด้วยวิธีของตนเอง ทุกคนมีความคิดเห็นของตนเองว่าข้อมูลใดที่ควรมีอยู่ในทะเบียน และใครควรหรือไม่ควรตรวจสอบข้อมูลนั้น ผลที่ได้คือความยุ่งเหยิงที่เรามีตอนนี้
คุณจะต่อสู้กับปัญหาเหล่านี้ได้อย่างไร?
IRR - คุณภาพปานกลาง. IRR ชัดเจน - ทุกอย่างแย่ที่นั่น
ชุมชน BGP. นี่คือคุณลักษณะบางอย่างที่อธิบายไว้ในโปรโตคอล ตัวอย่างเช่น เราสามารถแนบชุมชนพิเศษเข้ากับประกาศของเรา เพื่อไม่ให้เพื่อนบ้านส่งเครือข่ายของเราไปยังเพื่อนบ้านของเขา เมื่อเรามีลิงก์ P2P เราจะแลกเปลี่ยนเฉพาะเครือข่ายของเราเท่านั้น เพื่อป้องกันไม่ให้เส้นทางไปเครือข่ายอื่นโดยไม่ได้ตั้งใจ เราจึงเพิ่มชุมชน
ชุมชนไม่ใช่สกรรมกริยา. มันเป็นสัญญาสำหรับสองคนเสมอ และนี่คือข้อเสียเปรียบของพวกเขา เราไม่สามารถมอบหมายชุมชนใดๆ ได้ ยกเว้นชุมชนหนึ่งซึ่งทุกคนยอมรับโดยค่าเริ่มต้น เราไม่สามารถแน่ใจได้ว่าทุกคนจะยอมรับชุมชนนี้และตีความอย่างถูกต้อง ดังนั้นในกรณีที่ดีที่สุด หากคุณเห็นด้วยกับอัปลิงค์ของคุณ เขาจะเข้าใจว่าคุณต้องการอะไรจากเขาในแง่ของชุมชน แต่เพื่อนบ้านของคุณอาจไม่เข้าใจ หรือเจ้าหน้าที่จะรีเซ็ตแท็กของคุณ และคุณจะไม่บรรลุสิ่งที่คุณต้องการ
RPKI + ROA แก้ปัญหาได้เพียงส่วนเล็กๆ เท่านั้น. RPKI คือ โครงสร้างพื้นฐานคีย์สาธารณะของทรัพยากร — กรอบงานพิเศษสำหรับการลงนามข้อมูลเส้นทาง เป็นความคิดที่ดีที่จะบังคับให้ LIR และไคลเอนต์ดูแลรักษาฐานข้อมูลพื้นที่ที่อยู่ที่ทันสมัย แต่มีปัญหาหนึ่งกับมัน
RPKI ยังเป็นระบบคีย์สาธารณะแบบมีลำดับชั้นอีกด้วย IANA มีคีย์ที่ใช้สร้างคีย์ RIR และคีย์ LIR ใดที่ถูกสร้างขึ้น โดยที่พวกเขาลงนามในพื้นที่ที่อยู่โดยใช้ ROA - การอนุญาตแหล่งกำเนิดเส้นทาง:
— ฉันรับรองกับคุณว่าคำนำหน้านี้จะประกาศในนามของเขตปกครองตนเองนี้
นอกจาก ROA แล้ว ยังมีวัตถุอื่นๆ แต่จะเพิ่มเติมเกี่ยวกับสิ่งเหล่านั้นในภายหลัง ดูเหมือนเป็นสิ่งที่ดีและมีประโยชน์ แต่มันไม่ได้ป้องกันเราจากการรั่วไหลของคำว่า "เลย" และไม่ได้แก้ปัญหาทั้งหมดเกี่ยวกับการแย่งชิงคำนำหน้า ดังนั้นผู้เล่นจึงไม่รีบร้อนที่จะนำไปใช้ แม้ว่าจะมีการรับรองจากผู้เล่นรายใหญ่ เช่น AT&T และบริษัท IX ขนาดใหญ่ที่นำหน้าด้วยบันทึก ROA ที่ไม่ถูกต้องจะถูกยกเลิก
บางทีพวกเขาอาจจะทำเช่นนี้ แต่ตอนนี้เรามีคำนำหน้าจำนวนมากที่ไม่ได้ลงนาม แต่อย่างใด ในด้านหนึ่ง ยังไม่ชัดเจนว่ามีการประกาศอย่างถูกต้องหรือไม่ ในทางกลับกัน เราไม่สามารถละทิ้งสิ่งเหล่านี้โดยค่าเริ่มต้นได้ เนื่องจากเราไม่แน่ใจว่าสิ่งนี้ถูกต้องหรือไม่
มีอะไรอีกบ้าง?
BGPSec. นี่เป็นสิ่งที่ยอดเยี่ยมที่นักวิชาการคิดขึ้นมาสำหรับเครือข่ายม้าสีชมพู พวกเขาพูดว่า:
- เรามี RPKI + ROA - กลไกในการตรวจสอบลายเซ็นพื้นที่ที่อยู่ มาสร้างแอตทริบิวต์ BGP แยกต่างหากและเรียกมันว่า BGPSec Path เราเตอร์แต่ละตัวจะลงนามในประกาศที่ประกาศแก่เพื่อนบ้านด้วยลายเซ็นของตนเอง วิธีนี้เราจะได้รับเส้นทางที่เชื่อถือได้จากห่วงโซ่การประกาศที่ลงนามและจะสามารถตรวจสอบได้
ดีในทางทฤษฎี แต่ในทางปฏิบัติมีปัญหามากมาย BGPSec ทำลายกลไก BGP ที่มีอยู่มากมายสำหรับการเลือก next-hops และจัดการการรับส่งข้อมูลขาเข้า/ขาออกโดยตรงบนเราเตอร์ BGPSec จะไม่ทำงานจนกว่า 95% ของตลาดทั้งหมดจะนำไปใช้ ซึ่งในตัวมันเองคือยูโทเปีย
BGPSec มีปัญหาด้านประสิทธิภาพอย่างมาก บนฮาร์ดแวร์ปัจจุบัน ความเร็วในการตรวจสอบประกาศจะอยู่ที่ประมาณ 50 คำนำหน้าต่อวินาที สำหรับการเปรียบเทียบ: ตารางอินเทอร์เน็ตปัจจุบันที่มีคำนำหน้า 700 รายการจะถูกอัปโหลดใน 000 ชั่วโมง ในระหว่างนั้นจะมีการเปลี่ยนแปลงอีก 5 ครั้ง
นโยบายเปิด BGP (BGP ตามบทบาท). ข้อเสนอใหม่ตามแบบจำลอง เกา-เร็กซ์ฟอร์ด. นี่คือนักวิทยาศาสตร์สองคนที่กำลังค้นคว้า BGP
รุ่น Gao-Rexford มีดังต่อไปนี้ เพื่อให้ง่ายขึ้น เมื่อใช้ BGP มีการโต้ตอบประเภทเล็กๆ น้อยๆ:
- ลูกค้าของผู้ให้บริการ;
- P2P;
- การสื่อสารภายใน เช่น iBGP
ขึ้นอยู่กับบทบาทของเราเตอร์ คุณสามารถกำหนดนโยบายการนำเข้า/ส่งออกบางอย่างตามค่าเริ่มต้นได้แล้ว ผู้ดูแลระบบไม่จำเป็นต้องกำหนดค่ารายการคำนำหน้า ตามบทบาทที่เราเตอร์ตกลงร่วมกันและสามารถตั้งค่าได้ เราได้รับตัวกรองเริ่มต้นบางส่วนแล้ว ปัจจุบันนี้เป็นฉบับร่างที่กำลังหารือกันใน IETF ฉันหวังว่าเร็วๆ นี้ เราจะได้เห็นสิ่งนี้ในรูปแบบของ RFC และการใช้งานบนฮาร์ดแวร์
ผู้ให้บริการอินเทอร์เน็ตรายใหญ่
ลองดูตัวอย่างผู้ให้บริการ CenturyLink. เป็นผู้ให้บริการรายใหญ่อันดับสามของสหรัฐอเมริกา ให้บริการใน 37 รัฐและมีศูนย์ข้อมูล 15 แห่ง
ในเดือนธันวาคม 2018 CenturyLink เข้าสู่ตลาดสหรัฐอเมริกาเป็นเวลา 50 ชั่วโมง ระหว่างที่เกิดเหตุ เกิดปัญหากับการทำงานของตู้เอทีเอ็มใน 911 รัฐ และหมายเลข XNUMX ใช้งานไม่ได้เป็นเวลาหลายชั่วโมงใน XNUMX รัฐ ลอตเตอรีในไอดาโฮถูกทำลายอย่างสิ้นเชิง ขณะนี้เหตุการณ์ดังกล่าวอยู่ระหว่างการสอบสวนโดยคณะกรรมาธิการโทรคมนาคมแห่งสหรัฐอเมริกา
สาเหตุของโศกนาฏกรรมคือการ์ดเครือข่ายหนึ่งใบในศูนย์ข้อมูลแห่งเดียว การ์ดทำงานผิดปกติ ส่งแพ็กเก็ตไม่ถูกต้อง และศูนย์ข้อมูลของผู้ให้บริการทั้ง 15 แห่งล่ม
แนวคิดนี้ใช้ไม่ได้กับผู้ให้บริการรายนี้ "ใหญ่เกินกว่าจะล้ม". ความคิดนี้ไม่ได้ผลเลย คุณสามารถนำผู้เล่นคนสำคัญคนใดก็ได้มาวางเรื่องเล็กๆ น้อยๆ ไว้ด้านบน สหรัฐฯ ยังคงทำผลงานได้ดีในด้านการเชื่อมต่อ ลูกค้าของ CenturyLink ที่มีเงินสำรองเข้ามาใช้บริการเป็นจำนวนมาก จากนั้นผู้ให้บริการทางเลือกก็บ่นว่าลิงก์ของตนมีการโหลดมากเกินไป
หากคาซัคเทเลคอมมีเงื่อนไขล่มทั้งประเทศก็จะไม่มีอินเทอร์เน็ต
บริษัท
เป็นไปได้ว่า Google, Amazon, FaceBook และบริษัทอื่นๆ รองรับอินเทอร์เน็ตใช่ไหม ไม่ พวกเขาก็ทำลายมันเหมือนกัน
ในปี 2017 ที่เมืองเซนต์ปีเตอร์สเบิร์กในการประชุม ENOG13 เจฟฟ์ ฮูสตัน ของ APNIC ส่ง . ข้อความบอกว่าเราคุ้นเคยกับการมีปฏิสัมพันธ์ กระแสเงิน และการรับส่งข้อมูลบนอินเทอร์เน็ตในแนวตั้ง เรามีผู้ให้บริการรายเล็กที่จ่ายค่าเชื่อมต่อกับผู้ให้บริการรายใหญ่ และพวกเขาจ่ายค่าเชื่อมต่อกับระบบขนส่งมวลชนทั่วโลกแล้ว
ตอนนี้เรามีโครงสร้างแนวตั้งแล้ว ทุกอย่างจะเรียบร้อยดี แต่โลกกำลังเปลี่ยนแปลง ผู้เล่นรายใหญ่กำลังสร้างสายเคเบิลข้ามมหาสมุทรเพื่อสร้างกระดูกสันหลังของตนเอง
ข่าวเกี่ยวกับเคเบิล CDN
ในปี 2018 TeleGeography เผยแพร่ผลการศึกษาว่ามากกว่าครึ่งหนึ่งของการรับส่งข้อมูลบนอินเทอร์เน็ตไม่ใช่อินเทอร์เน็ตอีกต่อไป แต่เป็นแกนหลัก CDN ของผู้เล่นรายใหญ่ นี่คือการรับส่งข้อมูลที่เกี่ยวข้องกับอินเทอร์เน็ต แต่นี่ไม่ใช่เครือข่ายที่เรากำลังพูดถึงอีกต่อไป
อินเทอร์เน็ตกำลังแบ่งออกเป็นเครือข่ายขนาดใหญ่ที่เชื่อมต่ออย่างหลวมๆ
Microsoft มีเครือข่ายของตัวเอง Google มีเครือข่ายของตัวเอง และทั้งสองเครือข่ายมีความคาบเกี่ยวกันเล็กน้อย การรับส่งข้อมูลที่มีต้นกำเนิดจากที่ใดที่หนึ่งในสหรัฐอเมริกาจะผ่านช่องทางของ Microsoft ข้ามมหาสมุทรไปยังยุโรปบางแห่งบน CDN จากนั้นผ่าน CDN หรือ IX ที่เชื่อมต่อกับผู้ให้บริการของคุณและเข้าถึงเราเตอร์ของคุณ
การกระจายอำนาจกำลังหายไป
ความเข้มแข็งของอินเทอร์เน็ตซึ่งจะช่วยให้รอดพ้นจากการระเบิดของนิวเคลียร์กำลังสูญหายไป สถานที่ที่ผู้ใช้และการจราจรหนาแน่นปรากฏขึ้น หาก Google Cloud แบบมีเงื่อนไขล้มเหลว จะมีเหยื่อจำนวนมากพร้อมกัน เรารู้สึกได้ส่วนหนึ่งเมื่อ Roskomnadzor บล็อก AWS และตัวอย่างของ CenturyLink แสดงให้เห็นว่าแม้แต่สิ่งเล็กๆ น้อยๆ ก็เพียงพอแล้วสำหรับสิ่งนี้
ก่อนหน้านี้ไม่ใช่ทุกอย่างและไม่ใช่ทุกคนที่พัง ในอนาคตเราอาจสรุปได้ว่าการมีอิทธิพลต่อผู้เล่นหลักเพียงคนเดียวสามารถทำลายสิ่งต่างๆ ได้มากมาย ในหลายสถานที่และในหลาย ๆ คน
กอร์สต้าร์สตีวา
รัฐต่างๆ อยู่ในลำดับถัดไป และนี่คือสิ่งที่มักจะเกิดขึ้นกับพวกเขา
ที่นี่ Roskomnadzor ของเราไม่ได้เป็นผู้บุกเบิกเลยด้วยซ้ำ แนวทางปฏิบัติที่คล้ายกันของการปิดอินเทอร์เน็ตมีอยู่ในอิหร่าน อินเดีย และปากีสถาน ในอังกฤษมีร่างกฎหมายความเป็นไปได้ในการปิดอินเทอร์เน็ต
รัฐใหญ่ๆ ต้องการสวิตช์ปิดอินเทอร์เน็ต ไม่ว่าจะทั้งหมดหรือบางส่วน: Twitter, Telegram, Facebook ไม่ใช่ว่าพวกเขาไม่เข้าใจว่าพวกเขาจะไม่มีวันประสบความสำเร็จ แต่พวกเขาต้องการมันจริงๆ ตามกฎแล้วสวิตช์นี้ใช้เพื่อจุดประสงค์ทางการเมือง - เพื่อกำจัดคู่แข่งทางการเมืองหรือการเลือกตั้งกำลังใกล้เข้ามาหรือแฮกเกอร์ชาวรัสเซียได้ทำลายบางสิ่งอีกครั้ง
การโจมตี DDoS
ฉันจะไม่เอาขนมปังไปจากเพื่อนของฉันจาก Qrator Labs พวกเขาทำได้ดีกว่าฉันมาก พวกเขามี เรื่องความเสถียรของอินเทอร์เน็ต และนี่คือสิ่งที่พวกเขาเขียนไว้ในรายงานปี 2018
ระยะเวลาเฉลี่ยของการโจมตี DDoS ลดลงเหลือ 2.5 ชั่วโมง. ผู้โจมตีก็เริ่มนับเงินด้วย และหากทรัพยากรไม่พร้อมใช้งานทันที พวกเขาก็จะปล่อยมันไว้ตามลำพังอย่างรวดเร็ว
ความรุนแรงของการโจมตีกำลังเพิ่มขึ้น. ในปี 2018 เราเห็นความเร็ว 1.7 Tb/s บนเครือข่าย Akamai และนี่ไม่ใช่ขีดจำกัด
แนวทางการโจมตีรูปแบบใหม่กำลังเกิดขึ้น และรูปแบบการโจมตีแบบเก่าก็ทวีความรุนแรงมากขึ้น. โปรโตคอลใหม่ๆ กำลังเกิดขึ้นและไวต่อการขยายสัญญาณ และการโจมตีใหม่ๆ ก็เกิดขึ้นบนโปรโตคอลที่มีอยู่ โดยเฉพาะ TLS และสิ่งที่คล้ายคลึงกัน
การเข้าชมส่วนใหญ่มาจากอุปกรณ์เคลื่อนที่. ในเวลาเดียวกัน การรับส่งข้อมูลทางอินเทอร์เน็ตเปลี่ยนไปยังไคลเอนต์มือถือ ทั้งผู้ที่โจมตีและผู้ที่ปกป้องจะต้องสามารถรับมือกับสิ่งนี้ได้
คงกระพัน - ไม่. นี่คือแนวคิดหลัก - ไม่มีการป้องกันแบบสากลที่จะป้องกัน DDoS ใดๆ ได้อย่างแน่นอน
ไม่สามารถติดตั้งระบบได้เว้นแต่จะเชื่อมต่อกับอินเทอร์เน็ต
ฉันหวังว่าฉันคงทำให้คุณกลัวมากพอ ตอนนี้เรามาดูกันว่าจะทำอย่างไรกับมัน
จะทำอย่างไร?!
หากคุณมีเวลาว่าง มีความปรารถนา และมีความรู้ภาษาอังกฤษ เข้าร่วมในคณะทำงาน: IETF, RIPE WG เหล่านี้คือรายชื่ออีเมลแบบเปิด สมัครรับรายชื่ออีเมล เข้าร่วมการสนทนา เข้าร่วมการประชุม หากคุณมีสถานะ LIR คุณสามารถลงคะแนนเสียงใน RIPE สำหรับโครงการริเริ่มต่างๆ ได้
สำหรับมนุษย์ปุถุชนนี่คือ การตรวจสอบ. เพื่อให้รู้ว่ามีอะไรเสียหาย
การตรวจสอบ: จะตรวจสอบอะไร?
ปิงปกติและไม่ใช่แค่การตรวจสอบแบบไบนารี่เท่านั้น แต่ยังใช้งานได้หรือไม่ บันทึก RTT ไว้ในประวัติเพื่อให้คุณสามารถดูความผิดปกติได้ในภายหลัง
traceroute. นี่คือโปรแกรมอรรถประโยชน์สำหรับกำหนดเส้นทางข้อมูลบนเครือข่าย TCP/IP ช่วยระบุความผิดปกติและการอุดตัน
ตรวจสอบ HTTP สำหรับ URL ที่กำหนดเองและใบรับรอง TLS จะช่วยตรวจจับการบล็อกหรือการปลอมแปลง DNS สำหรับการโจมตีซึ่งก็คือสิ่งเดียวกัน การบล็อกมักกระทำโดยการปลอมแปลง DNS และเปลี่ยนการรับส่งข้อมูลไปที่เพจต้นขั้ว
หากเป็นไปได้ ให้ตรวจสอบแหล่งที่มาของคุณจากแหล่งต่างๆ ของลูกค้าหากคุณมีใบสมัคร วิธีนี้จะช่วยคุณตรวจจับความผิดปกติในการไฮแจ็ก DNS ซึ่งเป็นสิ่งที่ผู้ให้บริการทำในบางครั้ง
การตรวจสอบ: จะตรวจสอบได้ที่ไหน?
ไม่มีคำตอบที่เป็นสากล ตรวจสอบว่าผู้ใช้มาจากไหน หากผู้ใช้อยู่ในรัสเซีย ให้ตรวจสอบจากรัสเซีย แต่อย่าจำกัดตัวเองอยู่เพียงเท่านั้น หากผู้ใช้ของคุณอาศัยอยู่ในภูมิภาคอื่น ให้ตรวจสอบจากภูมิภาคเหล่านี้ แต่ดีกว่าจากทั่วทุกมุมโลก
การตรวจสอบ: จะตรวจสอบอะไร?
ฉันคิดได้สามวิธี หากคุณรู้เพิ่มเติมเขียนในความคิดเห็น
- RIPE แอตลาส
- การตรวจสอบเชิงพาณิชย์
- เครือข่ายเครื่องเสมือนของคุณเอง
มาพูดถึงแต่ละเรื่องกัน
RIPE แอตลาส - มันเป็นกล่องเล็กมาก สำหรับผู้ที่รู้จัก "สารวัตร" ในประเทศ - นี่เป็นกล่องเดียวกัน แต่มีสติกเกอร์ต่างกัน
RIPE Atlas เป็นโปรแกรมฟรี. คุณลงทะเบียน รับเราเตอร์ทางไปรษณีย์ และเสียบเข้ากับเครือข่าย เนื่องจากมีผู้อื่นใช้ตัวอย่างของคุณ คุณจะได้รับเครดิตบางส่วน ด้วยเงินกู้เหล่านี้ คุณสามารถค้นคว้าข้อมูลได้ด้วยตนเอง คุณสามารถทดสอบได้หลายวิธี: ping, Traceroute, ตรวจสอบใบรับรอง ความครอบคลุมค่อนข้างมาก มีหลายโหนด แต่มีความแตกต่าง
ระบบเครดิตไม่อนุญาตให้สร้างโซลูชันการผลิต. เครดิตจะไม่เพียงพอสำหรับการวิจัยที่กำลังดำเนินอยู่หรือการติดตามเชิงพาณิชย์ หน่วยกิตเพียงพอสำหรับการศึกษาระยะสั้นหรือการตรวจสอบครั้งเดียว บรรทัดฐานรายวันจากตัวอย่างหนึ่งรายการถูกใช้โดยการตรวจสอบ 1-2 ครั้ง
ความครอบคลุมไม่สม่ำเสมอ. เนื่องจากโปรแกรมนี้ให้บริการฟรีทั้งสองทิศทาง ความครอบคลุมจึงดีในยุโรป ในส่วนของยุโรปในรัสเซีย และบางภูมิภาค แต่ถ้าคุณต้องการอินโดนีเซียหรือนิวซีแลนด์ ทุกอย่างจะแย่กว่านั้นมาก - คุณอาจไม่มีตัวอย่าง 50 ตัวอย่างต่อประเทศ
คุณไม่สามารถตรวจสอบ http จากตัวอย่างได้. นี่เป็นเพราะความแตกต่างทางเทคนิค พวกเขาสัญญาว่าจะแก้ไขในเวอร์ชันใหม่ แต่ตอนนี้ไม่สามารถตรวจสอบ http ได้ มีเพียงใบรับรองเท่านั้นที่สามารถตรวจสอบได้ การตรวจสอบ http บางประเภทสามารถทำได้กับอุปกรณ์ RIPE Atlas พิเศษที่เรียกว่า Anchor เท่านั้น
วิธีที่สองคือการติดตามผลเชิงพาณิชย์. ทุกอย่างดีกับเขาคุณกำลังจ่ายเงินใช่ไหม? พวกเขาสัญญากับคุณว่ามีจุดตรวจสอบหลายสิบหรือหลายร้อยจุดทั่วโลกและดึงแดชบอร์ดที่สวยงามออกมานอกกรอบ แต่กลับมีปัญหาอีกครั้ง
จ่ายแล้วบางที่ก็แพงมาก. การตรวจสอบ Ping การตรวจสอบทั่วโลก และการตรวจสอบ http จำนวนมากอาจมีค่าใช้จ่ายหลายพันดอลลาร์ต่อปี หากการเงินเอื้ออำนวยและคุณชอบวิธีแก้ปัญหานี้ ก็ทำต่อไป
ความครอบคลุมอาจไม่เพียงพอในภูมิภาคที่สนใจ. ด้วยการใช้ ping เดียวกัน จะมีการระบุส่วนที่เป็นนามธรรมสูงสุดของโลก ได้แก่ เอเชีย ยุโรป อเมริกาเหนือ ระบบตรวจสอบที่หายากสามารถเจาะลึกไปยังประเทศหรือภูมิภาคเฉพาะได้
การสนับสนุนการทดสอบแบบกำหนดเองที่อ่อนแอ. หากคุณต้องการบางสิ่งที่กำหนดเองและไม่ใช่แค่ "หยิก" ใน URL ก็มีปัญหาเช่นกัน
วิธีที่สามคือการติดตามของคุณ. นี่เป็นคลาสสิก: “มาเขียนของเราเองกันเถอะ!”
การตรวจสอบของคุณจะกลายเป็นการพัฒนาผลิตภัณฑ์ซอฟต์แวร์และแบบกระจาย คุณกำลังมองหาผู้ให้บริการโครงสร้างพื้นฐาน ดูวิธีการปรับใช้และติดตาม - จำเป็นต้องมีการตรวจสอบใช่ไหม นอกจากนี้ยังต้องการการสนับสนุน คิดสิบครั้งก่อนที่จะทำสิ่งนี้ มันอาจจะง่ายกว่าที่จะจ่ายเงินให้ใครสักคนมาทำแทนคุณ
การตรวจสอบความผิดปกติของ BGP และการโจมตี DDoS
ทุกอย่างจะง่ายขึ้นตามทรัพยากรที่มีอยู่ ตรวจพบความผิดปกติของ BGP โดยใช้บริการพิเศษ เช่น QRadar, BGPmon. พวกเขายอมรับตารางมุมมองแบบเต็มจากผู้ให้บริการหลายราย พวกเขาสามารถตรวจจับความผิดปกติ มองหาแอมพลิฟายเออร์ และอื่นๆ ได้ โดยอิงจากสิ่งที่พวกเขาเห็นจากผู้ปฏิบัติงานที่แตกต่างกัน โดยปกติการลงทะเบียนจะไม่มีค่าใช้จ่าย - คุณป้อนหมายเลขโทรศัพท์ สมัครรับการแจ้งเตือนทางอีเมล จากนั้นบริการจะแจ้งเตือนคุณถึงปัญหาของคุณ
การตรวจสอบการโจมตี DDoS ก็ทำได้ง่ายเช่นกัน โดยปกติจะเป็นเช่นนี้ อิงตาม NetFlow และบันทึก. มีระบบพิเศษเช่น FastNetMon, โมดูลสำหรับ Splunk. ทางเลือกสุดท้ายคือผู้ให้บริการป้องกัน DDoS ของคุณ นอกจากนี้ยังสามารถรั่วไหลของ NetFlow และจะแจ้งให้คุณทราบถึงการโจมตีในทิศทางของคุณ
ผลการวิจัย
ไม่มีภาพลวงตา - อินเทอร์เน็ตจะพังแน่นอน. ไม่ใช่ทุกอย่างและไม่ใช่ทุกคนที่จะพังทลาย แต่เหตุการณ์ 14 ครั้งในปี 2017 บอกเป็นนัยว่าจะมีเหตุการณ์เกิดขึ้น
งานของคุณคือสังเกตปัญหาให้เร็วที่สุด. อย่างน้อยที่สุดไม่ช้ากว่าผู้ใช้ของคุณ ไม่เพียงแต่สิ่งสำคัญที่ควรทราบ แต่ให้เก็บ “แผน B” ไว้สำรองไว้เสมอ แผนคือกลยุทธ์สำหรับสิ่งที่คุณจะทำเมื่อทุกอย่างพังทลาย: ผู้ประกอบการสำรอง DC, CDN แผนเป็นรายการตรวจสอบแยกต่างหากสำหรับใช้ตรวจสอบการทำงานของทุกสิ่ง แผนนี้ควรดำเนินการได้โดยไม่ต้องมีวิศวกรเครือข่ายเข้ามาเกี่ยวข้อง เนื่องจากโดยปกติแล้วจะมีเพียงไม่กี่คนและพวกเขาต้องการนอน
นั่นคือทั้งหมดที่ ฉันขอให้คุณมีความพร้อมใช้งานสูงและการตรวจสอบสีเขียว
สัปดาห์หน้าในแสงแดดของโนโวซีบีสค์ คาดว่าจะมีนักพัฒนาจำนวนมากและมีความเข้มข้นสูง . ในไซบีเรีย มีการคาดการณ์ถึงรายงานแนวหน้าเกี่ยวกับการตรวจสอบ การเข้าถึงและการทดสอบ การรักษาความปลอดภัยและการจัดการ คาดว่าจะมีฝนตกในรูปแบบของบันทึกย่อ การสร้างเครือข่าย ภาพถ่าย และโพสต์บนโซเชียลเน็ตเวิร์ก แนะนำให้เลื่อนกิจกรรมทั้งหมดออกไปในวันที่ 24 และ 25 มิถุนายน และ . เรากำลังรอคุณอยู่ในไซบีเรีย!
ที่มา: will.com