İnternet güçlü, bağımsız ve yıkılmaz bir yapı gibi görünüyor. Teorik olarak ağ, nükleer bir patlamaya dayanabilecek kadar güçlü. Gerçekte, İnternet küçük bir yönlendiriciyi bırakabilir. Bunun nedeni, İnternet'in kedilerle ilgili bir çelişkiler, güvenlik açıkları, hatalar ve videolar yığını olmasıdır. İnternetin omurgası olan BGP sorunlarla doludur. Hala nefes alıyor olması şaşırtıcı. İnternetin kendisindeki hataların yanı sıra, büyük İnternet sağlayıcıları, şirketler, eyaletler ve DDoS saldırıları da bu hatayı bozuyor. Bu konuda ne yapmalı ve onunla nasıl yaşanır?
Cevabı biliyor Alexey Uchakin () IQ Option'daki ağ mühendislerinden oluşan bir ekibin lideridir. Ana görevi platformun kullanıcılar için erişilebilir olmasıdır. Alexey'in raporunun transkriptinde BGP, DDOS saldırıları, İnternet anahtarları, sağlayıcı hataları, merkeziyetsizlik ve küçük bir yönlendiricinin İnternet'i uyku moduna geçirdiği durumlar hakkında konuşalım. Sonunda - tüm bunlardan nasıl kurtulacağınıza dair birkaç ipucu.
İnternetin Kesildiği Gün
İnternet bağlantısının koptuğu birkaç olaydan bahsedeceğim. Bu, resmin tamamı için yeterli olacaktır.
"AS7007 Olayı". İnternet ilk kez Nisan 1997'de bozuldu. Otonom sistem 7007'den bir yönlendiricinin yazılımında bir hata vardı. Bir noktada yönlendirici, dahili yönlendirme tablosunu komşularına duyurdu ve ağın yarısını bir kara deliğe gönderdi.
"Pakistan YouTube'a karşı". 2008 yılında Pakistanlı cesur adamlar YouTube'u engellemeye karar verdi. Bunu o kadar iyi yaptılar ki dünyanın yarısı kedisiz kaldı.
“VISA, MasterCard ve Symantec öneklerinin Rostelecom tarafından yakalanması”. 2017 yılında Rostelecom yanlışlıkla VISA, MasterCard ve Symantec öneklerini duyurmaya başladı. Sonuç olarak finansal trafik, sağlayıcının kontrol ettiği kanallar üzerinden yönlendirildi. Sızıntı uzun sürmedi ancak finans şirketleri için tatsız bir durum oldu.
Google vs Japonya. Ağustos 2017'de Google, bazı uplinklerinde büyük Japon sağlayıcılar NTT ve KDDI'nin öneklerini duyurmaya başladı. Trafik, büyük olasılıkla yanlışlıkla Google'a toplu taşıma olarak gönderildi. Google bir sağlayıcı olmadığı ve transit trafiğe izin vermediği için Japonya'nın önemli bir kısmı internetsiz kaldı.
“DV LINK, Google, Apple, Facebook ve Microsoft'un öneklerini yakaladı”. Ayrıca 2017'de Rus sağlayıcı DV LINK, bir nedenden dolayı Google, Apple, Facebook, Microsoft ve diğer bazı büyük oyuncuların ağlarını duyurmaya başladı.
“ABD'den eNet, AWS Route53 ve MyEtherwallet öneklerini ele geçirdi”. 2018 yılında Ohio sağlayıcısı veya müşterilerinden biri Amazon Route53 ve MyEtherwallet kripto cüzdan ağlarını duyurdu. Saldırı başarılı oldu: MyEtherwallet web sitesine girerken kullanıcıya görünen bir uyarı olan kendinden imzalı sertifikaya rağmen birçok cüzdan ele geçirildi ve kripto para biriminin bir kısmı çalındı.
Yalnızca 2017'de bu tür 14'den fazla olay yaşandı! Ağ hala merkezi olmayan bir yapıda olduğundan her şey ve herkes bozulmaz. Ancak hepsi internete güç veren BGP protokolüyle ilgili binlerce olay var.
BGP ve sorunları
Protokol BGP - Sınır Geçidi Protokolü, ilk olarak 1989 yılında IBM ve Cisco Systems'den iki mühendis tarafından üç "peçete" - A4 sayfa üzerinde tanımlandı. Bunlar hala ağ dünyasının bir kalıntısı olarak San Francisco'daki Cisco Systems genel merkezinde oturuyorlar.
Protokol otonom sistemlerin etkileşimine dayanmaktadır. - Otonom Sistemler veya kısaca AS. Otonom bir sistem, genel kayıt defterinde IP ağlarının atandığı bir kimliktir. Bu kimliğe sahip bir yönlendirici bu ağları dünyaya duyurabilir. Buna göre, İnternet'teki herhangi bir rota, bir vektör olarak temsil edilebilir. AS Yolu. Vektör, hedef ağa ulaşmak için geçilmesi gereken otonom sistem sayısından oluşur.
Örneğin, bir takım otonom sistemlerden oluşan bir ağ vardır. AS65001 sisteminden AS65003 sistemine geçmeniz gerekiyor. Bir sistemden gelen yol diyagramda AS Yolu ile temsil edilir. İki otonom sistemden oluşur: 65002 ve 65003. Her hedef adresi için içinden geçmemiz gereken otonom sistem sayılarından oluşan bir AS Yolu vektörü vardır.
Peki BGP'nin sorunları nelerdir?
BGP bir güven protokolüdür
BGP protokolü güvene dayalıdır. Bu, komşumuza varsayılan olarak güvendiğimiz anlamına gelir. Bu, İnternet'in şafağında geliştirilen birçok protokolün bir özelliğidir. Gelin “güven”in ne anlama geldiğini anlayalım.
Komşu kimlik doğrulaması yok. Resmi olarak MD5 var, ancak 5'daki MD2019 tam da bu...
Filtresiz. BGP'nin filtreleri vardır ve anlatılmıştır ancak kullanılmamakta veya yanlış kullanılmaktadır. Nedenini daha sonra açıklayacağım.
Mahalle kurmak çok kolay. Hemen hemen her yönlendiricide BGP protokolünde bir mahalle kurmak, yapılandırmanın birkaç satırından oluşur.
BGP yönetim haklarına gerek yok. Yeterliliğinizi kanıtlamak için sınavlara girmenize gerek yoktur. Sarhoşken hiç kimse BGP'yi yapılandırma haklarınızı elinizden alamaz.
İki ana sorun
Ön ek kaçırmaları. Ön ek ele geçirme, MyEtherwallet'ta olduğu gibi size ait olmayan bir ağın reklamını yapmaktır. Bazı önekleri aldık, sağlayıcıyla anlaştık veya onu hackledik ve onun aracılığıyla bu ağları duyurduk.
Rota sızıntıları. Sızıntılar biraz daha karmaşıktır. Sızıntı AS Yolundaki bir değişikliktir. En iyi ihtimalle, değişiklik daha büyük bir gecikmeyle sonuçlanacaktır çünkü daha uzun bir rotada veya daha az kapasiteli bir bağlantıyla seyahat etmeniz gerekir. En kötü ihtimalle Google ve Japonya ile olan durum tekrarlanacak.
Google'ın kendisi bir operatör veya otonom bir toplu taşıma sistemi değildir. Ancak Japon operatörlerin ağlarını sağlayıcısına duyurduğunda, AS Path aracılığıyla Google üzerinden gelen trafik daha yüksek bir öncelik olarak görüldü. Trafik oraya gitti ve düştü çünkü Google'daki yönlendirme ayarları sınırdaki filtrelerden daha karmaşıktı.
Filtreler neden çalışmıyor?
Kimse umursamaz. Asıl sebep bu; kimsenin umrunda değil. Sağlayıcıya BGP aracılığıyla bağlanan küçük bir sağlayıcının veya şirketin yöneticisi MikroTik'i aldı, BGP'yi üzerinde yapılandırdı ve filtrelerin orada yapılandırılabileceğini bile bilmiyor.
Yapılandırma hataları. Bir şeyi berbat ettiler, maskede hata yaptılar, yanlış ağ taktılar - ve şimdi yine bir hata var.
Teknik imkan yok. Örneğin telekom sağlayıcılarının çok sayıda müşterisi var. Yapılacak en akıllıca şey, her müşteri için filtreleri otomatik olarak güncellemek, yani yeni bir ağa sahip olup olmadığını, ağını birine kiralayıp kiralamadığını izlemektir. Bunu takip etmek zordur, hatta ellerinizle daha da zordur. Bu nedenle, sadece rahat filtreler takıyorlar veya hiç filtre takmıyorlar.
Исключения. Sevgili ve büyük müşteriler için istisnalar vardır. Özellikle operatörler arası arayüzler söz konusu olduğunda. Örneğin, TransTeleCom ve Rostelecom'un bir sürü ağı var ve aralarında bir arayüz var. Eklemin düşmesinin kimseye faydası olmayacağı için filtreler gevşetilir veya tamamen çıkarılır.
IRR'de güncel olmayan veya alakasız bilgiler. Filtreler, kaydedilen bilgilere dayanarak oluşturulur. IRR - İnternet Yönlendirme Kaydı. Bunlar bölgesel İnternet kayıt şirketlerinin kayıtlarıdır. Çoğu zaman, kayıtlar güncelliğini yitirmiş veya ilgisiz bilgiler ya da her ikisini birden içerir.
Kim bu kayıt memurları?
Tüm internet adresleri kuruluşa aittir IANA - İnternet Atanmış Sayılar Otoritesi. Birinden bir IP ağı satın aldığınızda, adres değil, onları kullanma hakkını satın almış olursunuz. Adresler maddi olmayan bir kaynaktır ve ortak anlaşma gereği hepsi IANA'ya aittir.
Sistem şu şekilde çalışıyor. IANA, IP adreslerinin ve otonom sistem numaralarının yönetimini beş bölgesel kayıt kuruluşuna devreder. Otonom sistemler üretiyorlar LIR - yerel internet kayıt şirketleri. LIR'ler daha sonra IP adreslerini son kullanıcılara tahsis eder.
Sistemin dezavantajı ise her bölge kayıt memurunun kendi kayıtlarını kendine göre tutmasıdır. Herkesin, kayıtlarda hangi bilgilerin yer alması gerektiği ve bunları kimin kontrol etmesi veya kontrol etmemesi gerektiği konusunda kendi görüşleri vardır. Sonuç şu anda sahip olduğumuz karmaşadır.
Bu sorunlarla başka nasıl mücadele edebilirsiniz?
IRR - vasat kalite. IRR ile açık - orada her şey kötü.
BGP toplulukları. Bu, protokolde açıklanan bazı özelliklerdir. Örneğin bir komşunun ağlarımızı komşularına göndermemesi için duyurumuza özel bir topluluk ekleyebiliriz. Bir P2P bağlantımız olduğunda yalnızca ağlarımızı değiştiririz. Rotanın yanlışlıkla diğer ağlara gitmesini önlemek için topluluk ekliyoruz.
Topluluklar geçişli değildir. Her zaman iki kişilik bir sözleşmedir ve bu onların dezavantajıdır. Herkes tarafından varsayılan olarak kabul edilen bir topluluk dışında herhangi bir topluluk atayamayız. Herkesin bu topluluğu kabul edeceğinden ve doğru yorumlayacağından emin olamayız. Bu nedenle, en iyi durumda, eğer uplinkinizle aynı fikirdeyseniz, topluluk açısından ondan ne istediğinizi anlayacaktır. Ancak komşunuz anlamayabilir veya operatör etiketinizi sıfırlayacaktır ve istediğinizi elde edemeyeceksiniz.
RPKI + ROA sorunların yalnızca küçük bir kısmını çözer. RPKI: Kaynak Ortak Anahtar Altyapısı — yönlendirme bilgilerinin imzalanması için özel bir çerçeve. LIR'leri ve istemcilerini güncel bir adres alanı veritabanını korumaya zorlamak iyi bir fikirdir. Ama bununla ilgili bir sorun var.
RPKI aynı zamanda hiyerarşik bir genel anahtar sistemidir. IANA'nın, RIR anahtarlarının oluşturulduğu ve hangi LIR anahtarlarının oluşturulduğu bir anahtarı var? ROA'lar - Rota Menşei Yetkilendirmelerini kullanarak adres alanlarını imzaladıkları:
— Sizi temin ederim ki, bu önek bu özerk bölge adına duyurulacaktır.
ROA'ya ek olarak başka nesneler de var, ancak bunlar hakkında daha sonra daha fazla bilgi vereceğiz. İyi ve faydalı bir şeye benziyor. Ancak bizi "hiç" kelimesinden kaynaklanan sızıntılara karşı korumaz ve önek hırsızlığıyla ilgili tüm sorunları çözmez. Bu nedenle oyuncuların bunu uygulamak için aceleleri yok. Her ne kadar AT&T gibi büyük oyuncular ve büyük IX şirketleri, geçersiz ROA kaydına sahip ön eklerin kaldırılacağına dair güvenceler zaten mevcut olsa da.
Belki bunu yapacaklar, ancak şimdilik hiçbir şekilde imzalanmamış çok sayıda önekimiz var. Bir yandan bunların geçerli bir şekilde duyurulup duyurulmadığı belli değil. Öte yandan, bunları varsayılan olarak bırakamayız çünkü bunun doğru olup olmadığından emin değiliz.
Orada başka neler var?
BGPSec. Bu, akademisyenlerin pembe midillilerden oluşan bir ağ için ortaya attığı harika bir şey. Dediler:
- Adres alanı imzalarını doğrulamak için bir mekanizma olan RPKI + ROA'ya sahibiz. Ayrı bir BGP özelliği oluşturalım ve buna BGPSec Yolu adını verelim. Her yönlendirici komşularına yaptığı duyuruları kendi imzasıyla imzalayacaktır. Bu şekilde imzalı duyurular zincirinden güvenilir bir yol elde edeceğiz ve onu kontrol edebileceğiz.
Teoride iyi ama pratikte birçok sorun var. BGPSec, sonraki atlama noktalarını seçmek ve gelen/giden trafiği doğrudan yönlendiricide yönetmek için mevcut birçok BGP mekaniğini bozar. BGPSec, tüm pazarın %95'i bunu uygulayana kadar çalışmaz ki bu başlı başına bir ütopyadır.
BGPSec'in büyük performans sorunları var. Mevcut donanımda duyuruların kontrol edilme hızı saniyede yaklaşık 50 önektir. Karşılaştırma için: 700 önekten oluşan mevcut İnternet tablosu 000 saat içinde yüklenecek ve bu süre zarfında 5 kez daha değişecek.
BGP Açık Politikası (Rol Tabanlı BGP). Modele dayalı yeni teklif Gao-Rexford. Bunlar BGP'yi araştıran iki bilim adamı.
Gao-Rexford modeli aşağıdaki gibidir. Basitleştirmek gerekirse, BGP'de az sayıda etkileşim türü vardır:
- Sağlayıcı Müşteri;
- P2P;
- iç iletişim, örneğin iBGP.
Yönlendiricinin rolüne bağlı olarak, belirli içe/dışa aktarma ilkelerini varsayılan olarak atamak zaten mümkündür. Yöneticinin önek listelerini yapılandırmasına gerek yoktur. Yönlendiricilerin kendi aralarında anlaştıkları ve ayarlanabilecek role bağlı olarak bazı varsayılan filtreleri zaten alıyoruz. Bu şu anda IETF'de tartışılan bir taslaktır. Umarım yakında bunu RFC ve donanım üzerinde uygulama şeklinde görürüz.
Büyük İnternet sağlayıcıları
Sağlayıcı örneğine bakalım CenturyLink. 37 eyalete hizmet veren ve 15 veri merkezine sahip olan ABD'nin üçüncü büyük sağlayıcısıdır.
CenturyLink, Aralık 2018'de 50 saat boyunca ABD pazarındaydı. Olay sırasında iki eyalette ATM'lerin işleyişinde sorun yaşandı ve beş eyalette 911 numarası birkaç saat boyunca çalışmadı. Idaho'daki piyango tamamen mahvolmuştu. Olay şu anda ABD Telekomünikasyon Komisyonu tarafından araştırılıyor.
Trajedinin nedeni bir veri merkezindeki bir ağ kartıydı. Kart arızalandı, yanlış paketler gönderdi ve sağlayıcının 15 veri merkezinin tamamı çöktü.
Fikir bu sağlayıcı için işe yaramadı "Düşmek için çok büyük". Bu fikir hiç işe yaramıyor. Herhangi bir büyük oyuncuyu alıp üstüne küçük şeyler koyabilirsiniz. ABD bağlantı konusunda hâlâ iyi durumda. Rezervi olan CenturyLink müşterileri kitleler halinde bu alana girdi. Daha sonra alternatif operatörler bağlantılarının aşırı yüklenmesinden şikayetçi oldu.
Şartlı Kazaktelecom düşerse tüm ülke internetsiz kalacak.
Şirketler
Muhtemelen Google, Amazon, FaceBook ve diğer şirketler İnternet'i destekliyor mu? Hayır onu da bozuyorlar.
2017'de St. Petersburg'da ENOG13 konferansında Jeff Houston arasında APNIC gönderilen . İnternet üzerindeki etkileşimlerin, para akışlarının ve trafiğin dikey olmasına alıştığımızı söylüyor. Daha büyük olanlara bağlantı için ödeme yapan küçük sağlayıcılarımız var ve onlar zaten küresel ulaşıma bağlantı için ödeme yapıyor.
Artık böyle dikey odaklı bir yapıya sahibiz. Her şey yoluna girecek ama dünya değişiyor; büyük oyuncular kendi omurgalarını oluşturmak için okyanus ötesi kablolarını inşa ediyorlar.
CDN kablo ile ilgili haberler.
2018'de TeleGeography, İnternet'teki trafiğin yarısından fazlasının artık İnternet değil, büyük oyuncuların omurgası CDN'si olduğunu ortaya koyan bir çalışma yayınladı. Bu internete bağlı trafik ama bahsettiğimiz ağ artık bu değil.
İnternet, gevşek bağlı ağlardan oluşan geniş bir kümeye ayrılıyor.
Microsoft'un kendi ağı var, Google'ın kendi ağı var ve birbirleriyle çok az örtüşüyorlar. ABD'de bir yerden kaynaklanan trafik, Microsoft kanalları üzerinden okyanus boyunca bir CDN üzerinden Avrupa'ya gider, ardından CDN veya IX aracılığıyla sağlayıcınıza bağlanarak yönlendiricinize ulaşır.
Merkeziyetsizlik ortadan kalkıyor.
İnternetin nükleer bir patlamadan kurtulmasına yardımcı olacak bu gücü kayboluyor. Kullanıcıların ve trafiğin yoğunlaştığı yerler belirir. Şartlı Google Cloud düşerse aynı anda çok sayıda mağdur olacak. Roskomnadzor AWS'yi engellediğinde bunu kısmen hissettik. Ve CenturyLink örneği, küçük şeylerin bile bunun için yeterli olduğunu gösteriyor.
Önceden her şey ve herkes kırılmazdı. Gelecekte, büyük bir oyuncuyu etkileyerek birçok yerde ve birçok insanda birçok şeyi bozabileceğimiz sonucuna varabiliriz.
devlet
Sırada eyaletler var ve genellikle onların başına gelen de bu oluyor.
Burada Roskomnadzor'umuz öncü bile değil. Benzer bir internet kapatma uygulaması İran, Hindistan ve Pakistan'da da mevcut. İngiltere'de internetin kapatılması olasılığına ilişkin bir yasa tasarısı var.
Herhangi bir büyük eyalet, İnternet'i tamamen veya kısmen kapatmak için bir anahtar almak ister: Twitter, Telegram, Facebook. Hiçbir zaman başaramayacaklarını anlamadıklarından değil ama bunu gerçekten istiyorlar. Anahtar, kural olarak siyasi amaçlarla kullanılıyor - siyasi rakipleri ortadan kaldırmak veya seçimler yaklaşıyor veya Rus bilgisayar korsanları bir şeyi yeniden bozdu.
DDoS saldırıları
Qrator Laboratuvarlarındaki yoldaşlarımdan ekmek almayacağım, onlar bunu benden çok daha iyi yapıyorlar. Onlar sahip İnternet kararlılığı hakkında. 2018 raporunda da bunu yazmışlar.
DDoS saldırılarının ortalama süresi 2.5 saate düşüyor. Saldırganlar ayrıca para saymaya başlıyor ve eğer kaynak hemen mevcut değilse, hemen onu kendi haline bırakıyorlar.
Saldırıların şiddeti artıyor. 2018'de Akamai ağında 1.7 Tb/s'yi gördük ve bu sınır değil.
Yeni saldırı vektörleri ortaya çıkıyor ve eskileri yoğunlaşıyor. Yükseltmeye duyarlı yeni protokoller ortaya çıkıyor ve mevcut protokollere, özellikle TLS ve benzerlerine yeni saldırılar ortaya çıkıyor.
Trafiğin çoğu mobil cihazlardan geliyor. Aynı zamanda internet trafiği de mobil istemcilere kayıyor. Hem saldıranların hem de savunanların bununla çalışabilmesi gerekiyor.
Hasar görmez - hayır. Ana fikir bu; herhangi bir DDoS'a karşı kesinlikle koruma sağlayacak evrensel bir koruma yok.
Sistem internete bağlı olmadığı sürece kurulamaz.
Umarım seni yeterince korkutmuşumdur. Şimdi bu konuda ne yapacağımızı düşünelim.
Ne yapalım?!
Boş vaktiniz, İngilizce arzunuz ve bilginiz varsa çalışma gruplarına katılın: IETF, RIPE WG. Bunlar açık e-posta listeleri, e-posta listelerine abone olmak, tartışmalara katılmak, konferanslara katılmaktır. LIR statünüz varsa, örneğin RIPE'de çeşitli girişimlere oy verebilirsiniz.
Sadece ölümlüler için bu izleme. Neyin kırıldığını bilmek için.
İzleme: ne kontrol edilmeli?
Normal Pingve yalnızca ikili kontrol değil - çalışıp çalışmadığı. Anormallikleri daha sonra görebilmeniz için RTT'yi tarihe kaydedin.
traceroute. Bu, TCP/IP ağlarındaki veri yollarını belirlemek için kullanılan bir yardımcı programdır. Anormallikleri ve tıkanıklıkları tanımlamaya yardımcı olur.
Özel URL'ler ve TLS sertifikaları için HTTP kontrolleri bir saldırı için engellemeyi veya DNS sahtekarlığını tespit etmeye yardımcı olacaktır; bu da neredeyse aynı şeydir. Engelleme genellikle DNS sahteciliği ve trafiğin saplama sayfasına dönüştürülmesi yoluyla gerçekleştirilir.
Mümkünse müşterilerinizin menşeinizin çözümünü farklı yerlerden, başvurunuz varsa kontrol edin. Bu, sağlayıcıların bazen yaptığı bir şey olan DNS ele geçirme anormalliklerini tespit etmenize yardımcı olacaktır.
İzleme: nerede kontrol edilecek?
Evrensel bir cevap yok. Kullanıcının nereden geldiğini kontrol edin. Kullanıcılar Rusya'daysa Rusya'dan kontrol edin ancak kendinizi bununla sınırlamayın. Kullanıcılarınız farklı bölgelerde yaşıyorsa bu bölgelerden kontrol edin. Ama dünyanın her yerinden daha iyi.
İzleme: ne kontrol edilmeli?
Üç yol buldum. Daha fazlasını biliyorsanız yorumlara yazın.
- OLgun Atlası.
- Ticari izleme.
- Kendi sanal makine ağınız.
Her biri hakkında konuşalım.
olgun atlas - çok küçük bir kutu. Yerli "Müfettiş" i bilenler için - bu aynı kutudur, ancak farklı bir çıkartmaya sahiptir.
RIPE Atlas ücretsiz bir programdır. Kaydolun, postayla bir yönlendirici alın ve onu ağa bağlayın. Örneğinizin başka biri tarafından kullanılması nedeniyle bir miktar kredi alırsınız. Bu kredilerle kendiniz biraz araştırma yapabilirsiniz. Farklı yöntemlerle test edebilirsiniz: ping, traceroute, sertifikaları kontrol edin. Kapsama alanı oldukça geniş, çok sayıda düğüm var. Ama nüanslar var.
Kredi sistemi bina üretim çözümlerine izin vermiyor. Devam eden araştırma veya ticari izleme için yeterli kredi olmayacaktır. Krediler kısa bir çalışma veya bir kerelik kontrol için yeterlidir. Bir numuneden elde edilen günlük norm 1-2 kontrolle tüketilir.
Kapsam eşitsiz. Program her iki yönde de ücretsiz olduğundan Avrupa'da, Rusya'nın Avrupa kısmında ve bazı bölgelerde kapsama alanı iyidir. Ancak Endonezya veya Yeni Zelanda'ya ihtiyacınız varsa, o zaman her şey çok daha kötü - ülke başına 50 örneğiniz olmayabilir.
Bir örnekten http'yi kontrol edemezsiniz. Bunun nedeni teknik nüanslardır. Yeni versiyonda düzelteceklerine söz veriyorlar ama şimdilik http kontrol edilemiyor. Yalnızca sertifika doğrulanabilir. Bir tür http kontrolü yalnızca Anchor adı verilen özel bir RIPE Atlas cihazına yapılabilir.
İkinci yöntem ise ticari izlemedir.. Onun için her şey yolunda, para ödüyorsun, değil mi? Size dünya çapında birkaç düzine veya yüzlerce izleme noktası vaat ediyorlar ve kutudan çıkar çıkmaz güzel gösterge panoları çiziyorlar. Ama yine sorunlar var.
Ücretlidir, bazı yerlerde çok. Ping izleme, dünya çapındaki kontroller ve çok sayıda http kontrolü yılda birkaç bin dolara mal olabilir. Finansman izin veriyorsa ve bu çözümü beğendiyseniz devam edin.
İlgilenilen bölgede kapsama alanı yeterli olmayabilir. Aynı ping ile dünyanın maksimum soyut bir kısmı belirtilir - Asya, Avrupa, Kuzey Amerika. Nadir izleme sistemleri belirli bir ülke veya bölgeye yönelik ayrıntılı incelemeler yapabilir.
Özel testler için zayıf destek. URL'de yalnızca "kıvırcık" değil, özel bir şeye ihtiyacınız varsa, o zaman bunda da sorunlar vardır.
Üçüncü yol ise izlemenizdir. Bu bir klasik: “Hadi kendi yazımızı yazalım!”
İzlemeniz bir yazılım ürününün ve dağıtılmış bir ürünün geliştirilmesine dönüşür. Bir altyapı sağlayıcısı arıyorsunuz, onu nasıl dağıtacağınıza ve izleyeceğinize bakın; izlemenin izlenmesi gerekiyor, değil mi? Ve desteğe de ihtiyaç var. Bunu yapmadan önce on kez düşünün. Bunu sizin için yapması için birine ödeme yapmak daha kolay olabilir.
BGP anormalliklerini ve DDoS saldırılarını izleme
Burada mevcut kaynaklara göre her şey daha da basit. BGP anormallikleri QRadar, BGPmon gibi özel hizmetler kullanılarak tespit edilir. Birden fazla operatörden tam görünüm tablosunu kabul ederler. Farklı operatörlerden gördüklerine dayanarak anormallikleri tespit edebilir, amplifikatörleri arayabilir vb. Kayıt genellikle ücretsizdir; telefon numaranızı girersiniz, e-posta bildirimlerine abone olursunuz ve hizmet sizi sorunlarınız konusunda uyaracaktır.
DDoS saldırılarını izlemek de basittir. Tipik olarak bu NetFlow tabanlı ve günlükler. Gibi özel sistemler var FastNetMon, modüller için Splunk. Son çare olarak DDoS koruma sağlayıcınız var. Ayrıca NetFlow'u sızdırabilir ve buna dayanarak size yönelik saldırıları size bildirecektir.
Bulgular
Hiçbir yanılsamaya kapılmayın - İnternet kesinlikle kopacak. Her şey ve herkes bozulmayacak ama 14'de yaşanan 2017 bin olay olayların yaşanacağının sinyalini veriyor.
Göreviniz sorunları mümkün olduğunca erken fark etmektir. En azından kullanıcınızdan geç olmamak üzere. Sadece not etmek önemli değil, her zaman bir “B Planını” yedekte tutun. Plan, her şey bozulduğunda ne yapacağınıza dair bir stratejidir.: yedek operatörler, DC, CDN. Plan, her şeyin işleyişini kontrol ettiğiniz ayrı bir kontrol listesidir. Plan, ağ mühendislerinin katılımı olmadan çalışmalıdır çünkü genellikle sayıları azdır ve uyumak isterler.
Bu kadar. Size yüksek kullanılabilirlik ve yeşil izleme diliyorum.
Gelecek hafta Novosibirsk'te güneşli bir hava, yoğun iş yükü ve geliştiricilerin yoğun bir şekilde yoğunlaşması bekleniyor . Sibirya'da izleme, erişilebilirlik ve test etme, güvenlik ve yönetim konularında bir rapor cephesi öngörülüyor. Yağışların karalanmış notlar, ağ oluşturma, fotoğraflar ve sosyal ağlardaki paylaşımlar şeklinde olması bekleniyor. Tüm etkinliklerin 24 ve 25 Haziran tarihlerine ertelenmesini öneriyoruz. . Sibirya'da sizi bekliyoruz!
Kaynak: habr.com