Internet kuchli, mustaqil va buzilmaydigan tuzilmaga o'xshaydi. Nazariy jihatdan, tarmoq yadroviy portlashdan omon qolish uchun etarlicha kuchli. Aslida, Internet bitta kichik routerni tashlab yuborishi mumkin. Buning sababi, Internet - bu qarama-qarshiliklar, zaifliklar, xatolar va mushuklar haqidagi videolar to'plami. Internetning asosi BGP, muammolarga to'la. Uning hali ham nafas olayotgani hayratlanarli. Internetning o'zida xatolarga qo'shimcha ravishda, u ham hamma tomonidan buziladi: yirik Internet-provayderlar, korporatsiyalar, shtatlar va DDoS hujumlari. Bu bilan nima qilish kerak va u bilan qanday yashash kerak?
Javobni biladi Aleksey Uchakin () IQ Option tarmog‘i muhandislari jamoasi rahbari. Uning asosiy vazifasi - foydalanuvchilar uchun platformadan foydalanish imkoniyati. Alekseyning hisobotining stenogrammasida Keling, BGP, DDOS hujumlari, Internet kalitlari, provayder xatolari, markazsizlashtirish va kichik yo'riqnoma Internetni uyquga yuborgan holatlar haqida gapiraylik. Oxirida - bularning barchasidan qanday omon qolish haqida bir nechta maslahatlar.
Internet buzilgan kun
Men Internetga ulanish uzilib qolgan bir nechta voqealarni keltiraman. Bu to'liq rasm uchun etarli bo'ladi.
"AS7007 hodisasi". Birinchi marta internet 1997-yilning aprelida buzildi. 7007 avtonom tizimidan bitta routerning dasturiy taʼminotida xatolik yuz berdi. Bir nuqtada, marshrutizator o'zining ichki marshrutlash jadvalini qo'shnilariga e'lon qildi va tarmoqning yarmini qora tuynuk ichiga yubordi.
"Pokiston YouTubega qarshi". 2008 yilda Pokistonning jasur yigitlari YouTubeni blokirovka qilishga qaror qilishdi. Ular buni shunchalik yaxshi qilishdiki, dunyoning yarmi mushuksiz qoldi.
"Rostelecom tomonidan VISA, MasterCard va Symantec prefikslarini qo'lga olish". 2017 yilda Rostelecom xatolik bilan VISA, MasterCard va Symantec prefikslarini e'lon qila boshladi. Natijada, moliyaviy trafik provayder tomonidan boshqariladigan kanallar orqali yo'naltirildi. Oqish uzoq davom etmadi, ammo moliyaviy kompaniyalar uchun bu yoqimsiz edi.
Google Yaponiyaga qarshi. 2017-yil avgust oyida Google oʻzining baʼzi havolalarida NTT va KDDI yirik yapon provayderlarining prefikslarini eʼlon qila boshladi. Trafik Googlega tranzit sifatida yuborilgan, ehtimol xatolik tufayli. Google provayder emasligi va tranzit trafigiga ruxsat bermagani uchun Yaponiyaning katta qismi internetsiz qoldi.
"DV LINK Google, Apple, Facebook, Microsoft prefikslarini yozib oldi". Shuningdek, 2017 yilda Rossiyaning DV LINK provayderi negadir Google, Apple, Facebook, Microsoft va boshqa yirik o'yinchilarning tarmoqlarini e'lon qila boshladi.
"AQShdan eNet AWS Route53 va MyEtherwallet prefikslarini qo'lga kiritdi". 2018 yilda Ogayo provayderi yoki uning mijozlaridan biri Amazon Route53 va MyEtherwallet kripto hamyon tarmoqlarini e'lon qildi. Hujum muvaffaqiyatli bo'ldi: o'z-o'zidan imzolangan sertifikatga qaramay, MyEtherwallet veb-saytiga kirishda foydalanuvchiga ogohlantirish paydo bo'ldi, ko'plab hamyonlar o'g'irlab ketildi va kriptovalyutaning bir qismi o'g'irlandi.
Birgina 2017 yilda 14 000 dan ortiq bunday hodisalar kuzatilgan! Tarmoq hali ham markazlashtirilmagan, shuning uchun hamma narsa va hamma ham buzilmaydi. Ammo minglab hodisalar mavjud, ularning barchasi Internetni quvvatlaydigan BGP protokoli bilan bog'liq.
BGP va uning muammolari
Protokol BGP - Border Gateway Protocol, birinchi marta 1989 yilda IBM va Cisco Systems kompaniyalarining ikkita muhandisi tomonidan uchta "salfetka" - A4 varaqlarida tasvirlangan. Bular hali ham tarmoq dunyosining yodgorligi sifatida San-Frantsiskodagi Cisco Systems shtab-kvartirasida o'tiradi.
Protokol avtonom tizimlarning o'zaro ta'siriga asoslangan - Avtonom tizimlar yoki qisqacha AS. Avtonom tizim oddiygina identifikator bo'lib, unga IP tarmoqlari davlat reestrida tayinlanadi. Ushbu identifikatorga ega router ushbu tarmoqlarni dunyoga e'lon qilishi mumkin. Shunga ko'ra, Internetdagi har qanday marshrut vektor sifatida ko'rsatilishi mumkin, bu chaqiriladi AS yo'li. Vektor belgilangan tarmoqqa erishish uchun bosib o'tilishi kerak bo'lgan avtonom tizimlar sonidan iborat.
Masalan, bir qator avtonom tizimlar tarmog'i mavjud. AS65001 tizimidan AS65003 tizimiga o'tishingiz kerak. Bitta tizimdan yo'l diagrammada AS Path bilan ifodalanadi. U ikkita avtonom tizimdan iborat: 65002 va 65003. Har bir maqsad manzili uchun AS Path vektori mavjud bo'lib, biz o'tishimiz kerak bo'lgan avtonom tizimlar sonidan iborat.
Xo'sh, BGP bilan qanday muammolar bor?
BGP - bu ishonch protokoli
BGP protokoli ishonchga asoslangan. Bu shuni anglatadiki, biz sukut bo'yicha qo'shnimizga ishonamiz. Bu Internetning eng boshida ishlab chiqilgan ko'plab protokollarning xususiyati. Keling, "ishonch" nimani anglatishini aniqlaylik.
Qo‘shni autentifikatsiya yo‘q. Rasmiy ravishda, MD5 mavjud, ammo 5 yilda MD2019 - bu ...
Filtrlash yo'q. BGP filtrlarga ega va ular tasvirlangan, lekin ular ishlatilmaydi yoki noto'g'ri ishlatilmaydi. Sababini keyinroq tushuntiraman.
Mahalla qurish juda oson. Deyarli har qanday marshrutizatorda BGP protokolida mahallani o'rnatish konfiguratsiyaning bir nechta qatoridir.
BGP boshqaruv huquqlari talab qilinmaydi. Malakangizni isbotlash uchun imtihon topshirishingiz shart emas. Hech kim mast holatda BGPni sozlash huquqini tortib olmaydi.
Ikki asosiy muammo
Prefiks o'g'irlash. Prefiksni o'g'irlash MyEtherwallet bilan bo'lgani kabi sizga tegishli bo'lmagan tarmoqni reklama qilishdir. Biz ba'zi prefikslarni oldik, provayder bilan kelishib oldik yoki uni buzdik va u orqali biz ushbu tarmoqlarni e'lon qilamiz.
Yo'nalish oqadi. Sızıntılar biroz murakkabroq. Oqish - bu AS yo'lidagi o'zgarish. Eng yaxshi holatda, o'zgarish katta kechikishga olib keladi, chunki siz uzoqroq yo'nalishda yoki kamroq sig'imli havolada sayohat qilishingiz kerak. Eng yomoni, Google va Yaponiya bilan bo'lgan holat takrorlanadi.
Google o'zi operator yoki tranzit avtonom tizim emas. Ammo u o'z provayderiga yapon operatorlari tarmoqlarini e'lon qilganida, AS Path orqali Google orqali trafik ustuvor vazifa sifatida ko'rildi. Google ichidagi marshrutlash sozlamalari chegaradagi filtrlardan ko'ra murakkabroq bo'lgani uchun tirbandlik u erga bordi va tushib ketdi.
Nima uchun filtrlar ishlamaydi?
Hech kim qayg'uradi. Bu asosiy sabab - hech kimga ahamiyat bermaydi. BGP orqali provayderga ulangan kichik provayder yoki kompaniyaning ma'muri MikroTik-ni oldi, unga BGP-ni sozladi va u erda filtrlarni sozlash mumkinligini ham bilmaydi.
Konfiguratsiya xatolari. Ular nimanidir chalkashtirib yuborishdi, niqobda xato qilishdi, noto'g'ri to'rni kiyishdi - endi yana xatolik yuz berdi.
Texnik imkoniyat yo'q. Masalan, telekommunikatsiya provayderlarining mijozlari ko'p. Aqlli narsa - har bir mijoz uchun filtrlarni avtomatik yangilash - uning yangi tarmog'i borligini, o'z tarmog'ini kimgadir ijaraga berganligini kuzatish. Bunga amal qilish qiyin va qo'llaringiz bilan undan ham qiyinroq. Shuning uchun ular shunchaki bo'shashgan filtrlarni o'rnatadilar yoki umuman filtrlarni o'rnatmaydilar.
Istisnolar. Sevimli va yirik mijozlar uchun istisnolar mavjud. Ayniqsa, operatorlararo interfeyslarda. Misol uchun, TransTeleCom va Rostelecom bir qator tarmoqlarga ega va ular o'rtasida interfeys mavjud. Agar qo'shma tushib qolsa, u hech kimga yaxshi bo'lmaydi, shuning uchun filtrlar bo'shashadi yoki butunlay olib tashlanadi.
IRRdagi eskirgan yoki ahamiyatsiz ma'lumotlar. Filtrlar saqlangan ma'lumotlar asosida qurilgan IRR - Internet marshrutlash registri. Bular mintaqaviy Internet registratorlarining reestrlari. Ko'pincha registrlarda eskirgan yoki ahamiyatsiz ma'lumotlar yoki ikkalasi ham mavjud.
Bu registratorlar kimlar?
Barcha Internet manzillari tashkilotga tegishli IANA - Internetga tayinlangan raqamlar organi. Birovdan IP tarmog'ini sotib olganingizda, siz manzillarni emas, balki ulardan foydalanish huquqini sotib olasiz. Manzillar nomoddiy manba bo'lib, umumiy kelishuvga ko'ra ularning barchasi IANAga tegishli.
Tizim shunday ishlaydi. IANA IP manzillari va avtonom tizim raqamlarini boshqarishni beshta hududiy registratorga topshiradi. Ular avtonom tizimlarni chiqaradilar LIR - mahalliy internet registratorlari. Keyin LIRlar IP manzillarini oxirgi foydalanuvchilarga ajratadi.
Tizimning noqulay tomoni shundaki, har bir hududiy registrator o'z registrlarini o'ziga xos tarzda yuritadi. Har bir insonning registrlarda qanday ma'lumotlar bo'lishi kerakligi va uni kim tekshirishi yoki tekshirmasligi haqida o'z fikri bor. Natijada bizda hozir bor tartibsizlik.
Bu muammolar bilan yana qanday kurashish mumkin?
IRR - o'rtacha sifat. IRR bilan aniq - u erda hamma narsa yomon.
BGP jamoalari. Bu protokolda tasvirlangan ba'zi bir atributdir. Biz, masalan, qo'shnimiz tarmoqlarimizni qo'shnilariga yubormasligi uchun e'lonimizga maxsus hamjamiyatni biriktirishimiz mumkin. P2P havolasi mavjud bo'lganda, biz faqat tarmoqlarimizni almashtiramiz. Marshrut tasodifan boshqa tarmoqlarga oʻtib ketishining oldini olish uchun biz hamjamiyatni qoʻshamiz.
Jamoalar o'tish davri emas. Bu har doim ikki kishilik shartnoma va bu ularning kamchiliklari. Biz hech qanday hamjamiyatni tayinlay olmaymiz, faqat bittasi bundan mustasno, bu hamma tomonidan sukut bo'yicha qabul qilinadi. Biz hamma ham bu jamiyatni qabul qilishiga va uni to'g'ri talqin qilishiga ishonchimiz komil emas. Shuning uchun, eng yaxshi holatda, agar siz yuqoriga ulanishingiz bilan rozi bo'lsangiz, u jamiyat nuqtai nazaridan undan nimani xohlayotganingizni tushunadi. Ammo qo'shningiz tushunmasligi mumkin yoki operator sizning tegingizni qayta tiklaydi va siz xohlagan narsaga erisha olmaysiz.
RPKI + ROA muammolarning faqat kichik qismini hal qiladi. RPKI bu Resurs ochiq kalitlar infratuzilmasi — marshrutlash ma'lumotlarini imzolash uchun maxsus ramka. LIR va ularning mijozlarini dolzarb manzillar ma'lumotlar bazasini saqlashga majburlash yaxshi fikr. Lekin bunda bitta muammo bor.
RPKI, shuningdek, ierarxik ochiq kalit tizimidir. IANA-da RIR kalitlari yaratilgan kalit bor va qaysi LIR kalitlari yaratilgan? ular ROA-dan foydalangan holda manzil maydonini imzolaydilar - Route Origin Authorisations:
— Sizni ishontirib aytamanki, bu prefiks ushbu avtonom viloyat nomidan e'lon qilinadi.
ROA dan tashqari, boshqa ob'ektlar ham mavjud, ammo ular haqida keyinroq. Bu yaxshi va foydali narsaga o'xshaydi. Ammo bu bizni "umuman" so'zidan oqib chiqishdan himoya qilmaydi va prefiksni o'g'irlash bilan bog'liq barcha muammolarni hal qilmaydi. Shuning uchun futbolchilar uni amalga oshirishga shoshilmayaptilar. Garchi AT&T va yirik IX kompaniyalari kabi yirik oʻyinchilarning ROA rekordi yaroqsiz boʻlgan prefikslar olib tashlanishi haqida allaqachon kafolatlar mavjud.
Ehtimol, ular buni qilishadi, ammo hozircha bizda hech qanday tarzda imzolanmagan juda ko'p prefikslar mavjud. Bir tomondan, ular to'g'ri e'lon qilinganmi yoki yo'qmi noma'lum. Boshqa tomondan, biz ularni sukut bo'yicha tashlay olmaymiz, chunki bu to'g'ri yoki noto'g'ri ekanligiga ishonchimiz komil emas.
Yana nima bor?
BGPSec. Bu akademiklar pushti poniyalar tarmog'i uchun o'ylab topgan ajoyib narsa. Ular aytishdi:
- Bizda RPKI + ROA mavjud - manzil maydoni imzolarini tekshirish mexanizmi. Keling, alohida BGP atributini yaratamiz va uni BGPSec Path deb nomlaymiz. Har bir marshrutizator o'z qo'shnilariga e'lon qilgan e'lonlarni o'z imzosi bilan imzolaydi. Shunday qilib, biz imzolangan e'lonlar zanjiridan ishonchli yo'lni olamiz va uni tekshirishimiz mumkin.
Nazariy jihatdan yaxshi, lekin amalda ko'plab muammolar mavjud. BGPSec keyingi bosqichlarni tanlash va to'g'ridan-to'g'ri marshrutizatorda kiruvchi / chiquvchi trafikni boshqarish uchun mavjud bo'lgan ko'plab BGP mexanikasini buzadi. BGPSec butun bozorning 95 foizi uni amalga oshirmaguncha ishlamaydi, bu o'z-o'zidan utopiya.
BGPSec katta ishlash muammolariga ega. Joriy uskunada e'lonlarni tekshirish tezligi sekundiga taxminan 50 prefiksni tashkil qiladi. Taqqoslash uchun: 700 000 prefiksdan iborat joriy Internet-jadval 5 soat ichida yuklanadi, bu vaqt ichida u yana 10 marta o'zgaradi.
BGP ochiq siyosati (rolga asoslangan BGP). Modelga asoslangan yangi taklif Gao-Reksford. Bu BGPni tadqiq qilayotgan ikki olim.
Gao-Rexford modeli quyidagicha. Soddalashtirish uchun BGP bilan o'zaro ta'sirlarning oz sonli turlari mavjud:
- Provayder mijozi;
- P2P;
- ichki aloqa, deylik iBGP.
Routerning rolidan kelib chiqib, sukut bo'yicha ma'lum import/eksport siyosatlarini belgilash mumkin. Administrator prefiks ro'yxatlarini sozlashi shart emas. Routerlar o'zaro kelishilgan va o'rnatilishi mumkin bo'lgan rolga asoslanib, biz allaqachon ba'zi standart filtrlarni olamiz. Bu hozirda IETFda muhokama qilinayotgan loyiha. Umid qilamanki, tez orada biz buni RFC va apparatda amalga oshirish shaklida ko'ramiz.
Katta internet provayderlari
Keling, provayderning misolini ko'rib chiqaylik CenturyLink. U 37 ta shtatga xizmat ko'rsatuvchi va 15 ta ma'lumot markazlariga ega bo'lgan uchinchi yirik AQSh provayderidir.
2018 yil dekabr oyida CenturyLink 50 soat davomida AQSh bozorida bo'ldi. Voqea vaqtida ikki shtatda bankomatlar faoliyatida muammolar yuzaga kelgan, beshta shtatda 911 raqami bir necha soat ishlamay qolgan. Aydaxo shtatidagi lotereya butunlay barbod bo‘ldi. Hozirda voqea AQSh telekommunikatsiya komissiyasi tomonidan tekshirilmoqda.
Fojiaga bitta maʼlumot markazidagi bitta tarmoq kartasi sabab boʻlgan. Karta noto'g'ri ishladi, noto'g'ri paketlar yuborildi va provayderning barcha 15 ma'lumot markazlari ishlamay qoldi.
Bu provayder uchun g‘oya ishlamadi "yiqilish uchun juda katta". Bu fikr umuman ishlamaydi. Siz har qanday asosiy o'yinchini olib, ustiga kichik narsalarni qo'yishingiz mumkin. Qo'shma Shtatlar hali ham ulanish bilan yaxshi ishlamoqda. Zaxiraga ega bo'lgan CenturyLink mijozlari unga ommaviy ravishda kirishdi. Keyin muqobil operatorlar havolalari haddan tashqari yuklanganidan shikoyat qilishdi.
Agar shartli “Qozoqtelekom” tushib qolsa, butun mamlakat internetsiz qoladi.
Korporatsiyalar
Ehtimol, Google, Amazon, FaceBook va boshqa korporatsiyalar Internetni qo'llab-quvvatlaydimi? Yo'q, ular ham buzishadi.
2017 yilda Sankt-Peterburgda ENOG13 konferentsiyasida Jeff Xyuston dan APNIK tanishtirdi . Unda aytilishicha, biz o'zaro munosabatlarga, pul oqimlariga va Internetdagi trafikning vertikal bo'lishiga o'rganib qolganmiz. Bizda kattaroq provayderlarga ulanish uchun pul to'laydigan kichik provayderlarimiz bor va ular allaqachon global tranzitga ulanish uchun pul to'laydilar.
Endi bizda shunday vertikal yo'naltirilgan tuzilma mavjud. Hammasi yaxshi bo'lar edi, lekin dunyo o'zgarmoqda - asosiy o'yinchilar o'zlarining magistrallarini qurish uchun transokeanik kabellarini qurishmoqda.
CDN kabeli haqida yangiliklar.
2018-yilda TeleGeography Internetdagi trafikning yarmidan ko‘pi endi Internet emas, balki yirik o‘yinchilarning CDN tayanch tarmog‘i ekanligi haqidagi tadqiqotni e’lon qildi. Bu Internet bilan bog'liq bo'lgan trafik, ammo bu endi biz gapiradigan tarmoq emas.
Internet erkin ulangan tarmoqlarning katta to'plamiga bo'linadi.
Microsoft-ning o'z tarmog'i bor, Google-ning o'z tarmog'i bor va ular bir-biri bilan bir-biriga juda mos kelmaydi. AQShda paydo bo'lgan trafik Microsoft kanallari orqali okean bo'ylab Evropaga CDN orqali, keyin CDN yoki IX orqali provayderingiz bilan bog'lanadi va routeringizga keladi.
Markazsizlashtirish yo'qoladi.
Yadro portlashidan omon qolishga yordam beradigan Internetning bu kuchi yo'qolmoqda. Foydalanuvchilar va trafikni to'plash joylari paydo bo'ladi. Agar shartli Google Cloud tushib qolsa, bir vaqtning o'zida ko'plab qurbonlar bo'ladi. Roskomnadzor AWSni bloklaganida biz buni qisman his qildik. Va CenturyLink misoli shuni ko'rsatadiki, buning uchun hatto kichik narsalar ham etarli.
Ilgari hamma narsa va hamma ham buzilmagan. Kelajakda biz bitta asosiy o'yinchiga ta'sir qilish orqali biz ko'p joylarda va ko'p odamlarda ko'p narsalarni buzishimiz mumkin degan xulosaga kelishimiz mumkin.
Shtatlar
Keyingi o'rinda davlatlar turadi va bu odatda ular bilan sodir bo'ladi.
Bu erda bizning Roskomnadzor hatto kashshof ham emas. Eron, Hindiston va Pokistonda ham Internetni o'chirish amaliyoti mavjud. Angliyada Internetni o'chirish imkoniyati haqida qonun loyihasi mavjud.
Har qanday yirik davlat Internetni butunlay yoki qisman o'chirish uchun kalit olishni xohlaydi: Twitter, Telegram, Facebook. Bu ular hech qachon muvaffaqiyatga erisha olmasligini tushunishmaydi, lekin ular buni chindan ham xohlashadi. Kommutator, qoida tariqasida, siyosiy maqsadlarda - siyosiy raqobatchilarni yo'q qilish uchun ishlatiladi yoki saylovlar yaqinlashmoqda yoki rus xakerlari yana nimanidir buzishdi.
DDoS hujumlari
Men Qrator Labsdagi o'rtoqlarimdan non olib ketmayman, ular buni mendan yaxshiroq qilishadi. Ularda bor Internet barqarorligi haqida. Va bu ular 2018 yilgi hisobotda yozganlari.
DDoS hujumlarining o'rtacha davomiyligi 2.5 soatgacha kamayadi. Hujumchilar ham pulni hisoblashni boshlaydilar va agar manba darhol mavjud bo'lmasa, ular tezda uni yolg'iz qoldiradilar.
Hujumlarning intensivligi oshib bormoqda. 2018 yilda biz Akamai tarmog'ida 1.7 Tb / s ni ko'rdik va bu chegara emas.
Yangi hujum vektorlari paydo bo'lmoqda va eskilari kuchaymoqda. Kuchaytirishga moyil bo'lgan yangi protokollar paydo bo'lmoqda va mavjud protokollarga, ayniqsa TLS va shunga o'xshashlarga yangi hujumlar paydo bo'lmoqda.
Trafikning katta qismi mobil qurilmalardan. Shu bilan birga, Internet-trafik mobil mijozlarga o'tadi. Hujum qilayotganlar ham, himoyachilar ham bu bilan ishlay olishi kerak.
Daxlsiz - yo'q. Bu asosiy g'oya - har qanday DDoS dan aniq himoya qiladigan universal himoya yo'q.
Tizim Internetga ulanmagan bo'lsa, uni o'rnatib bo'lmaydi.
Umid qilamanki, men sizni etarlicha qo'rqitdim. Keling, bu haqda nima qilish kerakligini o'ylab ko'raylik.
Nima qilish kerak?!
Agar sizda bo'sh vaqtingiz bo'lsa, ingliz tilini xohlasangiz va bilimingiz bo'lsa, ishchi guruhlarda qatnashing: IETF, RIPE WG. Bu ochiq pochta ro'yxatlari, pochta ro'yxatlariga obuna bo'lish, muhokamalarda qatnashish, konferentsiyalarga kelish. Agar siz LIR maqomiga ega bo'lsangiz, masalan, RIPEda turli tashabbuslar uchun ovoz berishingiz mumkin.
Oddiy odamlar uchun bu monitoring. Nima buzilganligini bilish uchun.
Monitoring: nimani tekshirish kerak?
Oddiy Ping, va nafaqat ikkilik tekshiruv - u ishlaydi yoki yo'q. Anomaliyalarni keyinroq ko'rib chiqishingiz uchun tarixga RTT yozib oling.
Traceroute. Bu TCP/IP tarmoqlarida ma'lumotlar yo'nalishlarini aniqlash uchun yordamchi dastur. Anomaliyalar va blokirovkalarni aniqlashga yordam beradi.
HTTP maxsus URL va TLS sertifikatlarini tekshiradi hujum uchun blokirovka yoki DNS spoofingni aniqlashga yordam beradi, bu deyarli bir xil. Bloklash ko'pincha DNS-spoofing va trafikni stub sahifasiga aylantirish orqali amalga oshiriladi.
Iloji bo'lsa, agar arizangiz bo'lsa, mijozlaringizning turli joylardan kelib chiqqanligi haqidagi qarorini tekshiring. Bu sizga DNS o'g'irlash anomaliyalarini aniqlashga yordam beradi, bu ba'zida ISPlar bajaradi.
Monitoring: qayerda tekshirish kerak?
Universal javob yo'q. Foydalanuvchi qayerdan kelganini tekshiring. Agar foydalanuvchilar Rossiyada bo'lsa, Rossiyadan tekshiring, lekin u bilan cheklanmang. Agar foydalanuvchilaringiz turli hududlarda yashasa, ushbu hududlardan tekshiring. Ammo butun dunyodan yaxshiroq.
Monitoring: nimani tekshirish kerak?
Men uchta yo'lni o'ylab topdim. Agar ko'proq bilsangiz, izohlarda yozing.
- RIPE Atlas.
- Tijorat monitoringi.
- O'zingizning virtual mashinalar tarmog'ingiz.
Keling, ularning har biri haqida gapiraylik.
RIPE Atlas - bu juda kichik quti. Mahalliy "Inspektor" ni biladiganlar uchun - bu bir xil quti, ammo boshqa stiker bilan.
RIPE Atlas - bu bepul dastur. Siz ro'yxatdan o'tasiz, pochta orqali router olasiz va uni tarmoqqa ulaysiz. Boshqa birov sizning namunangizdan foydalanganligi uchun siz ba'zi kreditlarni olasiz. Ushbu kreditlar bilan siz o'zingiz tadqiqot qilishingiz mumkin. Siz turli yo'llar bilan test qilishingiz mumkin: ping, traceroute, sertifikatlarni tekshirish. Qoplama juda katta, ko'plab tugunlar mavjud. Ammo nuanslar mavjud.
Kredit tizimi ishlab chiqarish echimlarini qurishga imkon bermaydi. Doimiy tadqiqot yoki tijorat monitoringi uchun kreditlar yetarli bo'lmaydi. Kreditlar qisqa o'qish yoki bir martalik tekshirish uchun etarli. Bitta namunadan kunlik norma 1-2 tekshiruv bilan iste'mol qilinadi.
Qoplama notekis. Dastur har ikki yo'nalishda ham bepul bo'lganligi sababli, qamrov Evropada, Rossiyaning Evropa qismida va ba'zi mintaqalarda yaxshi. Ammo agar sizga Indoneziya yoki Yangi Zelandiya kerak bo'lsa, unda hamma narsa yomonroq - har bir mamlakatda 50 ta namuna bo'lmasligi mumkin.
Siz http-ni namunadan tekshira olmaysiz. Bu texnik nuanslarga bog'liq. Ular uni yangi versiyada tuzatishga va'da berishadi, ammo hozircha http-ni tekshirib bo'lmaydi. Faqat sertifikatni tekshirish mumkin. Ba'zi turdagi http tekshiruvi faqat Anchor deb nomlangan maxsus RIPE Atlas qurilmasiga amalga oshirilishi mumkin.
Ikkinchi usul - tijorat monitoringi. U bilan hamma narsa yaxshi, siz pul to'laysiz, to'g'rimi? Ular sizga butun dunyo bo'ylab bir necha o'nlab yoki yuzlab kuzatuv nuqtalarini va'da qiladi va qutidan chiroyli asboblar panelini chiqaradi. Ammo, yana, muammolar bor.
Bu pullik, ba'zi joylarda juda. Ping monitoringi, butun dunyo bo'ylab tekshiruvlar va ko'plab http tekshiruvlari yiliga bir necha ming dollarga tushishi mumkin. Agar moliya imkon bersa va sizga bu yechim yoqsa, davom eting.
Qiziqarli hududda qamrov yetarli bo'lmasligi mumkin. Xuddi shu ping bilan dunyoning maksimal mavhum qismi ko'rsatilgan - Osiyo, Evropa, Shimoliy Amerika. Noyob kuzatuv tizimlari ma'lum bir mamlakat yoki mintaqaga to'g'ri kelishi mumkin.
Maxsus testlar uchun zaif qo'llab-quvvatlash. Agar sizga urldagi "jingalak" emas, balki odatiy narsa kerak bo'lsa, unda bu bilan ham muammolar mavjud.
Uchinchi yo'l - sizning monitoringingiz. Bu klassik: "Keling, o'zimizni yozaylik!"
Sizning monitoringingiz dasturiy ta'minot mahsulotini ishlab chiqish va tarqatilgan mahsulotga aylanadi. Siz infratuzilma provayderini qidiryapsiz, uni qanday joylashtirish va nazorat qilishni ko'rib chiqing - monitoringni kuzatish kerak, to'g'rimi? Va qo'llab-quvvatlash ham talab qilinadi. Buni qabul qilishdan oldin o'n marta o'ylab ko'ring. Siz uchun buni qilish uchun kimgadir pul to'lash osonroq bo'lishi mumkin.
BGP anomaliyalari va DDoS hujumlarini kuzatish
Bu erda mavjud resurslarga asoslanib, hamma narsa yanada sodda. BGP anomaliyalari QRadar, BGPmon kabi maxsus xizmatlar yordamida aniqlanadi. Ular bir nechta operatorlardan to'liq ko'rinish jadvalini qabul qiladilar. Turli operatorlardan ko'rgan narsalariga asoslanib, ular anomaliyalarni aniqlashlari, kuchaytirgichlarni qidirishlari va hokazo. Ro'yxatdan o'tish odatda bepul - siz telefon raqamingizni kiritasiz, elektron pochta xabarnomalariga obuna bo'lasiz va xizmat sizni muammolaringiz haqida ogohlantiradi.
DDoS hujumlarini kuzatish ham oddiy. Odatda bu NetFlow-ga asoslangan va jurnallar. kabi maxsus tizimlar mavjud FastNetMon, uchun modullar Splunk. Oxirgi chora sifatida DDoS himoyasi provayderingiz mavjud. Bundan tashqari, u NetFlow-ni oqishi mumkin va unga asoslanib, u sizning yo'nalishingizdagi hujumlar haqida sizni xabardor qiladi.
topilmalar
Hech qanday illyuziyaga yo'l qo'ymang - Internet albatta buziladi. Hamma narsa emas va hamma ham buzilmaydi, lekin 14 yilda 2017 ming hodisa voqealar bo'lishini ko'rsatmoqda.
Sizning vazifangiz muammolarni imkon qadar tezroq aniqlashdir. Eng kamida, sizning foydalanuvchingizdan kechiktirmasdan. Shuni ta'kidlash kerakki, har doim "B rejasi" ni zaxirada saqlang. Reja - bu hamma narsa buzilganda nima qilish kerakligi haqidagi strategiya.: zaxira operatorlari, DC, CDN. Reja - bu alohida nazorat ro'yxati bo'lib, unga ko'ra siz hamma narsani tekshirasiz. Reja tarmoq muhandislari ishtirokisiz ishlashi kerak, chunki ular odatda kam va ular uxlashni xohlashadi.
Ana xolos. Men sizga yuqori mavjudligi va yashil monitoring tilayman.
Kelgusi haftada Novosibirskda quyosh nuri, yuqori yuklanish va ishlab chiquvchilarning yuqori konsentratsiyasi kutilmoqda . Sibirda monitoring, foydalanish imkoniyati va sinov, xavfsizlik va boshqaruv bo'yicha hisobotlarning jabhasi bashorat qilinadi. Yomg'irli yozuvlar, tarmoq, fotosuratlar va ijtimoiy tarmoqlardagi postlar ko'rinishida yog'ingarchilik kutilmoqda. 24 va 25 iyun kunlari barcha tadbirlarni kechiktirishni tavsiya qilamiz va . Sizni Sibirda kutamiz!
Manba: www.habr.com