Internet dường như là một cấu trúc mạnh mẽ, độc lập và không thể phá hủy. Về lý thuyết, mạng đủ mạnh để tồn tại sau vụ nổ hạt nhân. Trên thực tế, Internet có thể loại bỏ một bộ định tuyến nhỏ. Tất cả chỉ vì Internet là một đống mâu thuẫn, lỗ hổng, lỗi và video về mèo. Xương sống của Internet, BGP, đang gặp nhiều vấn đề. Thật ngạc nhiên là anh ấy vẫn còn thở. Ngoài các lỗi trên Internet, nó còn bị phá vỡ bởi tất cả các lỗi lặt vặt: các nhà cung cấp Internet lớn, các tập đoàn, tiểu bang và các cuộc tấn công DDoS. Phải làm gì với nó và làm thế nào để sống với nó?
Biết câu trả lời Alexey Uchakin () là trưởng nhóm kỹ sư mạng tại IQ Option. Nhiệm vụ chính của nó là khả năng tiếp cận nền tảng cho người dùng. Trong bản ghi lại báo cáo của Alexey về Hãy nói về BGP, các cuộc tấn công DDOS, chuyển mạch Internet, lỗi của nhà cung cấp, phân cấp và các trường hợp khi một bộ định tuyến nhỏ đưa Internet vào chế độ ngủ. Cuối cùng - một vài lời khuyên về cách sống sót sau tất cả những điều này.
Ngày Internet bị phá vỡ
Tôi sẽ chỉ trích dẫn một vài sự cố khi kết nối Internet bị hỏng. Điều này sẽ đủ cho bức tranh hoàn chỉnh.
"Sự cố AS7007". Lần đầu tiên Internet bị hỏng là vào tháng 1997 năm 7007. Có một lỗi trong phần mềm của một bộ định tuyến thuộc hệ thống tự trị XNUMX. Tại một thời điểm nào đó, bộ định tuyến đã thông báo bảng định tuyến nội bộ của mình cho các hàng xóm và gửi một nửa mạng vào lỗ đen.
"Pakistan chống lại YouTube". Năm 2008, những chàng trai dũng cảm đến từ Pakistan đã quyết định chặn YouTube. Họ đã làm tốt đến mức một nửa thế giới không còn mèo.
“Nắm bắt các tiền tố VISA, MasterCard và Symantec của Rostelecom”. Vào năm 2017, Rostelecom đã bắt đầu công bố nhầm các tiền tố VISA, MasterCard và Symantec. Kết quả là, lưu lượng tài chính được chuyển qua các kênh do nhà cung cấp kiểm soát. Vụ rò rỉ không kéo dài lâu nhưng gây khó chịu cho các công ty tài chính.
Google vs Nhật Bản. Vào tháng 2017 năm XNUMX, Google bắt đầu công bố tiền tố của các nhà cung cấp lớn của Nhật Bản là NTT và KDDI trong một số đường lên của mình. Lưu lượng truy cập đã được gửi tới Google dưới dạng chuyển tuyến, rất có thể là do nhầm lẫn. Vì Google không phải là nhà cung cấp và không cho phép lưu lượng chuyển tuyến nên một phần đáng kể của Nhật Bản đã không có Internet.
“DV LINK nắm bắt được tiền tố của Google, Apple, Facebook, Microsoft”. Cũng trong năm 2017, nhà cung cấp DV LINK của Nga vì lý do nào đó đã bắt đầu công bố mạng lưới của Google, Apple, Facebook, Microsoft và một số công ty lớn khác.
“eNet từ Hoa Kỳ đã chiếm được tiền tố AWS Route53 và MyEtherwallet”. Vào năm 2018, nhà cung cấp Ohio hoặc một trong những khách hàng của họ đã công bố mạng ví tiền điện tử Amazon Route53 và MyEtherwallet. Cuộc tấn công đã thành công: ngay cả khi chứng chỉ tự ký, cảnh báo xuất hiện với người dùng khi vào trang web MyEtherwallet, nhiều ví đã bị tấn công và một phần tiền điện tử đã bị đánh cắp.
Chỉ riêng năm 2017 đã có hơn 14 sự cố như vậy! Mạng vẫn được phân cấp, vì vậy không phải mọi thứ và không phải tất cả mọi người đều bị hỏng. Nhưng có hàng nghìn sự cố, tất cả đều liên quan đến giao thức BGP cung cấp năng lượng cho Internet.
BGP và các vấn đề của nó
Nghị định thư BGP - Giao thức cổng biên, được mô tả lần đầu tiên vào năm 1989 bởi hai kỹ sư của IBM và Cisco Systems trên ba “khăn ăn” - tờ A4. Những cái này vẫn tọa lạc tại trụ sở Cisco Systems ở San Francisco như một di tích của thế giới mạng.
Giao thức dựa trên sự tương tác của các hệ thống tự trị - Hệ thống tự trị hay viết tắt là AS. Hệ thống tự trị chỉ đơn giản là một ID mà mạng IP được gán trong sổ đăng ký công khai. Bộ định tuyến có ID này có thể thông báo các mạng này với thế giới. Theo đó, bất kỳ tuyến đường nào trên Internet đều có thể được biểu diễn dưới dạng vectơ, được gọi là NHƯ đường dẫn. Vectơ bao gồm số lượng các hệ thống tự trị phải đi qua để đến được mạng đích.
Ví dụ, có một mạng lưới gồm một số hệ thống tự trị. Bạn cần chuyển từ hệ thống AS65001 sang hệ thống AS65003. Đường dẫn từ một hệ thống được thể hiện bằng AS Path trong sơ đồ. Nó bao gồm hai hệ thống tự trị: 65002 và 65003. Đối với mỗi địa chỉ đích có một vectơ Đường dẫn AS, bao gồm số lượng hệ thống tự trị mà chúng ta cần phải đi qua.
Vậy vấn đề với BGP là gì?
BGP là một giao thức tin cậy
Giao thức BGP dựa trên sự tin cậy. Điều này có nghĩa là chúng ta mặc định tin tưởng hàng xóm của mình. Đây là một tính năng của nhiều giao thức được phát triển vào thời kỳ đầu của Internet. Hãy cùng tìm hiểu xem “niềm tin” nghĩa là gì.
Không có xác thực hàng xóm. Chính thức thì có MD5, nhưng MD5 năm 2019 chỉ có vậy thôi...
Không lọc. BGP có các bộ lọc và chúng được mô tả nhưng chúng không được sử dụng hoặc sử dụng không đúng cách. Tôi sẽ giải thích tại sao sau.
Rất dễ dàng để thiết lập một vùng lân cận. Thiết lập vùng lân cận trong giao thức BGP trên hầu hết mọi bộ định tuyến chỉ là một vài dòng cấu hình.
Không cần quyền quản lý BGP. Bạn không cần phải làm bài kiểm tra để chứng minh trình độ của mình. Sẽ không ai tước đi quyền định cấu hình BGP của bạn khi say rượu.
Hai vấn đề chính
Tiền tố chiếm quyền điều khiển. Cướp tiền tố là quảng cáo một mạng không thuộc về bạn, như trường hợp của MyEtherwallet. Chúng tôi đã lấy một số tiền tố, đồng ý với nhà cung cấp hoặc hack nó và thông qua đó, chúng tôi công bố các mạng này.
Rò rỉ tuyến đường. Rò rỉ phức tạp hơn một chút. Rò rỉ là một sự thay đổi trong Đường dẫn AS. Trong trường hợp tốt nhất, sự thay đổi sẽ dẫn đến độ trễ lớn hơn vì bạn cần phải di chuyển trên một tuyến đường dài hơn hoặc trên một tuyến đường có dung lượng thấp hơn. Tệ nhất, trường hợp của Google và Nhật Bản sẽ lặp lại.
Bản thân Google không phải là nhà điều hành hoặc hệ thống tự động chuyển tuyến. Nhưng khi anh công bố mạng lưới của các nhà khai thác Nhật Bản cho nhà cung cấp của mình, lưu lượng truy cập qua Google qua AS Path được coi là ưu tiên cao hơn. Lưu lượng truy cập đến đó và giảm xuống đơn giản vì cài đặt định tuyến bên trong Google phức tạp hơn chỉ là các bộ lọc ở biên giới.
Tại sao bộ lọc không hoạt động?
Không ai quan tâm. Đây là lý do chính - không ai quan tâm. Quản trị viên của một nhà cung cấp hoặc công ty nhỏ kết nối với nhà cung cấp qua BGP đã lấy MikroTik, định cấu hình BGP trên đó và thậm chí không biết rằng các bộ lọc có thể được định cấu hình ở đó.
Lỗi cấu hình. Họ đã làm sai điều gì đó, mắc lỗi trong mặt nạ, đeo nhầm lưới - và bây giờ lại xảy ra lỗi.
Không có khả năng kỹ thuật. Ví dụ, các nhà cung cấp dịch vụ viễn thông có nhiều khách hàng. Điều thông minh cần làm là tự động cập nhật các bộ lọc cho từng khách hàng - để theo dõi xem anh ta có mạng mới hay không, rằng anh ta đã cho ai đó thuê mạng của mình hay chưa. Thật khó để làm theo điều này và thậm chí còn khó hơn với đôi tay của bạn. Vì vậy, họ chỉ cần cài đặt các bộ lọc thoải mái hoặc không cài đặt bộ lọc nào cả.
Ngoại lệ. Có những trường hợp ngoại lệ dành cho những khách hàng lớn và được yêu mến. Đặc biệt là trong trường hợp giao diện giữa các nhà điều hành. Ví dụ: TransTeleCom và Rostelecom có nhiều mạng và có giao diện giữa chúng. Nếu khớp rơi sẽ không tốt cho ai nên các bộ lọc sẽ được nới lỏng hoặc loại bỏ hoàn toàn.
Thông tin lỗi thời hoặc không liên quan trong IRR. Bộ lọc được xây dựng dựa trên thông tin được ghi lại trong IRR - Đăng ký định tuyến Internet. Đây là cơ quan đăng ký của các nhà đăng ký Internet khu vực. Thông thường, sổ đăng ký chứa thông tin lỗi thời hoặc không liên quan hoặc cả hai.
Những người đăng ký này là ai?
Tất cả địa chỉ Internet đều thuộc về tổ chức IANA - Cơ quan cấp số được chỉ định trên Internet. Khi bạn mua mạng IP từ ai đó, bạn không mua địa chỉ mà là quyền sử dụng chúng. Địa chỉ là tài nguyên vô hình và theo thỏa thuận chung, tất cả chúng đều thuộc sở hữu của IANA.
Hệ thống hoạt động như thế này. IANA ủy quyền quản lý địa chỉ IP và số hệ thống tự trị cho năm nhà đăng ký khu vực. Họ phát hành hệ thống tự trị LIR - nhà đăng ký internet địa phương. LIR sau đó phân bổ địa chỉ IP cho người dùng cuối.
Nhược điểm của hệ thống là mỗi nhà đăng ký khu vực duy trì sổ đăng ký của mình theo cách riêng. Mọi người đều có quan điểm riêng về thông tin nào nên được đưa vào sổ đăng ký và ai nên hoặc không nên kiểm tra thông tin đó. Kết quả là chúng ta có tình trạng lộn xộn hiện nay.
Bạn có thể giải quyết những vấn đề này bằng cách nào khác?
IRR - chất lượng tầm thường. Điều đó rõ ràng với IRR - mọi thứ đều tồi tệ ở đó.
cộng đồng BGP. Đây là một số thuộc tính được mô tả trong giao thức. Ví dụ: chúng tôi có thể đính kèm một cộng đồng đặc biệt vào thông báo của mình để hàng xóm không gửi mạng của chúng tôi cho hàng xóm của anh ấy. Khi chúng tôi có liên kết P2P, chúng tôi chỉ trao đổi mạng của mình. Để ngăn tuyến đường vô tình đi đến các mạng khác, chúng tôi thêm cộng đồng.
Các cộng đồng không mang tính bắc cầu. Đó luôn là một hợp đồng dành cho hai người, và đây là nhược điểm của họ. Chúng tôi không thể chỉ định bất kỳ cộng đồng nào, ngoại trừ một cộng đồng được mọi người chấp nhận theo mặc định. Chúng tôi không thể chắc chắn rằng mọi người sẽ chấp nhận cộng đồng này và giải thích nó một cách chính xác. Vì vậy, trong trường hợp tốt nhất, nếu bạn đồng ý với đường lên của mình, anh ấy sẽ hiểu bạn muốn gì ở anh ấy về mặt cộng đồng. Nhưng hàng xóm của bạn có thể không hiểu hoặc nhà điều hành sẽ chỉ đặt lại thẻ của bạn và bạn sẽ không đạt được điều mình muốn.
RPKI + ROA chỉ giải quyết được một phần nhỏ vấn đề. RPKI là Cơ sở hạ tầng khóa công khai tài nguyên - một khuôn khổ đặc biệt để ký thông tin định tuyến. Bạn nên buộc LIR và khách hàng của họ duy trì cơ sở dữ liệu không gian địa chỉ cập nhật. Nhưng có một vấn đề với nó.
RPKI cũng là một hệ thống khóa công khai phân cấp. IANA có khóa từ đó khóa RIR được tạo và từ khóa LIR nào được tạo? mà họ ký vào không gian địa chỉ của mình bằng cách sử dụng ROA - Ủy quyền xuất xứ tuyến đường:
— Tôi đảm bảo với bạn rằng tiền tố này sẽ được công bố thay mặt cho khu tự trị này.
Ngoài ROA, còn có các đối tượng khác, nhưng sau này sẽ nói thêm về chúng. Nó có vẻ là một điều tốt và hữu ích. Nhưng nó không bảo vệ chúng ta khỏi bị rò rỉ từ từ “không hề” và không giải quyết được mọi vấn đề với việc chiếm quyền điều khiển tiền tố. Vì vậy, người chơi không vội vàng thực hiện nó. Mặc dù đã có sự đảm bảo từ những công ty lớn như AT&T và các công ty IX lớn rằng tiền tố có bản ghi ROA không hợp lệ sẽ bị loại bỏ.
Có lẽ họ sẽ làm điều này, nhưng hiện tại chúng tôi có một số lượng lớn tiền tố chưa được ký dưới bất kỳ hình thức nào. Một mặt, không rõ liệu chúng có được công bố hợp lệ hay không. Mặt khác, chúng tôi không thể bỏ chúng theo mặc định vì chúng tôi không chắc liệu điều này có đúng hay không.
Còn gì nữa không?
BGPsec. Đây là một điều thú vị mà các học giả đã nghĩ ra đối với mạng lưới ngựa con màu hồng. Họ nói rằng:
- Chúng tôi có RPKI + ROA - cơ chế xác minh chữ ký không gian địa chỉ. Hãy tạo một thuộc tính BGP riêng biệt và gọi nó là Đường dẫn BGPSec. Mỗi bộ định tuyến sẽ ký bằng chữ ký riêng của mình vào các thông báo mà nó thông báo cho các bộ định tuyến lân cận. Bằng cách này, chúng tôi sẽ có được một đường dẫn đáng tin cậy từ chuỗi thông báo đã ký và có thể kiểm tra nó.
Về mặt lý thuyết thì tốt nhưng thực tế còn nhiều vấn đề. BGPSec phá vỡ nhiều cơ chế BGP hiện có để chọn các bước nhảy tiếp theo và quản lý lưu lượng đến/đi trực tiếp trên bộ định tuyến. BGPSec không hoạt động cho đến khi 95% toàn bộ thị trường triển khai nó, bản thân điều này đã là một điều không tưởng.
BGPSec có vấn đề lớn về hiệu suất. Trên phần cứng hiện tại, tốc độ kiểm tra thông báo xấp xỉ 50 tiền tố/giây. Để so sánh: bảng Internet hiện tại gồm 700 tiền tố sẽ được tải lên sau 000 giờ, trong thời gian đó nó sẽ thay đổi thêm 5 lần nữa.
Chính sách mở BGP (BGP dựa trên vai trò). Đề xuất mới dựa trên mô hình Gao-Rexford. Đây là hai nhà khoa học đang nghiên cứu BGP.
Mô hình Gao-Rexford như sau. Để đơn giản hóa, với BGP có một số loại tương tác nhỏ:
- Khách hàng của nhà cung cấp;
- P2P;
- giao tiếp nội bộ, chẳng hạn như iBGP.
Dựa trên vai trò của bộ định tuyến, có thể chỉ định một số chính sách nhập/xuất nhất định theo mặc định. Quản trị viên không cần định cấu hình danh sách tiền tố. Dựa trên vai trò mà các bộ định tuyến thống nhất với nhau và có thể được đặt, chúng tôi đã nhận được một số bộ lọc mặc định. Đây hiện là bản dự thảo đang được thảo luận tại IETF. Tôi hy vọng rằng chúng ta sẽ sớm thấy điều này dưới dạng RFC và triển khai trên phần cứng.
Các nhà cung cấp Internet lớn
Hãy xem ví dụ về một nhà cung cấp Thế kỷ. Đây là nhà cung cấp lớn thứ ba của Hoa Kỳ, phục vụ 37 tiểu bang và có 15 trung tâm dữ liệu.
Vào tháng 2018 năm 50, CenturyLink đã có mặt trên thị trường Mỹ được 911 giờ. Trong thời gian xảy ra vụ việc, hoạt động của các máy ATM ở XNUMX bang đã gặp sự cố và số XNUMX không hoạt động trong vài giờ ở XNUMX bang. Cuộc xổ số ở Idaho đã bị hủy hoại hoàn toàn. Vụ việc hiện đang được Ủy ban Viễn thông Mỹ điều tra.
Nguyên nhân của thảm kịch là do một card mạng trong một trung tâm dữ liệu. Thẻ bị trục trặc, gửi gói tin không chính xác và tất cả 15 trung tâm dữ liệu của nhà cung cấp đều ngừng hoạt động.
Ý tưởng này không hiệu quả với nhà cung cấp này "quá lớn để rơi". Ý tưởng này không hoạt động chút nào. Bạn có thể lấy bất kỳ người chơi chính nào và đặt một số thứ nhỏ lên trên. Mỹ vẫn đang làm tốt việc kết nối. Những khách hàng của CenturyLink có khoản dự trữ đã lũ lượt tham gia. Sau đó, các nhà khai thác thay thế phàn nàn về việc liên kết của họ bị quá tải.
Nếu Kazakhstantelecom có điều kiện thất thủ, cả nước sẽ không có Internet.
Tổng công ty
Có lẽ Google, Amazon, Facebook và các tập đoàn khác hỗ trợ Internet? Không, họ cũng phá vỡ nó.
Năm 2017 tại St. Petersburg tại hội nghị ENOG13 Jeff Houston của APNIC giới thiệu . Nó nói lên rằng chúng ta đã quen với sự tương tác, dòng tiền và lưu lượng truy cập trên Internet theo chiều dọc. Chúng tôi có các nhà cung cấp nhỏ trả tiền để kết nối với các nhà cung cấp lớn hơn và họ đã trả tiền để kết nối với vận tải toàn cầu.
Bây giờ chúng ta có một cấu trúc định hướng theo chiều dọc như vậy. Mọi thứ sẽ ổn, nhưng thế giới đang thay đổi - những công ty lớn đang xây dựng các tuyến cáp xuyên đại dương để xây dựng đường trục của riêng họ.
Tin tức về cáp CDN.
Năm 2018, TeleGeography đã công bố một nghiên cứu cho thấy hơn một nửa lưu lượng truy cập trên Internet không còn là Internet mà là CDN xương sống của những người chơi lớn. Đây là lưu lượng truy cập có liên quan đến Internet, nhưng đây không còn là mạng mà chúng ta đang nói đến nữa.
Internet đang được chia thành một tập hợp lớn các mạng được kết nối lỏng lẻo.
Microsoft có mạng riêng, Google có mạng riêng và họ có rất ít sự trùng lặp với nhau. Lưu lượng truy cập bắt nguồn từ đâu đó tại Hoa Kỳ sẽ đi qua các kênh của Microsoft xuyên đại dương đến Châu Âu trên CDN, sau đó thông qua CDN hoặc IX, lưu lượng truy cập sẽ kết nối với nhà cung cấp của bạn và đến bộ định tuyến của bạn.
Sự phân cấp đang biến mất.
Sức mạnh này của Internet, thứ sẽ giúp nó sống sót sau vụ nổ hạt nhân, đang bị mất đi. Nơi tập trung người dùng và giao thông xuất hiện. Nếu Google Cloud có điều kiện bị sập, sẽ có nhiều nạn nhân cùng một lúc. Chúng tôi phần nào cảm nhận được điều này khi Roskomnadzor chặn AWS. Và ví dụ của CenturyLink cho thấy ngay cả những điều nhỏ nhặt cũng đủ cho việc này.
Trước đây, không phải mọi thứ và không phải ai cũng phá vỡ. Trong tương lai, chúng ta có thể đi đến kết luận rằng bằng cách tác động đến một người chơi chính, chúng ta có thể phá vỡ rất nhiều thứ, ở nhiều nơi và ở nhiều người.
Những trạng thái
Các quốc gia xếp hàng tiếp theo và đây là điều thường xảy ra với họ.
Ở đây Roskomnadzor của chúng tôi thậm chí không phải là người tiên phong. Tình trạng tắt Internet tương tự cũng tồn tại ở Iran, Ấn Độ và Pakistan. Ở Anh có dự luật về khả năng đóng cửa Internet.
Bất kỳ quốc gia lớn nào cũng muốn có công tắc tắt Internet, hoàn toàn hoặc một phần: Twitter, Telegram, Facebook. Không phải họ không hiểu rằng họ sẽ không bao giờ thành công mà là họ thực sự muốn điều đó. Theo quy định, công tắc này được sử dụng cho mục đích chính trị - để loại bỏ các đối thủ cạnh tranh chính trị, hoặc các cuộc bầu cử đang đến gần hoặc tin tặc Nga lại phá vỡ thứ gì đó.
Tấn công DDoS
Tôi sẽ không lấy bánh mì của đồng đội tôi ở Qrator Labs, họ làm điều đó tốt hơn tôi rất nhiều. Họ có về sự ổn định của Internet. Và đây là những gì họ đã viết trong báo cáo năm 2018.
Thời gian trung bình của các cuộc tấn công DDoS giảm xuống còn 2.5 giờ. Những kẻ tấn công cũng bắt đầu đếm tiền và nếu tài nguyên không có sẵn ngay lập tức thì chúng sẽ nhanh chóng để yên.
Cường độ tấn công ngày càng gia tăng. Năm 2018, chúng tôi thấy mạng Akamai có tốc độ 1.7 Tb/s và đây không phải là giới hạn.
Các hướng tấn công mới đang nổi lên và các hướng tấn công cũ đang gia tăng. Các giao thức mới dễ bị khuếch đại đang xuất hiện và các cuộc tấn công mới đang xuất hiện trên các giao thức hiện có, đặc biệt là TLS và những giao thức tương tự.
Phần lớn lưu lượng truy cập đến từ thiết bị di động. Đồng thời, lưu lượng truy cập Internet chuyển sang khách hàng di động. Cả những người tấn công và những người phòng thủ đều cần có khả năng làm việc với điều này.
Bất khả xâm phạm - không. Đây là ý tưởng chính - không có biện pháp bảo vệ phổ quát nào có thể bảo vệ chắc chắn khỏi bất kỳ DDoS nào.
Hệ thống không thể được cài đặt trừ khi nó được kết nối với Internet.
Tôi hy vọng tôi đã làm bạn sợ đủ. Bây giờ chúng ta hãy nghĩ xem phải làm gì với nó.
Làm gì ?!
Nếu bạn có thời gian rảnh, mong muốn và có kiến thức về tiếng Anh thì hãy tham gia vào các nhóm làm việc: IETF, RIPE WG. Đó là những danh sách mở thư, đăng ký danh sách gửi thư, tham gia thảo luận, đến dự hội nghị. Nếu bạn có trạng thái LIR, bạn có thể bỏ phiếu, chẳng hạn như trong RIPE cho các sáng kiến khác nhau.
Đối với người phàm thì đây là giám sát. Để biết cái gì đã hỏng.
Giám sát: kiểm tra những gì?
Ping bình thườngvà không chỉ kiểm tra nhị phân - nó có hoạt động hay không. Ghi lại RTT vào lịch sử để bạn có thể xem xét các điểm bất thường sau này.
Traceroute. Đây là một chương trình tiện ích để xác định các tuyến dữ liệu trên mạng TCP/IP. Giúp xác định sự bất thường và tắc nghẽn.
Kiểm tra HTTP để tìm URL tùy chỉnh và chứng chỉ TLS sẽ giúp phát hiện việc chặn hoặc giả mạo DNS cho một cuộc tấn công, thực tế là điều tương tự. Việc chặn thường được thực hiện bằng cách giả mạo DNS và chuyển lưu lượng truy cập sang trang sơ khai.
Nếu có thể, hãy kiểm tra quyết định của khách hàng về nguồn gốc của bạn từ những nơi khác nhau nếu bạn có đơn đăng ký. Điều này sẽ giúp bạn phát hiện các hành vi bất thường khi chiếm quyền điều khiển DNS, đây là điều mà các ISP đôi khi vẫn làm.
Giám sát: kiểm tra ở đâu?
Không có câu trả lời phổ quát. Kiểm tra xem người dùng đến từ đâu. Nếu người dùng ở Nga, hãy kiểm tra từ Nga nhưng đừng giới hạn bản thân ở đó. Nếu người dùng của bạn sống ở các khu vực khác nhau, hãy kiểm tra từ các khu vực này. Nhưng tốt hơn từ khắp nơi trên thế giới.
Giám sát: kiểm tra những gì?
Tôi đã nghĩ ra ba cách. Nếu bạn biết nhiều hơn, hãy viết trong phần bình luận.
- Bản đồ RIPE.
- Giám sát thương mại.
- Mạng máy ảo của riêng bạn.
Hãy nói về từng người trong số họ.
Atlas chín - đó là một cái hộp nhỏ. Dành cho những ai biết đến "Thanh tra" nội địa - đây là cùng một hộp, nhưng có nhãn dán khác.
RIPE Atlas là một chương trình miễn phí. Bạn đăng ký, nhận bộ định tuyến qua thư và cắm nó vào mạng. Vì thực tế là người khác sử dụng mẫu của bạn, bạn sẽ nhận được một số tín dụng. Với những khoản vay này, bạn có thể tự mình thực hiện một số nghiên cứu. Bạn có thể kiểm tra theo nhiều cách khác nhau: ping, traceroute, kiểm tra chứng chỉ. Vùng phủ sóng khá lớn, có nhiều nút. Nhưng có những sắc thái.
Hệ thống tín chỉ không cho phép xây dựng giải pháp sản xuất. Sẽ không có đủ tín chỉ để tiếp tục nghiên cứu hoặc giám sát thương mại. Số tín chỉ đủ cho một nghiên cứu ngắn hoặc kiểm tra một lần. Định mức hàng ngày từ một mẫu được tiêu thụ bằng 1-2 lần kiểm tra.
Độ che phủ không đồng đều. Vì chương trình này miễn phí theo cả hai hướng nên phạm vi phủ sóng rất tốt ở Châu Âu, khu vực Châu Âu của Nga và một số khu vực. Nhưng nếu bạn cần Indonesia hoặc New Zealand, thì mọi thứ còn tệ hơn nhiều - bạn có thể không có 50 mẫu cho mỗi quốc gia.
Bạn không thể kiểm tra http từ một mẫu. Điều này là do các sắc thái kỹ thuật. Họ hứa sẽ sửa nó trong phiên bản mới, nhưng hiện tại http không thể kiểm tra được. Chỉ có chứng chỉ mới có thể được xác minh. Một số loại kiểm tra http chỉ có thể được thực hiện đối với thiết bị RIPE Atlas đặc biệt có tên là Anchor.
Phương pháp thứ hai là giám sát thương mại. Mọi chuyện với anh ấy đều ổn, bạn đang trả tiền phải không? Họ hứa với bạn vài chục hoặc hàng trăm điểm giám sát trên khắp thế giới và vẽ ra những bảng điều khiển đẹp mắt ngay từ đầu. Nhưng, một lần nữa, lại có vấn đề.
Nó được trả tiền, ở một số nơi nó rất. Giám sát Ping, kiểm tra trên toàn thế giới và rất nhiều kiểm tra http có thể tiêu tốn vài nghìn đô la mỗi năm. Nếu tài chính cho phép và bạn thích giải pháp này, hãy tiếp tục.
Vùng phủ sóng có thể không đủ ở khu vực quan tâm. Với cùng một ping, tối đa một phần trừu tượng của thế giới được chỉ định - Châu Á, Châu Âu, Bắc Mỹ. Các hệ thống giám sát hiếm có có thể đi sâu vào một quốc gia hoặc khu vực cụ thể.
Hỗ trợ yếu cho các bài kiểm tra tùy chỉnh. Nếu bạn cần một cái gì đó tùy chỉnh chứ không chỉ là một đường cong trên url thì cũng có vấn đề với điều đó.
Cách thứ ba là theo dõi của bạn. Đây là một câu nói cổ điển: “Hãy viết của riêng chúng ta!”
Việc giám sát của bạn chuyển thành việc phát triển một sản phẩm phần mềm và một sản phẩm được phân phối. Bạn đang tìm nhà cung cấp hạ tầng, hãy xem cách triển khai và giám sát nó - việc giám sát cần phải được giám sát đúng không? Và cũng cần có sự hỗ trợ. Hãy suy nghĩ mười lần trước khi bạn thực hiện việc này. Có thể sẽ dễ dàng hơn khi trả tiền cho ai đó để làm việc đó cho bạn.
Giám sát sự bất thường của BGP và các cuộc tấn công DDoS
Ở đây, dựa trên nguồn lực sẵn có, mọi thứ thậm chí còn đơn giản hơn. Các bất thường của BGP được phát hiện bằng các dịch vụ chuyên dụng như QRadar, BGPmon. Họ chấp nhận một bảng xem đầy đủ từ nhiều nhà khai thác. Dựa trên những gì họ thấy từ những người vận hành khác nhau, họ có thể phát hiện những điểm bất thường, tìm kiếm bộ khuếch đại, v.v. Việc đăng ký thường miễn phí - bạn nhập số điện thoại của mình, đăng ký nhận thông báo qua email và dịch vụ sẽ thông báo cho bạn về các vấn đề của bạn.
Việc giám sát các cuộc tấn công DDoS cũng đơn giản. Thông thường đây là Dựa trên NetFlow và nhật ký. Có hệ thống chuyên dụng như FastNetMon, mô-đun cho Splunk. Phương sách cuối cùng là có nhà cung cấp dịch vụ bảo vệ DDoS của bạn. Nó cũng có thể làm rò rỉ NetFlow và dựa vào đó, nó sẽ thông báo cho bạn về các cuộc tấn công theo hướng của bạn.
Những phát hiện
Đừng ảo tưởng - Internet chắc chắn sẽ bị hỏng. Không phải mọi thứ và không phải ai cũng sẽ xảy ra sự cố, nhưng 14 nghìn sự cố trong năm 2017 cho thấy rằng sẽ có sự cố.
Nhiệm vụ của bạn là nhận thấy vấn đề càng sớm càng tốt. Tối thiểu, không muộn hơn người dùng của bạn. Điều quan trọng không chỉ cần lưu ý là hãy luôn dự trữ “Kế hoạch B”. Kế hoạch là một chiến lược về những gì bạn sẽ làm khi mọi thứ đổ vỡ.: toán tử dự trữ, DC, CDN. Kế hoạch là một danh sách kiểm tra riêng biệt để bạn kiểm tra hoạt động của mọi thứ. Kế hoạch sẽ hoạt động mà không cần có sự tham gia của các kỹ sư mạng, vì thường có rất ít người trong số họ và họ muốn ngủ.
Đó là tất cả. Tôi chúc bạn tính sẵn sàng cao và giám sát xanh.
Tuần tới ở Novosibirsk sẽ có nắng ấm, dự kiến sẽ có lượng lớn và sự tập trung cao độ của các nhà phát triển . Ở Siberia, dự đoán sẽ có nhiều báo cáo về giám sát, khả năng tiếp cận và thử nghiệm, bảo mật và quản lý. Lượng mưa được dự đoán dưới dạng ghi chú nguệch ngoạc, mạng, ảnh và bài đăng trên mạng xã hội. Chúng tôi khuyên bạn nên hoãn tất cả các hoạt động vào ngày 24 và 25 tháng XNUMX và . Chúng tôi đang đợi bạn ở Siberia!
Nguồn: www.habr.com