Internet semble ĂȘtre une structure solide, indĂ©pendante et indestructible. En thĂ©orie, la force du rĂ©seau est suffisante pour survivre Ă une explosion nuclĂ©aire. En rĂ©alitĂ©, Internet peut supprimer un petit routeur. Tout cela parce que l'Internet est un tas de contradictions, de vulnĂ©rabilitĂ©s, d'erreurs et de vidĂ©os sur les chats. La base de l'Internet - BGP - contient un tas de problĂšmes. Il est Ă©tonnant qu'il respire encore. En plus des erreurs sur Internet lui-mĂȘme, tout le monde le casse: les grands fournisseurs Internet, les entreprises, les Ătats et les attaques DDoS. Que faire avec et comment vivre avec?
Alexey Uchakin (
Night_Snake ), le chef de l'Ă©quipe d'ingĂ©nieurs rĂ©seau chez IQ Option, connaĂźt la rĂ©ponse. Sa tĂąche principale est l'accessibilitĂ© de la plateforme pour les utilisateurs. En dĂ©chiffrant le rapport d'Alexey Ă
Saint HighLoad ++ 2019, nous parlerons du BGP, des attaques DDOS, de la dĂ©connexion Internet, des erreurs du fournisseur, de la dĂ©centralisation et des cas oĂč un petit routeur a mis Internet en veille. En fin de compte - quelques conseils sur la façon de survivre Ă tout cela.
Le jour oĂč Internet s'est cassĂ©
Je ne donnerai que quelques incidents lorsque la connectivité s'est rompue sur Internet. Ce sera suffisant pour l'image complÚte.
"Incident avec AS7007 .
" La premiÚre fois qu'Internet est tombé en panne en avril 1997. Il y avait une erreur dans le logiciel d'un routeur du systÚme autonome 7007. à un moment donné, le routeur a annoncé aux voisins sa table de routage interne et a envoyé la moitié du réseau au trou noir.
Pakistan vs YouTube . En 2008, les braves gars du Pakistan ont décidé de bloquer YouTube. Ils l'ont si bien fait que la moitié du monde est resté sans sceaux.
"Capture des préfixes VISA, MasterCard et Symantec par Rostelecom .
" En 2017, Rostelecom a annoncé par erreur les préfixes VISA, MasterCard et Symantec. En conséquence, le trafic financier passait par des canaux contrÎlés par le fournisseur. La fuite n'a pas duré longtemps, mais les sociétés financiÚres ont été désagréables.
Google c. Japon . En aoĂ»t 2017, Google a commencĂ© Ă annoncer les prĂ©fixes des grands fournisseurs japonais NTT et KDDI dans une partie de leurs liaisons montantes. Le trafic est allĂ© Ă Google en tant que transit, trĂšs probablement par erreur. Ătant donnĂ© que Google n'est pas un fournisseur et n'autorise pas le trafic de transit, une grande partie du Japon se retrouve sans Internet.
"DV LINK a capturé les préfixes de Google, Apple, Facebook, Microsoft .
" Dans le mĂȘme 2017, le fournisseur russe DV LINK a pour une raison quelconque commencĂ© Ă annoncer le rĂ©seau de Google, Apple, Facebook, Microsoft et quelques autres acteurs majeurs.
"US eNet a récupéré les préfixes AWS Route53 et MyEtherwallet .
" En 2018, un fournisseur de l'Ohio ou l'un de ses clients a annoncĂ© le rĂ©seau Amazon Route53 et le portefeuille cryptographique MyEtherwallet. L'attaque a rĂ©ussi: mĂȘme en dĂ©pit du certificat auto-signĂ©, un avertissement Ă propos duquel l'utilisateur est apparu lors de son entrĂ©e sur le site Web MyEtherwallet, de nombreux portefeuilles ont Ă©tĂ© dĂ©tournĂ©s et ont volĂ© une partie de la crypto-monnaie.
Il y a eu plus de 14 000 incidents de ce type en 2017 seulement! Le réseau est toujours décentralisé, donc tous ne se décomposent pas tous. Mais les incidents se produisent par milliers, et ils sont tous liés au protocole BGP, sur lequel Internet fonctionne.
BGP et ses problĂšmes
Le
protocole BGP - Border Gateway Protocol , a été décrit pour la premiÚre fois en 1989 par deux ingénieurs d'IBM et de Cisco Systems sur trois «serviettes» - feuilles A4. Ces
«serviettes» se trouvent toujours au siÚge de Cisco Systems à San Francisco en tant que relique du monde des réseaux.
Le protocole est basĂ© sur l'interaction de systĂšmes autonomes - SystĂšmes autonomes ou sous forme abrĂ©gĂ©e - AS. Un systĂšme autonome n'est qu'un identifiant auquel les rĂ©seaux IP sont affectĂ©s dans le registre public. Un routeur avec cet ID peut annoncer ces rĂ©seaux au monde. Par consĂ©quent, toute route sur Internet peut ĂȘtre reprĂ©sentĂ©e comme un vecteur appelĂ©
AS Path . Un vecteur se compose de numĂ©ros de systĂšme autonomes qui doivent ĂȘtre complĂ©tĂ©s pour atteindre un rĂ©seau de destination.
Par exemple, il existe un réseau d'un certain nombre de systÚmes autonomes. Vous devez passer du systÚme AS65001 au systÚme AS65003. Le chemin d'un systÚme est représenté par AS Path dans le diagramme. Il se compose de deux autonomies: 65002 et 65003. Pour chaque adresse de destination, il existe un vecteur AS Path, qui comprend le nombre de systÚmes autonomes que nous devons traverser.
Quels sont donc les problĂšmes avec BGP?
BGP est un protocole de confiance
Protocole BGP - basé sur la confiance. Cela signifie que par défaut, nous faisons confiance à notre voisin. C'est une caractéristique de nombreux protocoles qui ont été développés à l'aube d'Internet. Voyons ce que signifie la «confiance».
Aucune authentification de voisin . Formellement, il y a MD5, mais MD5 en 2019 - eh bien, c'est ...
Pas de filtrage . BGP a des filtres et ils sont décrits, mais ils ne sont pas utilisés ou sont mal utilisés. J'expliquerai pourquoi plus tard.
Il est trÚs simple de créer un quartier . ParamÚtres de voisinage dans le protocole BGP sur presque tous les routeurs - quelques lignes de configuration.
Les droits de gestion BGP ne sont pas requis . Pas besoin de passer des examens pour confirmer vos qualifications. Personne n'enlÚvera les droits de configurer BGP en état d'ébriété.
Deux problĂšmes principaux
Préfixe détournement - Préfixe détournements . Le détournement de préfixe est l'annonce d'un réseau qui ne vous appartient pas, comme c'est le cas avec MyEtherwallet. Nous avons pris des préfixes, convenu avec le fournisseur ou piraté, et à travers lui, nous annonçons ces réseaux.
Fuites de route - fuites de route . Les fuites sont un peu plus délicates.
La fuite est un changement dans AS Path . Dans le meilleur des cas, le changement entraĂźnera un retard plus important, car vous devez emprunter la liaison plus longue ou moins volumineuse. Dans le pire des cas avec Google et le Japon.
Google lui-mĂȘme n'est ni un opĂ©rateur ni un systĂšme autonome de transit. Mais lorsqu'il a annoncĂ© Ă son fournisseur un rĂ©seau d'opĂ©rateurs japonais, le trafic via Google via AS Path Ă©tait considĂ©rĂ© comme plus prioritaire. Le trafic y est allĂ© et a baissĂ© simplement parce que les paramĂštres de routage dans Google sont plus compliquĂ©s que les filtres Ă la frontiĂšre.
Pourquoi les filtres ne fonctionnent-ils pas?
Personne ne s'en soucie . C'est la raison principale - tout le monde s'en fiche. L'administrateur d'un petit fournisseur ou d'une entreprise qui s'est connectĂ© au fournisseur via BGP a pris MikroTik, a configurĂ© BGP dessus et ne sait mĂȘme pas que des filtres peuvent y ĂȘtre configurĂ©s.
Erreurs de configuration . Ils ont fait leurs débuts quelque chose, fait une erreur dans le masque, mis le mauvais maillage - et maintenant, encore une fois, une erreur.
Il n'y a aucune possibilité technique . Par exemple, les fournisseurs de communication ont de nombreux clients. De maniÚre intelligente, vous devez mettre à jour automatiquement les filtres pour chaque client - assurez-vous qu'il a un nouveau réseau, qu'il a loué son réseau à quelqu'un. Il est difficile de garder une trace de cela; avec vos mains, c'est encore plus difficile. Par conséquent, ils mettent simplement des filtres détendus ou n'en mettent pas du tout.
Exceptions Il existe des exceptions pour les clients bien-aimés et les gros clients. Surtout dans le cas de joints inter-opérateurs. Par exemple, TransTeleCom et Rostelecom ont un tas de réseaux et une jonction entre eux. Si le joint se couche, il ne sera bon pour personne, donc les filtres se détendent ou se retirent complÚtement.
Informations périmées ou non pertinentes dans le TRI . Les filtres sont construits sur la base des informations enregistrées dans l'
IRR - Internet Routing Registry . Il s'agit des registres des bureaux d'enregistrement régionaux d'Internet. Souvent dans les registres des informations obsolÚtes ou non pertinentes, ou toutes ensemble.
Qui sont ces bureaux d'enregistrement?
Toutes les adresses Internet appartiennent Ă l'
IANA - Internet Assigned Numbers Authority . Lorsque vous achetez un réseau IP à quelqu'un, vous n'achetez pas d'adresses, mais le droit de les utiliser. Les adresses sont une ressource intangible et, d'un commun accord, elles appartiennent toutes à l'agence IANA.
Le systÚme fonctionne comme ça. L'IANA délÚgue la gestion des adresses IP et des numéros de systÚmes autonomes à cinq bureaux d'enregistrement régionaux. Ceux-ci délivrent des systÚmes autonomes aux
LIR - bureaux d'enregistrement Internet locaux . Ensuite, les LIR attribuent des adresses IP aux utilisateurs finaux.
L'inconvĂ©nient du systĂšme est que chacun des bureaux d'enregistrement rĂ©gionaux tient ses propres registres Ă sa maniĂšre. Chacun a sa propre opinion sur les informations qui devraient ĂȘtre contenues dans les registres, qui devrait ou non les vĂ©rifier. Le rĂ©sultat est un gĂąchis, qui est maintenant.
Sinon, comment pouvez-vous résoudre ces problÚmes?
IRR est de qualité médiocre . Avec l'IRR, c'est clair - tout va mal là -bas.
Communautés BGP . Il s'agit d'un attribut décrit dans le protocole. Par exemple, nous pouvons attacher une communauté spéciale à notre annonce afin qu'un voisin n'envoie pas nos réseaux à ses voisins. Lorsque nous avons une liaison P2P, nous échangeons uniquement nos réseaux. Afin que l'itinéraire ne passe pas accidentellement vers d'autres réseaux, nous raccrochons la communauté.
La communautĂ© n'est pas transitive . C'est toujours un contrat pour deux, et c'est leur inconvĂ©nient. Nous ne pouvons pas traĂźner une communautĂ©, sauf une, qui est acceptĂ©e par dĂ©faut par tous. Nous ne pouvons pas ĂȘtre sĂ»rs que cette communautĂ© sera acceptĂ©e et correctement interprĂ©tĂ©e par tout le monde. Par consĂ©quent, dans le meilleur des cas, si vous ĂȘtes d'accord avec votre liaison montante, il comprendra ce que vous attendez de lui dans la communautĂ©. Mais son voisin peut ne pas comprendre, ou l'opĂ©rateur va simplement rĂ©initialiser votre marque, et vous n'atteindrez pas ce que vous vouliez.
RPKI + ROA ne résout qu'une petite partie des problÚmes . RPKI est une
infrastructure de clé publique de ressource - un cadre spécial pour la signature des informations de routage. C'est une bonne idée que les LIR et leurs clients gÚrent une base de données d'espace d'adressage à jour. Mais il y a un problÚme avec lui.
RPKI est également un systÚme de clé publique hiérarchique. L'IANA a-t-elle une clé à partir de laquelle les clés RIR sont générées et à partir de celles-ci LIR? avec lequel ils signent leur espace d'adressage à l'aide des ROA - Autorisations d'origine de l'itinéraire:
«Je vous assure que ce prĂ©fixe sera annoncĂ© au nom de cette autonomie.»En plus du ROA, il existe d'autres objets, mais Ă leur sujet en quelque sorte plus tard. Il semble que la chose soit bonne et utile. Mais cela ne nous protĂšge pas des fuites du mot "complĂštement" et ne rĂ©sout pas tous les problĂšmes de dĂ©tournement de prĂ©fixes. Par consĂ©quent, les joueurs ne sont pas pressĂ©s de le mettre en Ćuvre. Bien qu'il y ait dĂ©jĂ des assurances de grands joueurs tels que AT&T et de grands IXs que les prĂ©fixes avec un enregistrement ROA invalide vont baisser.
Peut-ĂȘtre qu'ils le feront, mais jusqu'Ă prĂ©sent, nous avons un grand nombre de prĂ©fixes qui ne sont pas signĂ©s du tout. D'une part, on ne sait pas si elles sont annoncĂ©es valablement. D'un autre cĂŽtĂ©, nous ne pouvons pas les supprimer par dĂ©faut, car nous ne savons pas si cela est correct ou non.
Qu'y a-t-il d'autre?
BGPSec . C'est une chose cool que les universitaires ont mise au point pour le réseau de poneys roses. Ils ont dit:
- Nous avons RPKI + ROA - un mécanisme de certification de la signature de l'espace d'adressage. Obtenons un attribut BGP distinct et appelons-le BGPSec Path. Chaque routeur signera avec sa signature les annonces qu'il annonce à ses voisins. Nous obtenons donc le chemin de confiance de la chaßne d'annonces signées et pouvons le vérifier.En théorie, c'est bien, mais dans la pratique, il y a beaucoup de problÚmes. BGPSec casse de nombreuses mécaniques BGP existantes en choisissant le tronçon suivant et en gérant le trafic entrant / sortant directement sur le routeur. BGPSec ne fonctionne pas jusqu'à ce que 95% de l'ensemble des acteurs du marché l'introduisent, ce qui est en soi une utopie.
BGPSec a d'énormes problÚmes de performances. Sur le matériel actuel, la vitesse de vérification des annonces est d'environ 50 préfixes par seconde. A titre de comparaison: le tableau Internet actuel de 700 000 préfixes sera rempli pendant 5 heures, pour lequel il changera encore 10 fois.
BGP Open Policy (BGP basé sur les rÎles) . Nouvelle offre basée sur le modÚle
Gao Rexford . Ce sont deux scientifiques qui participent Ă la recherche BGP.
Le modĂšle Gao Rexford est le suivant. Pour simplifier, dans le cas du BGP, il existe un petit nombre de types d'interactions:
- Client fournisseur;
- P2P;
- interaction interne, par exemple, iBGP.
En fonction du rĂŽle du routeur, il est dĂ©jĂ possible de dĂ©finir certaines politiques d'importation / exportation par dĂ©faut. L'administrateur n'a pas besoin de configurer les listes de prĂ©fixes. En fonction du rĂŽle sur lequel les routeurs s'accordent et qui peut ĂȘtre dĂ©fini, nous obtenons dĂ©jĂ des filtres par dĂ©faut. Maintenant, c'est un projet qui est en cours de discussion Ă l'IETF. J'espĂšre que bientĂŽt nous verrons cela sous forme de RFC et d'implĂ©mentation sur le matĂ©riel.
Grands fournisseurs de services Internet
Prenons l'exemple d'un fournisseur
CenturyLink . Il s'agit du troisiĂšme fournisseur amĂ©ricain en importance, qui dessert 37 Ătats et compte 15 centres de donnĂ©es.
En dĂ©cembre 2018, CenturyLink a Ă©tĂ© sur le marchĂ© amĂ©ricain pendant 50 heures. Pendant l'incident, il y a eu des problĂšmes avec le fonctionnement des distributeurs automatiques de billets dans deux Ătats; le 911 n'a pas fonctionnĂ© pendant plusieurs heures dans cinq Ătats. La loterie de l'Idaho a Ă©tĂ© mise en piĂšces. La US Telecommunications Commission enquĂȘte actuellement sur l'incident.
La raison de la tragédie réside dans une carte réseau dans un centre de données. La carte a échoué, a envoyé des paquets incorrects et les 15 centres de données des fournisseurs sont tombés en panne.
Pour ce fournisseur, l'idée de
«trop gros pour tomber» n'a pas fonctionnĂ©. Cette idĂ©e ne fonctionne pas du tout. Vous pouvez prendre n'importe quel acteur majeur et mettre un peu de bagatelle. Aux Ătats-Unis, tout est encore bon avec la connectivitĂ©. Les clients de CenturyLink qui avaient une rĂ©serve y sont allĂ©s en masse. Ensuite, les opĂ©rateurs alternatifs se sont plaints de la surcharge de leurs liaisons.
Si le Kazakhtelecom conditionnel ment, tout le pays se retrouvera sans Internet.
Les sociétés
Probablement sur Google, Amazon, FaceBook et d'autres sociétés est connecté à Internet? Non, ils le cassent aussi.
En 2017 à Saint-Pétersbourg lors de la conférence ENOG13,
Jeff Houston de l'
APNIC a présenté le
rapport «Death of Transit» . Il indique que nous sommes habitués au fait que l'interaction, les flux de trésorerie et le trafic Internet sont verticaux. Nous avons de petits fournisseurs qui paient pour la connectivité aux plus grands, et ceux qui paient déjà pour la connectivité au transit mondial.
Maintenant, nous avons une telle structure orientée verticalement. Tout irait bien, mais le monde change - de grands acteurs construisent leurs cùbles transocéaniques pour construire leurs propres dorsales.
Nouvelles sur le cĂąble CDN.En 2018, TeleGeography a publiĂ© une Ă©tude selon laquelle plus de la moitiĂ© du trafic sur Internet n'est plus Internet, mais l'Ă©pine dorsale des principaux acteurs. Il s'agit du trafic liĂ© Ă Internet, mais ce n'est pas le mĂȘme rĂ©seau que celui dont nous avons parlĂ©.
Internet se décompose en un large éventail de réseaux faiblement couplés.
Microsoft a son propre rĂ©seau, Google a son propre rĂ©seau et ils se chevauchent faiblement. Le trafic provenant de quelque part aux Ătats-Unis passe par les canaux Microsoft Ă travers l'ocĂ©an vers l'Europe quelque part sur un CDN, puis se connecte Ă votre fournisseur via CDN ou IX et parvient Ă votre routeur.
La décentralisation disparaßt.
Cette force d'Internet, qui l'aidera à survivre à l'explosion nucléaire, est perdue. Il y a des lieux de concentration d'utilisateurs et de trafic. Si le Google Cloud conditionnel se trouve, il y aura de nombreuses victimes à la fois. En partie, nous l'avons ressenti lorsque Roskomnadzor a bloqué AWS. Et avec l'exemple de CenturyLink, il est clair qu'il y a suffisamment de détails pour cela.
Auparavant, tous et pas tous se sont cassĂ©s. Ă l'avenir, nous pouvons conclure qu'en influençant un acteur majeur, vous pouvez casser beaucoup de choses, beaucoup oĂč et beaucoup avec qui.
Ătats
Les états suivent en ligne, et leur arrive généralement.
Ici, notre Roskomnadzor n'est jamais mĂȘme un pionnier. Une pratique similaire de fermeture d'Internet est en Iran, en Inde et au Pakistan. En Angleterre, il existe un projet de loi sur la possibilitĂ© de dĂ©connecter Internet.
Tout grand Ătat souhaite obtenir un interrupteur pour dĂ©sactiver Internet, en totalitĂ© ou en partie: Twitter, tĂ©lĂ©gramme, Facebook. Ils ne comprennent pas quâils ne rĂ©ussiront jamais, mais ils le veulent vraiment. Un interrupteur Ă couteau est gĂ©nĂ©ralement utilisĂ© Ă des fins politiques - pour Ă©liminer les concurrents politiques, ou des Ă©lections sur le nez, ou les pirates russes ont de nouveau cassĂ© quelque chose.
Attaques DDoS
Je ne prendrai pas le pain des camarades de Qrator Labs, ils le font beaucoup mieux que moi. Ils ont un
rapport annuel sur la stabilité d'Internet. Et voici ce qu'ils ont écrit dans le rapport pour 2018.
La durée moyenne des attaques DDoS tombe à 2,5 heures . Les attaquants commencent également à compter de l'argent, et si la ressource n'est pas tombée immédiatement, elle est rapidement laissée seule.
L'intensité des attaques augmente . En 2018, nous avons vu 1,7 Tb / s sur le réseau Akamai, et ce n'est pas la limite.
De nouveaux vecteurs d'attaque apparaissent et les anciens s'amplifient . De nouveaux protocoles apparaissent qui sont sujets Ă amplification, de nouvelles attaques apparaissent sur des protocoles existants, en particulier TLS et similaires.
La majeure partie du trafic provient d'appareils mobiles . Dans le mĂȘme temps, le trafic Internet est transfĂ©rĂ© vers les clients mobiles. Avec cela, vous devez ĂȘtre en mesure de travailler Ă la fois pour ceux qui attaquent et ceux qui se dĂ©fendent.
Invulnérable - non . C'est l'idée principale - il n'y a pas de protection universelle qui ne protÚge pas exactement contre les DDoS.
Le systĂšme ne peut ĂȘtre installĂ© que s'il n'est pas connectĂ© Ă Internet.
J'espĂšre que je t'ai fait assez peur. Voyons maintenant quoi en faire.
Que faire?!
Si vous avez du temps libre, le désir et la connaissance de l'anglais - participer à des groupes de travail: IETF, RIPE WG. Ce sont des listes de diffusion ouvertes, abonnez-vous aux newsletters, participez aux discussions, venez aux conférences. Si vous avez le statut LIR, vous pouvez voter, par exemple, dans RIPE pour diverses initiatives.
Pour les simples mortels, c'est de la
surveillance . Pour savoir ce qui est cassé.
Surveillance: que vérifier?
Ping normal , et pas seulement une vĂ©rification binaire - cela fonctionne ou non. Ăcrivez RTT dans l'historique pour voir les anomalies plus tard.
Traceroute . Il s'agit d'un programme utilitaire pour déterminer les chemins de données dans les réseaux TCP / IP. Aide à détecter les anomalies et les blocages.
Les vĂ©rifications HTTP vĂ©rifient les URL personnalisĂ©es et les certificats TLS aideront Ă dĂ©tecter le blocage ou l'usurpation DNS pour une attaque, qui est presque la mĂȘme. Les verrous sont souvent effectuĂ©s en usurpant le DNS et en enveloppant le trafic sur une page de stub.
Si possible, vérifiez auprÚs de vos clients la résolution de votre origine de différents endroits, si vous avez une application. Vous trouverez donc des anomalies d'interception DNS, que les fournisseurs pÚchent parfois.
Surveillance: oĂč vĂ©rifier?
Il n'y a pas de rĂ©ponse universelle. VĂ©rifiez d'oĂč vient l'utilisateur. Si les utilisateurs sont en Russie, vĂ©rifiez depuis la Russie, mais ne vous limitez pas Ă cela. Si vos utilisateurs vivent dans diffĂ©rentes rĂ©gions, vĂ©rifiez Ă partir de ces rĂ©gions. Mais mieux de partout dans le monde.
Surveillance: comment vérifier?
J'ai trouvé trois façons. Si vous en savez plus - écrivez dans les commentaires.
- RIPE Atlas.
- Suivi commercial.
- Propre réseau de virtualoks.
Parlons de chacun d'eux.
RIPE Atlas est une si petite boĂźte. Pour ceux qui connaissent "l'inspecteur" domestique - c'est la mĂȘme boĂźte, mais avec un autocollant diffĂ©rent.
RIPE Atlas est un programme gratuit . Vous vous inscrivez, recevez un routeur par mail et branchez-le sur le rĂ©seau. Pour le fait que quelqu'un d'autre profite de votre panne, vous recevrez des prĂȘts. Pour ces prĂȘts, vous pouvez effectuer vous-mĂȘme des recherches. Vous pouvez tester de diffĂ©rentes maniĂšres: ping, traceroute, vĂ©rifier les certificats. La couverture est assez large, de nombreux nĆuds. Mais il y a des nuances.
Le systĂšme de crĂ©dit ne permet pas de construire des solutions de production . Les prĂȘts pour la recherche en cours ou la surveillance commerciale ne suffisent pas. Les crĂ©dits sont suffisants pour une courte Ă©tude ou une vĂ©rification ponctuelle. Le taux quotidien d'un Ă©chantillon est consommĂ© par 1-2 contrĂŽles.
La couverture est inĂ©gale . Le programme Ă©tant gratuit dans les deux sens, la couverture est bonne en Europe, dans la partie europĂ©enne de la Russie et dans certaines rĂ©gions. Mais si vous avez besoin de l'IndonĂ©sie ou de la Nouvelle-ZĂ©lande, tout est bien pire - 50 Ă©chantillons par pays peuvent ne pas ĂȘtre collectĂ©s.
Vous ne pouvez pas vérifier http à partir de l'exemple . Cela est dû à des nuances techniques. , http . . - http check RIPE Atlas, Anchor.
â . , ? , « ». , , .
, . , http- . â .
. â , , . .
custom- . - , «» url, .
â . : « !»
, . , , â , ? . , . , -, .
BGP- DDoS-
.
BGP- QRadar, BGPmon . full view- . , , , . â , , .
DDoS- . ,
NetFlow-based .
FastNetMon ,
Splunk . DDoS-. NetFlow .
â . , 14 2017 , .
â . , , . , , « ».
â , , : , , CDN. â -, . , , .
Câest tout. .
, HighLoad++ Siberia 2019 . , , . , , . 24 25 . !