Презентация к докладу Александра Азимова, ведущего инженера по эксплуатации сети фильтрации трафика Qrator, который был прочитан 27 апреля 2011 г. на VIP-дне конференции «Российские интернет-технологии» (РИТ++).
Глобальная доступность ресурса определяется на основе взаимодействия автономных систем (АС). Поэтому основным критерием при выборе хостинга, за исключением финансовой составляющей, является уровень связности АС, в которой расположен хостинг, с сетью АС. Однако наличие физических каналов между АС еще не гарантирует пиринговых отношений между ними. Более того, даже наличие пиринга между сервис-провайдерами не означает, что данный физический канал будет использован.
Правила передачи и фильтрации трафика в сети АС реализуются с использованием политик маршрутизации протокола BGP. Несмотря на то, что региональные регистры маршрутизации (ARIN/APNIC/AFNIC/RIPE) поддерживают интерфейсы для регистрации данных политик маршрутизации, эти данные неполны, а зачастую и некорректны. Это приводит к ситуации, когда уровень связности АС пытаются определять, используя косвенные критерии, такие как уровень физических соединений или количество клиентских маршрутов.
В данной работе демонстрируется подход к созданию системы моделирования маршрутизации BGP, которая позволяет идентифицировать в том числе закрытые или некорректные политики маршрутизации. Дополняют данную систему моделирования несколько методов верификации данных, в том числе с использованием механизма BGP Anycast.
В качестве демонстрации возможностей системы приводится анализ уровня реальной связности российского сегмента сети интернет.
Циклы маршрутизации на междоменном сетевом уровнеHLL
Презентация к докладу Александра Азимова, ведущего инженера по эксплуатации сети фильтрации трафика Qrator (HighLoad++, 3-4 октября 2011, Москва).
Глобальная доступность ресурса определяется на основе взаимодействия автономных систем (АС). Между АС действует де-факто стандартный протокол маршрутизации BGP, являющийся развитием дистанционно-векторного способа маршрутизации. При создании данного протокола большое внимание уделялось проблеме циклов маршрутизации, что позволило избежать статических колец маршрутизации. Однако динамические кольца маршрутизации продолжают возникать.
В докладе описаны основные отличительные особенности протокола маршрутизации BGP, связанные с областью его применения. Также рассказано о проблемах сходимости протокола BGP, возникающих на разных уровнях политик маршрутизации, с демонстрацией на примерах техники управления анонсами префиксов, позволяющих обнаруживать и разрывать кольца автономных систем.
Циклы маршрутизации на междоменном сетевом уровнеHLL
Презентация к докладу Александра Азимова, ведущего инженера по эксплуатации сети фильтрации трафика Qrator (HighLoad++, 3-4 октября 2011, Москва).
Глобальная доступность ресурса определяется на основе взаимодействия автономных систем (АС). Между АС действует де-факто стандартный протокол маршрутизации BGP, являющийся развитием дистанционно-векторного способа маршрутизации. При создании данного протокола большое внимание уделялось проблеме циклов маршрутизации, что позволило избежать статических колец маршрутизации. Однако динамические кольца маршрутизации продолжают возникать.
В докладе описаны основные отличительные особенности протокола маршрутизации BGP, связанные с областью его применения. Также рассказано о проблемах сходимости протокола BGP, возникающих на разных уровнях политик маршрутизации, с демонстрацией на примерах техники управления анонсами префиксов, позволяющих обнаруживать и разрывать кольца автономных систем.
Некоторые аспекты влияния сходимости протокола BGP на доступность сетевых рес...HLL
Тема презентации Александра Азимова, ведущего инженера по эксплуатации сети фильтрации трафика Qrator, представленной в рамках конференции HighLoad++ 25-26 октября 2010 г., относится к актуальной области администрирования на междоменном сетевом уровне — моделированию процесса сходимости протокола BGP.
Данный тип моделирования активно применяется при разработке новых механизмов передачи сообщений BGP и при оценке скорости перестроения глобальной сети вследствие возникновения нештатных ситуаций.
В рамках проведенного исследования были получены следующие оценки:
• Время сходимости протокола BGP вследствие объявления нового маршрута BGP-маршрутизатором пропорционально диаметру графа сети относительно рассматриваемого маршрутизатора;
• Время сходимости протокола BGP вследствие удаления маршрута BGP-маршрутизатором пропорционально гамильтонову пути в графе относительно рассматриваемого маршрутизатора.
В рамках исследования был также проведен анализ работы механизма Flap Damping. Данный инструмент BGP разработан для обнаружения, локализации и минимизации влияния на сеть АС нестабильных участков сети. В качестве признака нестабильности участка сети используется «мигающий маршрут»: повторяющиеся объявления и удаления маршрута к некоторому префиксу за короткий интервал времени. Используя полученные оценки времени сходимости протокола BGP, была рассчитана вероятность возникновения «мигающего маршрута» в кольце BGP-маршрутизаторов вследствие единичного удаления маршрута. В соответствии с полученными результатами, был сделан вывод о негативном влиянии механизма Flap Damping на сходимость протокола BGP.
Решения Cisco для оптического транспортаCisco Russia
В ходе данной сессии будет рассмотренна проблематика построения оптических опорных сетей и основные тенденции в развитии индустрии транспортных сетей. Также будут продемонстрированны новые возможности в использовании когерентных интерфейсов в построении DWDM на базе платформы Cisco NCS 2000 и особенности планирования и эксплуатации транспортных сетей (DWDM), использующих когерентные интерфейсы
Влияние сетевых аномалий на доступность ресурсовHLL
Александр Азимов, ведущий инженер по эксплуатации сети фильтрации трафика Qrator, рассказывает об основных причинах сетевых аномалий в рамках семинара компании HLL «DDoS-атаки и защита от них» (RIGF, 14 мая 2012, Москва).
Рассмотрены ошибки на уровне конфигурации маршрутизаторов и эффекты, возникающие в процессе сходимости протокола BGP. Так, циклы маршрутизации BGP приводят к частичной недоступности целевой сети, а отдельные ошибки в настройке маршрутизаторов могут позволить злоумышленникам увеличить плечо DDoS-атаки в несколько раз. Сетевые аномалии опасны еще и тем, что зачастую остаются невидимыми для автономной системы-источника. В заключение Александр Азимов демонстрирует статистику по сетевым аномалиям в Рунете, собранную системой мониторинга Qrator.
Доклад был также представлен на региональной конференции ENOG 3/RIPE NCC в Одессе 22-23 мая 2012 года.
Обзор оборудования для построения сетей операторов связи.Cisco Russia
Данная сессия посвящена развитию модельного ряда оборудования, применяемого для построения высокоэффективных сегментов доступа и агрегации операторов фиксированной и мобильной связи, а также новому функционалу и возможностям оборудования. Информация, полученная в результате данной сессии, будет особенно полезна техническим специалистам отделов развития и эксплуатации сетей доступа и агрегации операторов связи, а также всем, кому интересна данная тематика.
Дополнительная презентация к 8 выпуску серии "Сети для самых маленьких".
Автор: Наташа Самойленко http://xgu.ru/wiki/Участник:Nata
Сайт проекта ЛинкМиАп: http://linkmeup.ru
Dumb Ways To Die: How Not To Write TCP-based Network ApplicationsHLL
The document provides advice on how not to write TCP-based network applications. It discusses several issues:
1) Message delivery over TCP is unreliable and there are no guarantees about when or if a message will arrive. Timeouts need to be implemented at various points.
2) Resources like memory and processing time must be limited for all operations to prevent denial of service attacks.
3) Errors like ECONNRESET can occur for various reasons and applications need to be prepared to handle them gracefully rather than crashing.
Overall it emphasizes the need to design applications with the understanding that TCP is a lossy protocol, implement timeouts and resource limits, and handle errors robustly rather than assuming perfect delivery of messages and connections
More Related Content
Similar to Russian Internet Core: политики маршрутизации
Некоторые аспекты влияния сходимости протокола BGP на доступность сетевых рес...HLL
Тема презентации Александра Азимова, ведущего инженера по эксплуатации сети фильтрации трафика Qrator, представленной в рамках конференции HighLoad++ 25-26 октября 2010 г., относится к актуальной области администрирования на междоменном сетевом уровне — моделированию процесса сходимости протокола BGP.
Данный тип моделирования активно применяется при разработке новых механизмов передачи сообщений BGP и при оценке скорости перестроения глобальной сети вследствие возникновения нештатных ситуаций.
В рамках проведенного исследования были получены следующие оценки:
• Время сходимости протокола BGP вследствие объявления нового маршрута BGP-маршрутизатором пропорционально диаметру графа сети относительно рассматриваемого маршрутизатора;
• Время сходимости протокола BGP вследствие удаления маршрута BGP-маршрутизатором пропорционально гамильтонову пути в графе относительно рассматриваемого маршрутизатора.
В рамках исследования был также проведен анализ работы механизма Flap Damping. Данный инструмент BGP разработан для обнаружения, локализации и минимизации влияния на сеть АС нестабильных участков сети. В качестве признака нестабильности участка сети используется «мигающий маршрут»: повторяющиеся объявления и удаления маршрута к некоторому префиксу за короткий интервал времени. Используя полученные оценки времени сходимости протокола BGP, была рассчитана вероятность возникновения «мигающего маршрута» в кольце BGP-маршрутизаторов вследствие единичного удаления маршрута. В соответствии с полученными результатами, был сделан вывод о негативном влиянии механизма Flap Damping на сходимость протокола BGP.
Решения Cisco для оптического транспортаCisco Russia
В ходе данной сессии будет рассмотренна проблематика построения оптических опорных сетей и основные тенденции в развитии индустрии транспортных сетей. Также будут продемонстрированны новые возможности в использовании когерентных интерфейсов в построении DWDM на базе платформы Cisco NCS 2000 и особенности планирования и эксплуатации транспортных сетей (DWDM), использующих когерентные интерфейсы
Влияние сетевых аномалий на доступность ресурсовHLL
Александр Азимов, ведущий инженер по эксплуатации сети фильтрации трафика Qrator, рассказывает об основных причинах сетевых аномалий в рамках семинара компании HLL «DDoS-атаки и защита от них» (RIGF, 14 мая 2012, Москва).
Рассмотрены ошибки на уровне конфигурации маршрутизаторов и эффекты, возникающие в процессе сходимости протокола BGP. Так, циклы маршрутизации BGP приводят к частичной недоступности целевой сети, а отдельные ошибки в настройке маршрутизаторов могут позволить злоумышленникам увеличить плечо DDoS-атаки в несколько раз. Сетевые аномалии опасны еще и тем, что зачастую остаются невидимыми для автономной системы-источника. В заключение Александр Азимов демонстрирует статистику по сетевым аномалиям в Рунете, собранную системой мониторинга Qrator.
Доклад был также представлен на региональной конференции ENOG 3/RIPE NCC в Одессе 22-23 мая 2012 года.
Обзор оборудования для построения сетей операторов связи.Cisco Russia
Данная сессия посвящена развитию модельного ряда оборудования, применяемого для построения высокоэффективных сегментов доступа и агрегации операторов фиксированной и мобильной связи, а также новому функционалу и возможностям оборудования. Информация, полученная в результате данной сессии, будет особенно полезна техническим специалистам отделов развития и эксплуатации сетей доступа и агрегации операторов связи, а также всем, кому интересна данная тематика.
Дополнительная презентация к 8 выпуску серии "Сети для самых маленьких".
Автор: Наташа Самойленко http://xgu.ru/wiki/Участник:Nata
Сайт проекта ЛинкМиАп: http://linkmeup.ru
Dumb Ways To Die: How Not To Write TCP-based Network ApplicationsHLL
The document provides advice on how not to write TCP-based network applications. It discusses several issues:
1) Message delivery over TCP is unreliable and there are no guarantees about when or if a message will arrive. Timeouts need to be implemented at various points.
2) Resources like memory and processing time must be limited for all operations to prevent denial of service attacks.
3) Errors like ECONNRESET can occur for various reasons and applications need to be prepared to handle them gracefully rather than crashing.
Overall it emphasizes the need to design applications with the understanding that TCP is a lossy protocol, implement timeouts and resource limits, and handle errors robustly rather than assuming perfect delivery of messages and connections
The presentation was delivered at the RIPE 64 Meeting on 16 – 20 April 2012 in Ljubljana by Alexander Asimov, Qrator network engineer at HLL.
Alexander Asimov expressed his concerns about BGP Route Stability and it was suggested that RIPE Atlas may be able to address these issues.
The presentation was delivered by Alexander Lyamin, CEO of HLL (Qrator network), at the RIPE 64 Meeting on 16 – 20 April 2012 in Ljubljana.
DDoS mitigation techniques: poor mans version (low rate HTTP attacks). Every solution works. Not always. Not for everyone.
Порядок преодоления болота на маршруте: как не надо писать приложения, основа...HLL
Артём Гавриченков (ximaera), ведущий разработчик сети фильтрации трафика Qrator, описывает типичные ошибки программирования при написании серверных приложений на основе TCP-сокетов в рамках конференции «Российские интернет-технологии» (2-3 апреля 2012, Москва).
Разбирается (вероятно, неисчерпывающий) ряд заблуждений и узких мест, приводящих к проблемам с производительностью и уязвимостям безопасности TCP-приложений; приводится ряд примеров, когда ошибки, неочевидные на этапе программирования, при эксплуатации приводили к финансовым и репутационным потерям у авторов и пользователей приложения. Даются рекомендации по отладке и оптимизации приложений, основанных на TCP, а также операционных систем, в которых эксплуатируются такие продукты.
Среди прочего, разбираются такие аспекты работы обработчика TCP-запросов, как:
• предотвращение атак, аналогичных slow POST в Nginx и Lighttpd;
• предотвращение ошибок, аналогичных проблеме со скачиванием файлов в браузере Internet Explorer;
• возможные изменения в дизайне самописных TCP-based протоколов с целью их ускорения;
• использование опции TCP (таких, как TCP_NODELAY) для ускорения работы специфических приложений.
DDоS: Практическое руководство к выживанию. (Часть 2: Работа над ошибками)HLL
В сети существует множество «поваренных рецептов» о том, как построить защиту от DDoS-атак своими руками. В докладе Александра Лямина, генерального директора HLL, презентованном на конференции «Российские интернет-технологии» (РИТ++/2012), проведен подробный анализ наиболее интересных из них, названы критерии эффективности системы защиты в целом и проведена оценка возможностей как отдельных методов противодействия, так и комбинированных.
The presentation was delivered by HLL / Qrator network engineer Alexander Asimov at the ENOG 2/RIPE NCC Regional Meeting taking place at the World Trade Centre in Moscow on 28-30 November 2011.
Презентация Александра Лямина и Артёма Гавриченкова (HLL/Qrator) для семинара «Анализ и противодействие киберугрозам», организованного Ассоциацией профессионалов в области информационной безопасности RISSPA в рамках выставки InfobezExpo 5 октября 2011 г.
Доклад был посвящен современным тенденциям в области противодействия распределенным атакам типа «отказ в обслуживании».
Архитектура центра очистки трафика (ЦОТ): решения уровня оператора связи и ко...HLL
Презентация и видео к докладу Александра Лямина (HLL) и Муслима Меджлумова (РТКОММ) на осеннем HighLoad++ 2011, Москва. Специалисты рассказали о технологиях защиты приложений от DDoS-атак в промышленных масштабах.
Представлены основные принципы построения и архитектура решений по фильтрации трафика оператора связи РТКОММ и компании-специалиста HLL (сеть фильтрации Qrator).
В форме товарищеского матча докладчики обсудили следующие вопросы:
• защита сети vs защита сетевых приложений;
• собственные разработки vs решения от вендоров;
• распределенная сеть vs сеть оператора связи;
• специализация vs интеграция;
• вопросы масштабирования;
• способы подключения и оперативность работы фильтров;
• SLA и ценовая политика.
Презентация представлена Александром Ляминым и Артёмом Гавриченковым на конференции веб-разработчиков «Российские интернет-технологии» (РИТ++), которая проходила 25-26 апреля 2011 г. в Москве.
В докладе рассказано, по каким признакам следует проводить классификацию DDoS-атак для того, чтобы выбирать наиболее удачные методы для их противодействия. Описано, какие метрики можно и нужно использовать для определения вида атаки, её объёмов и способов борьбы с ней. Приведены примеры представителей каждого класса DDoS-атак на основе практического опыта.
Доклад подготовлен на основе анализа разнообразных DDoS-атак и включает в себя описание последних тенденций в сфере организации атак на отказ в обслуживании и защиты от них.
Тандемные DDoS-атаки / Проблематика уязвимостей в спецификации TCP/IP (фундам...HLL
Презентация к докладу Артёма Гавриченкова (ximaera), ведущего разработчика сети фильтрации трафика Qrator, для конференции HighLoad++ (25-26 октября 2010, Москва).
В данном докладе описывается потенциальная тандемная атака, включающая в себя одновременно SYN flood и одну из атак на FIN-WAIT-2 или Sockstress.
Широко известная атака на отказ в обслуживании протокола TCP — SYN Flood — хорошо изучена, существуют популярные методы борьбы с ней, включая, например, технологию SYN cookies [1]. Важным свойством этого вида атак является их влияние на модули отслеживания соединений (connection tracking). Даже при использовании SYN cookies каждый входящий TCP-сегмент с выставленным флагом SYN создаёт запись в базе отслеживаемых соединений, что спустя некоторое время может привести к переполнению базы и потере новых запросов на соединения.
Менее известная атака, носящая кодовое название FIN-WAIT-2 attack, эксплуатирует особенности алгоритма закрытия TCP-соединения. Данная атака подробно разбирается в CPNI Technical Note 3/2009: Security Assessment of the Transmission Control Protocol. Её основная цель — исчерпание памяти, используемой TCP-соединениями, находящимися в фазе FIN-WAIT-2 закрытия соединения. При определённых условиях соединение может находиться в этом состоянии продолжительное время, при этом все ресурсы, задействованные соединением, не будут доступны активным компонентам атакуемой системы.
1. Dave Dittrich, Some TCP/IP Vulnerabilities: Weaknesses, attack tools, defenses [HTML] (http://staff.washington.edu/dittrich/talks/agora/index.html).
В докладе, представленном генеральным директором HLL Александром Ляминым в рамках конференции HighLoad++ 25-26 октября 2010 г., рассматривается развитие механизмов DDoS-атак и изменение целей нападения. Обсуждается классификация типов атак и свойств ботнетов.
Классификация типов атак: почему одной метрики, например, скорости, явно недостаточно. Свойства ботнета в сравнении с тем, какими мы видели их год назад. Новые цели и задачи нападающих: и причем здесь Яндекс?
Расследование DDoS-атак, примеры и результаты. Технический подход к проблеме. Основные направления развития на следующий год: новые сервисы, новые методики, новые скорости.
Александр Лямин, генеральный директор HLL, рассказал на конференции HighLoad++ 2009 о том, какие виды DDoS-атак являются наиболее популярными и как пережить их с минимальными потерями, используя известный и не очень инструментарий с открытым исходным кодом.
Экономика DDoS: во сколько вас оценили (предмет для гордости!) и чего можно ожидать (оценка эффективность атаки).
• DDoS – это просто и дешево;
• стоимость аренды ботнета;
• экономическое плечо атаки;
• выводы.
Посмотрим врагу в лицо: география и габариты ботнетов, встречающихся на просторах Рунета. Особенности ботнетов (конечность, тупость, жадность) и как их использовать при борьбе с атаками.
Кто к нам пришел: основные разновидности DDoS-атак, элементы LAMP-стека, на которые они направлены. Комбинированые атаки. Куда смотреть, что замечать и на что обращать особое внимание.
Домашнее задание: о каких элементах вашей архитектуры полезно позаботиться заранее, адекватность архитектуры и вашей рыночной стоимости (не жадничать).
Искусство художественной grepки: как настроить access.log, заголовок как улика, печеньки и зачем их едят, ловушки для бота, как выделить тело ботнета, используя однострочный шелл-скрипт.
Фильтруем базар: зачем нужен stateful файрволл, зачем он не нужен и как отфильтровать сто тысяч пятьсот ботов и не устать в ksoftirq.
Звонок NOC'у: как использовать географию и языковую сегментацию в своих целях. Как вежливо и грамотно получить blackhole на интересных направлениях. Печальное положение вещей в Телко.
Цена запроса: о стоимости запроса в терминах ресурсов сервера и жадности ботов.
DDoS-атаки Рунета в 2011-2012 гг.: характер и тенденцииHLL
Артем Гавриченков (ximaera), ведущий разработчик сети фильтрации трафика Qrator, проводит обзор DDoS-атак за последние полтора года в рамках семинара компании HLL «DDoS-атаки и защита от них» (RIGF, 14 мая 2012, Москва).
Отчетную статью по докладу читайте на Хабрахабре: http://habrahabr.ru/company/highloadlab/blog/145137/
Инструментарий Anonymous и его поражающие факторыHLL
Александр Лямин, генеральный директор компании HLL, рассказывает о способах противодействия "оружию массового поражения" группы Anonymous в рамках семинара компании HLL "DDoS-атаки и защита от них" (RIGF, 14 мая 2012, Москва).
LOIC / HOIC / JS LOIC / OWA / SLOWPOST — технически нового тут ничего нет. Обычный DDoS, на самом деле, гораздо лучше скоординирован и технически более совершенен. Так почему злободневно? Причиной тому стали 5 важных факторов: социальность, массовость, плохой дизайн инфраструктуры, ужасающий дизайн веб-приложений и фактор X.
16. Accept filters
200 AS2
AS1
200 AS3
From AS2 action pref= 200 accept
ANY AND NOT AS-QRATOR
From AS3 action pref= 200 accept
ANY AND NOT AS-QRATOR
17. Accept filters
200 AS2
100 AS2
AS1 AS1
200 200 AS3
AS3
From AS2 action pref= 200 accept From AS2 action pref = 100
ANY AND NOT AS-QRATOR From AS3 action pref = 200
From AS3 action pref= 200 accept
ANY AND NOT AS-QRATOR
33. LOCAL_PREF циклы
AS3 AS4 100
200
AS2 AS5 AS7
AS1 AS6
200 100
• Причина сетевой нестабильности для целевого префикса
• Создание постоянного «шума» из BGP сообщений
• Замедление времени сходимости по всей сети АС
34. Переход к G’
AS3 AS4
200
AS2 AS5
AS1 AS6
200
• Причина сетевой нестабильности для целевого префикса
• Создание постоянного «шума» из BGP сообщений
• Замедление времени сходимости по всей сети АС
35. Статистика
Номер АС Название Клиенты
AS12389 ROSTELECOM 511
AS9002 RETN 376
AS20485 TRANSTELECOM 340
AS39792 ANDERS 331
AS3216 SOVAM 325
AS31323 UNNET 295
AS41095 IPTP 294
AS6850 METROCOM 293
AS20632 PETERSTAR 292
AS8331 RINET 291