• «Два нефильтрованных» или легкий способ прострелить ногу

      Уже несколько раз в отчетах об инцидентах маршрутизации мы рассказывали о возможных последствиях отсутствия фильтров BGP-анонсов на стыках с клиентами. Подобная, некорректная, конфигурация большую часть времени будет работать совершенно нормально — до тех пор, пока в один прекрасный день не станет виновной в сетевой аномалии регионального или глобального масштаба. И позавчера, 25.11.2018, это случилось снова — на этот раз в России.

      В 13.00 UTC (16:00 по московскому времени) небольшой российский оператор Krek Ltd (AS57494) начал анонсировать префиксы между своими провайдерами, в результате перенаправив значительную часть трафика Ростелекома на свою сеть. Аномалия затронула более 40 тысяч префиксов — выдержать такую нагрузку сеть Krek, конечно, не могла. В результате от 10 до 20% пользователей на территории РФ потеряли доступ к тысячам сервисов, включая такие популярные как Amazon, Youtube, Вконтакте и онлайн-кинотеатру IVI.RU.
      image
      Читать дальше →
    • Ускорение SQLAlchemy для архитектурных космонавтов


        Хабр, это доклад инженера-программиста Алексея Старкова на конференции Moscow Python Conf++ 2018 в Москве. Видео в конце поста.
        Всем привет! Меня зовут Алексей Старков — это я, в свои лучшие годы, работаю на заводе.
        Теперь я работаю в Qrator Labs. В основном, всю свою жизнь, я занимался C и C++ — люблю Александреску, «Банду Четырех», принципы SOLID — вот это всё. Что и делает меня архитектурным космонавтом. Последние пару лет пишу на Python, потому что мне это нравится.

        Собственно, кто такие «архитектурные космонавты»? Первый раз я встретил данный термин у Джоэля Спольски, вы наверное его читали. Он описывает «космонавтов», как людей, которые хотят построить идеальную архитектуру, которые навешивают абстракцию, над абстракцией, над абстракцией, которая становится все более и более общей. В конце концов, эти уровни идут так высоко, что описывают все возможные программы, но не решают никаких практических задач. В этот момент у «космонавта» (это последний раз, когда данный термин окружен кавычками) кончается воздух и он умирает.

        Я тоже имею тенденции к архитектурной космонавтике, но в этом докладе я расскажу немного о том, как это меня укусило и не позволило построить систему с необходимой производительностью. Главное — как я это поборол.

        Краткое содержание моего доклада: было / стало.
        Читать дальше →
        • +19
        • 5,2k
        • 2
      • ENOG 15: «Почему Интернет до сих пор онлайн?»

          Здравствуй, Хабр! Это — одновременно транскрипция и частичный перевод часовой сессии под названием «Почему Интернет до сих пор онлайн?» с пятнадцатой встречи «Евразийской группы сетевых операторов».

          Qrator Labs благодарит всех участников обсуждения: Алексея Семеняку, RIPE NCC; Игнаса Багдонаса, Equinix; Мартина Дж. Леви, Cloudflare; Александра Азимова, Qrator Labs и модератора Алексея Учакина из команды подкаста LinkmeUp за разрешение опубликовать данный текст.

          В данном обсуждении участвуют сетевые инженеры-исследователи, поэтому разговор идет в основном о междоменной маршрутизации. Видео в конце публикации. Приятного прочтения.
          Читать дальше →
        • Wrong, wrong, WRONG! methods of DDoS mitigation

            Хабр, это транскрипция выступления CTO Qrator Labs Тёмы ximaera Гавриченкова на RIPE77 в Амстердаме. Его название мы не смогли перевести на русский с сохранением смысла, а потому решили посодействовать Хабру в выходе на англоязычный рынок и оставили все, как есть


            Это цитата одной из моих любимых групп. Дэйв Гаан из Depeche Mode — живое доказательство того, что можно произнести слово “wrong” 65 раз за 5 минут и все равно оставаться рок-звездой. Давайте посмотрим, получится ли у меня.
            Читать дальше →
            • +35
            • 5,8k
            • 2
          • Генерация трафика в юзерспейсе


              Генерация трафика посредством MoonGen + DPDK + Lua в представлении художника

              Нейтрализация DDoS-атак в реальных условиях требует предварительных тестирования и проверки различных техник. Сетевое оборудование и ПО должно быть протестировано в искусственных условиях близких к реальным — с интенсивными потоками трафика, имитирующего атаки. Без таких экспериментов крайне затруднительно получить достоверную информацию о специфических особенностях и ограничениях, имеющихся у любого сложного инструмента.

              В данном материале мы раскроем некоторые методы генерации трафика, используемые в Qrator Labs.

              ПРЕДУПРЕЖДЕНИЕ

              Мы настойчиво рекомендуем читателю не пытаться использовать упомянутые инструменты для атак на объекты реальной инфраструктуры. Организация DoS-атак преследуется по закону и может вести к суровому наказанию. Qrator Labs проводит все тесты в изолированном лабораторном окружении.
              Читать дальше →
              • +37
              • 4,9k
              • 3
            • Исследование устойчивости национальных сегментов сети Интернет за 2018 год



                Данное исследование объясняет каким образом отказ одной автономной системы (AS) влияет на глобальную связность отдельного региона, особенно в том случае, когда речь идет о крупнейшем провайдере интернета (ISP) данной страны. Связность интернета на сетевом уровне обусловлена взаимодействием между автономными системами. По мере увеличения количества альтернативных маршрутов между AS возникает устойчивость к отказам и повышается стабильность интернета в данной стране. Однако, некоторые пути становятся более важными по-сравнению с остальными и наличие как можно большего числа альтернативных маршрутов в итоге является единственным жизнеспособным способом обеспечить надежность системы (в смысле AS).

                Глобальная связность любой AS, независимо от того, представляет ли она второстепенного поставщика интернета или международного гиганта с миллионами потребителей услуг, зависит от количества и качества его путей к Tier-1 провайдерам. Как правило, Tier-1 подразумевает международную компанию, предлагающую глобальную услугу IP-транзита и подключение к другим Tier-1 операторам. Тем не менее, внутри данного элитного клуба нет обязательства поддерживать такую связь. Только рынок может придать мотивацию таким компаниям безоговорочно соединяться друг с другом, обеспечивая высокое качество обслуживания. Достаточный ли это стимул? Мы ответим на этот вопрос ниже — в секции, посвященной связности IPv6.

                Если провайдер интернета теряет связь с хотя бы одним из собственных Tier-1 соединений, он, вероятнее всего, окажется недоступен в некоторых частях Земли.

                Краткие факты TL;DR:
                Румыния и Люксембург вышли из топ 20 с 11-го и 20-го места, соответственно, по итогам 2017 года;
                Сингапур прыгнул на 18 мест до 5-й позиции;
                Гонконг упал на 13 мест до 15 позиции;
                Нидерланды вошли в топ 20 на 17-ю позицию;
                18 из 20 стран остались в топ 20 по сравнению с прошлым годом.
                Читать дальше →
                • +43
                • 6,3k
                • 1
              • QUIC, TLS 1.3, DNS-over-HTTPS, далее везде

                  Хабр, привет! Это транскрипция доклада Артема ximaera Гавриченкова, прочитанного им на BackendConf 2018 в рамках прошедшего фестиваля РИТ++.



                  — Здравствуйте!

                  В названии доклада приведён длинный список протоколов, мы по нему пройдемся постепенно, но давайте начнем с того, чего в названии нет.

                  Это (под катом) заголовок одного из блогов, в интернете вы могли таких заголовков видеть очень много. В том посте написано, что HTTP/2 — это не какое-то отдаленное будущее, это наше настоящее; это современный протокол, разработанный Google и сотнями профессионалов из многих продвинутых компаний, выпущенный IETF в качестве RFC в далеком 2015 году, то есть уже 3 года назад.

                  Стандарты IETF воспринимаются индустрией, как такие железобетонные документы, как могильная плита, фактически.
                  Читать дальше →
                • Транскрипция двенадцатого выпуска подкаста «Прокуратор»

                    imageВ незапамятные времена на всеми нами любимом ресурсе (то есть прямо здесь) был тип публикации, называемый «подкаст». С тех утекло много воды, подкасты исчезли с Хабра, но пережили взлет, падение и новый взлет, приводя нас в день сегодняшний. Мы долго думали, стóит ли нам проводить эксперимент по транскрибированию часового подкаста в текст, но где-то после третьего запроса «почитать», но не «послушать» поняли, что сделать это придется.

                    Краткая справка:
                    • Да, подкаст называется «Прокуратор», но не Иудеи, а информационной безопасности.
                    • Нет, на картинке не Понтий Пилат, а Николо Маккиавелли, ведь его «Принцепс» (или «Государь») первым описал методологию захвата власти и методы управления — то, с чем (попытками захвата и контроля) мы постоянно сталкиваемся в области «информационной» и любой другой «безопасности».
                    • Да, мы решили сделать текстовую расшифровку одного из выпусков подкаста в первую очередь для тех, кто пока не знает, было бы ему интересно слушать подобные обсуждения, а во-вторую — для людей, лучше воспринимающих текст, нежели аудио.
                    • Нет, мы не будем делать расшифровки каждого подкаста регулярно.
                    • Да, это двенадцатый по счёту выпуск подкаста, его название 0c. Он был опубликован 30 марта — в процессе чтения (или прослушивания) вы поймёте, почему это важно понимать в середине апреля.
                    Читать дальше →
                    • +25
                    • 3,5k
                    • 2
                  • Четыре факта о memcached-амплификации

                    • Перевод

                    Это перевод оригинальной публикации Артема ximaera Гавриченкова «Understanding the facts of memcached amplification attacks», опубликованной в блоге APNIC (Азиатско-Тихоокеанский сетевой информационный центр).

                    Неделя с 25 февраля по 3 марта была высокоинтенсивной с точки зрения memcached-амплифицированных DDoS-атак во всех уголках мира, то есть в интернете.

                    Тем не менее, давайте еще раз вспомним все факты, которые нам известны об амплифицированных атаках.

                    Факт номер один: Амплификаторы были, есть и будут есть


                    NTP (Network Time Protocol) был первым протоколом, злонамеренно использованным в качестве амплификатора (усилителя) DDoS-атак еще в 2013 году. Тысячи и сотни тысяч NTP-серверов к тому моменту были развернуты по всей сети, так что использование данного вектора амплификации было вполне выгодно злоумышленникам. И NTP давал такую возможность, что вылилось в волну амплифицированных NTP DDoS-атак. В начале 2014 года на какое-то время NTP в качестве главного амплификатора стал даже популярнее протокола DNS (Domain Name System).
                    Читать дальше →
                    • +40
                    • 4,7k
                    • 1
                  • Годовой отчет по кибер- и инфобезопасности за 2017 год

                      Здравствуй, Хабр. Мы бы хотели представить тебе краткую версию годового отчета по кибер- и инфобезопасности за 2017 год, написанный нами совместно с главным партнером — Wallarm, предоставившим информацию по наиболее заметным уязвимостям и взломам.

                      В 2017 году компании Qrator Labs и Wallarm отметили растущую диверсификацию угроз из-за увеличивающегося множества возможных векторов атаки. Диапазон критических уязвимостей современной глобальной сети настолько широк, что злоумышленники могут выбирать различные способы создания проблем для практически любой организации. И все большее количество инструментов может работать автоматически, делая централизованное управление излишним.

                      Если 2016 год можно назвать годом ботнетов и терабитных атак, то 2017 год был годом сетей и маршрутизации. Такие инциденты как спровоцированная Google утечка маршрутов сетей Японии, перехват чужого трафика Level3 в Соединенных Штатах и «Ростелекомом» в России, как и многие другие, демонстрируют устойчивые и высокие риски, связанные с человеческими факторами, основанные на бесхозяйственности и недостаточной автоматизации процессов. Храбрый инженер, уверенно останавливающий важный автоматический сценарий, может создать серьезные проблемы в доступности сетевых ресурсов.


                      Динамика количества атак за 2016–2017 гг
                      Читать дальше →

                    Самое читаемое