Измерения как путь к открытости
Сегодня все мы живем в мире «подобного». Подобных услуг IP-транзита, нейтрализации DDoS, в общем и целом практически любому цифровому сервису можно найти аналогичный. То есть факт — на рынке существует множество поставщиков услуг. И при сравнении предлагаемых ими услуг между собой у потенциального клиента зачастую небольшой круг возможностей. В итоге потребитель вынужден сравнивать между собой исключительно маркетинговые материалы разных компаний, то есть фактически собственные интерпретации компаний по поводу своих же услуг. Это, как минимум, странно и далеко от объективного сравнения даже по такому простому соотношению как «цена/качество».
Долгое время этой ситуации не существовало никакой альтернативы. Да, есть аналитические агентства, сравнивающие и анализирующие рыночные предложения; опять же – насколько они являются доступными и готовы ли мы им полностью доверять? Доля рынка, финансовое состояние компании и другие «бизнес-метрики» могут не говорить ровным счётом ничего о качестве сервиса и услуги. В данный момент мы живём в мире сравнения брендов, а не качества предлагаемых ими услуг. На наш взгляд, это достаточно плохой симптом для рынка.
Однако ситуация меняется и в последнее время стали появляться возможности всё-таки провести бесплатно количественную, и качественную оценку желаемого сервиса до его покупки. И один из лучших таких механизмов — это RIPE Atlas.
Atlas представляет собой набор проб (probe — «зонд», в ключе сетевой архитектуры — «сенсор»), то есть некоторых точек, на которые можно отправить какое-то задание. Пробы расположены по всему миру, несколько сотен находятся в пределах государственных границ Российской Федерации. Есть два типа проб: большие (anchors) располагаются в сетях операторов связи и дата-центрах, а маленькие, размером с флешку, можно поставить куда угодно — хоть на домашний роутер.
Пробы RIPE Atlas предоставляют отличную возможность качественного исследования, анализа и сравнения сетей. Независимого от сравниваемых сервисов. RIPE Atlas проделал большую работу над данным сервисом и предоставил публичный API с базовым набором команд, таких как ping, traceroute, HTTP get. Однако, как и любой API – сам по себе он не может являться конечным продуктом, и до недавних пор не существовало готовых механизмов, позволяющих быстро провести качественную оценку различных сервисов. Командой Qrator.Radar был разработан инструмент визуализации измерений, в функциональность которого входят несколько типовых экспериментов — прежде всего несколько вариантов визуализации сетевых задержек (latency) и визуализация выдачи DNS. Дополнительно был реализован механизм экстренной проверки доступности заданного сервиса, который зачастую бывает нужен командами сетевых инженеров.
В качестве демонстрации возможностей этого набора инструментов мы провели сравнение, взяв (анонимизированно) четырех достаточно крупных поставщиков услуг по защите от DDoS-атак. Мы сравнивали их в первую очередь по задержкам. Почему важно сравнивать DDoS-mitigation сервисы именно по этому признаку?
Исторически сервисы по нейтрализации DDoS-атак создавались как услуги или оборудование, включающееся в работу непосредственно в момент атаки. Однако, для многих высокорисковых и высокомаржинальных сервисов постоянное включение-выключение такой услуги или оборудования все равно ведет к временной недоступности. В итоге ради избежания даунтайма сервисы постепенно переходят от модели включения под атакой в модель постоянной и непрерывной фильтрации трафика. Но это накладывает на сервисы, предоставляющие услуги фильтрации, дополнительные требования по низким задержкам. Согласно недавнему исследованию Akamai, удовлетворенность людей падает пропорционально падению качества просматриваемого видео и наличию проблем с буферизацией, неразрывно связанных с сетевыми задержками. Пинг крайне критичен для онлайн-игр и игроков, делая невозможной соревновательную игру в случае высоких задержек. Сетевые задержки влияют даже на то, как мы ищем информацию в интернете и принимаем связанные с этим решения. Миллисекунды оказывают огромное, порой невидимое, влияние.
Первая компания заявляет на своем сайте о наличии более 100 точек присутствия. Картинка красивая и задержки, как мы видим, глобально достаточно низкие.
Вторая картинка соответствует компании с почти 40 точками присутствия, и, как можно видеть, карта задержек стала хуже.
Следующей идет компания, имеющая только 10 точек присутствия, и здесь сразу бросается в глаза, что задержки достаточно высокие в большинстве регионов. Но если посмотреть на другого оператора, тоже имеющего 10 точек присутствия – картина снова меняется в лучшую сторону.
Каков вывод? Количество PoP (point-of-presence, точка присутствия) и их гео-распространенность оказывает сильное влияние на качество предоставляемых услуг, но этот критерий не может сам по себе являться серебряной пулей. Так, задержка в сетях, имеющих одинаковое количество точек присутствия, может давать абсолютно разный результат, а сеть, имеющая в несколько раз меньше точек присутствия, все равно может иметь очень низкие задержки в заданном регионе.
Давайте взглянем на проблему под другим углом. Что может дать анализ выдачи DNS при анализе предоставляемых услуг сетей по фильтрации трафика? Следующая картинка демонстрирует, что 2 из 4 операторов используют DNS-балансировку для управления трафиком. В остальных случаях балансировка построена только на основе BGP. Почему это важно? И BGP Anycast, и GeoDNS являются методами локализации трафика внутри региона, как следствие, позволяющими снизить задержки для конечных пользователей.
Исторически балансировка трафика с использованием GeoDNS была популярна среди CDN-провайдеров (CDN — content delivery network). По сравнению с BGP Anycast, GeoDNS легко реализовать и контролировать, есть целый набор практически готовых решений. Однако то, что применимо к CDN, не всегда применимо к сервисам по фильтрации трафика. Так, в отличие от обычных пользователей, боты могут спокойно игнорировать выдачу локального DNS-сервера и могут легко создать перегрузки в отдельном регионе, в итоге выводя даже гео-распределенные сети из работоспособного состояния.
Как видно из этого примера, возможность качественного сравнения может оказаться весьма полезной при выборе того или иного сервиса. И RIPE Atlas, с реализованным нами набором методов, значительно упрощает анализ связности операторов связи, поставщиков DDoS-mitigation услуг и других сервисов, которые вам точно пригодятся завтра, а вполне возможно, что уже сегодня. Весь исходный код нашего инструментария доступен на GitHub.
Для использования набора инструментов необходимо обладать виртуальными кредитами, которые начисляются пользователям за работу установленных у них зондов, а также всем владельцам автономных систем, имеющих статус LIR. Стоит заметить, что сами пробы RIPE предоставляет на полностью безвозмездной основе.
Ознакомьтесь со всеми функциями
в 7-дневной пробной версии
Наши специалисты готовы оказать вам поддержку
Подпишитесь на ежемесячный обзор самых популярных новостей Интернета от CURATOR!
Будьте в курсе наших новостей и продуктов!
Подпишитесь на ежемесячный обзор самых популярных идей Интернета от CURATOR!
Отправляя свой адрес электронной почты, вы соглашаетесь с политикой конфиденциальности
Отправляя свои данные, вы соглашаетесь с политикой конфиденциальности
Если документ не загружается, нажмите кнопку «Загрузить». Помогите нам лучше понять рынок и подготовить лучшую аналитику, пройдите опрос.
Поделитесь своим опытом и ожиданиями в отношении защиты от DDoS-атак. Ваши ответы помогут нам предложить решения, соответствующие вашим потребностям в области кибербезопасности
Расскажите нам о инфраструктуре вашей компании и критически важных системах. Это поможет нам понять масштаб необходимой защиты
Помогите нам понять, как в вашей компании принимаются решения. Эта информация позволит предложить наиболее актуальные решения
Расскажите, что влияет на ваш выбор в вопросах защиты от DDoS-атак. Ваше мнение поможет нам сосредоточиться на самом важном для вас
Ваше участие поможет нам улучшить аналитику рынка.