როგორი უნდა იყოს უკეთესი ინტერნეტი – მოსაზრებები 1988 და 2008 წლებიდან

MIT-ის პროფესორმა დევიდ კლარკმა 1988 წელს გამოაქვეყნა ნაშრომი ინტერნეტი განვითარების პრიორიტეტებზე. ნაშრომი შეგიძლიათ წაიკითხოთ აქ.

კლარკი ამბობს, რომ ინტერნეტის არქიტექტორების უპირველესი მიზანი იყო ერთმანეთთან დაკავშირებული კომპიუტერული ქსელების (ARPANET) მულტიპლექსური (კომუნიკაციის 1 მედიუმის გამოყენებით მრავალი სიგნალის (ერთდროული) გადაცემა)  გამოყენების ეფექტური საშუალების შექმნა.

ქართულად:

უკვე არსებული ქსელის ისე გარდაქმნა, რომ მას შეძლებოდა სხვადასხვა მხარის მიერ ერთმანეთთან ერთდროული კომუნიკაციის უზრუნველყოფა.

პ.ს. TCP/IP პროტოკოლი 1983 წელს დაინერგა.

იქვე კლარკს მოცემული აქვს ინტერნეტის განვითარების 7 პრიორიტეტი:

  1. ინტერნეტ კომუნიკაცია უნდა გაგრძელდეს მიუხედავად ზოგი ქსელის ან გეითვეის დაკარგვისა;
  2. ინტერნეტს უნდა გააჩნდეს კომუნიკაციის სხვადასხვა ტიპის სერვისის მხარდაჭერა;
  3. ინტერნეტის არქიტექტურა შესაძლებლობას უნდა იძლეოდეს მას მიუერთდნენ განსხვავებული და ახალ-ახალი ქსელები;
  4. ინტერნეტის არქიტექტურა რესურსების გადანაწილებით (distributed) მართვის საშუალებას უნდა იძლეოდეს;
  5. ინტერნეტის არქიტექტურა უნდა იყოს ფინანსურად ეფექტური (cost effective);
  6. ინტერნეტში ახალი სისტემის ჩართვა უნდა მოითხოვდეს მინიმალურ ძალისხმევას;
  7. ინტერნეტის არქიტექტურაში გამოყენებული რესურსები უნდა იყოს დაანგარიშებადი;

20 წლის შემდეგ, National Science Foundation-მა დევიდ კლარკის ხელმძღვანელობით დაიწყო ახალი პროექტი (რომელიც ისევ გრძელდება) ინტერნეტის გაუმჯობესებასთან დაკავშირებით (პროექტის საიტი: www.nets-fia.net)

დევიდ კლარკის პრიორიტეტი ახალი და უკეთესი ინტერნეტისთვის (2008):

SECURITY

UDP Amplification – გაძლიერების ფაქტორი სხვადასხვა პროტოკოლისთვის

Amplification (“გაძლიერება”) შეტევა დღესდღეობით DDoS-ის ერთ-ერთი ყველაზე გავრცელებული ტიპია და უმსხვილესი DDoS შემთხვევები სწორედ ასეთი იყო. ამ შეტევაში თავდასხმელისა და მსხვერპლის გარდა, ჩართულია მესამე მხარეც. ის არის ინტერნეტით ხელმისაწვდომი რაიმე სერვისი, რომელსაც ბოროტად იყენებს თავდამსხმელი. ბოროტად გამოყენებას კი, უმეტეს შემთხვევაში, ხელს უწყობს სერვისის არასწორი კონფიგურაცია.

Drawing1დიაგრამაზე წარმოდგენილია “გაძლიერების” ეფექტის მუშაობის გამარტივებული სქემა. ზოგიერთი UDP-based პროტოკოლის (მაგალითად, DNS) შემთხვევაში, შესაძლებელია რომ სერვერს გავუგზავნოთ რაიმე რექვესტი, პირობითად 1 კილობაიტის ზომის, პასუხად კი 5 კილობაიტინი response მივიღოთ. თავდასხმელი პაკეტში ცვლის source IP-ს და წერს მსხვერპლის IP მისამართს (რომ პასუხი მსხვერპლთან გაიგზავნოს).

გერმანელმა მკვლევარმა კრისტიან როსოუმ გამოთვალა სხვადასხვა UDP-ზე დაფუძნებული პროტოკოლების გაძლიერების ფაქტორი (ანუ მოცემულ რექვესტზე რამდენჯერ დიდი პასუხი შეიძლება მოგვივიდეს). მთლიანი კვლევის წაკითხვა შეგიძლიათ აქ, ქვემოთ მოცემული ცხრილი კი გვიჩვენებს სხვადასხვა პროტოკოლების გაძლიერების ფაქტორებს. თუ თქვენი ორგანიზაცია რომელიმე მათგანს იყენებს, გადაამოწმეთ არის თუ არა სერვისი ინტერნეტიდან ხელმისაწვდომი, რეალურად არის თუ არა საჭირო რომ ინტერნეტიდან იყოს ხელმისაწვდომი და თუ აუცილებელია, მაშინ დაგუგლეთ უსაფრთხო კონფიგურაციის გაიდლაინები, თორემ შეიძლება რიამე DDoS-ის თანამონაწილე აღმოჩნდეთ და სხვადასხვა ბლექლისტებშიც ამოყოთ თავი 🙂

პროტოკოლი გაძლიერების ფაქტორი სისუსტის მქონე ბრძანება/რექვესტი
DNS 28-დან 54-მდე US-CERT: TA13-088A
NTP 556.9 US-CERT: TA14-013A
SNMPv2 6.3 GetBulk
NetBIOS 3.8 Name resolution
SSDP 30.8 SEARCH
CharGEN 358.8 Character generation
QOTD 140.3 Quote
BitTorrent 3.8 ფაილის ძებნა
Kad 16.3 Peer list exchange
Quake Network Protocol 63.9 Server info exchange
Steam Protocol 5.5 Server info exchange
Multicast DNS (mDNS) 2-დან 10-მდე Unicast query
RIPv1 131.24 სპეციალურად დაგენერირებული რექვესტი
Portmap (RPCbind) 7-დან 28-მდე სპეციალურად დაგენერირებული რექვესტი