Сегодня все мы живем в мире «подобного». Подобных услуг IP-транзита, нейтрализации DDoS, в общем и целом практически любому цифровому сервису можно найти аналогичный. То есть факт — на рынке существует множество поставщиков услуг. И при сравнении предлагаемых ими услуг между собой у потенциального клиента зачастую небольшой круг возможностей. В итоге потребитель вынужден сравнивать между собой исключительно маркетинговые материалы разных компаний, то есть фактически собственные интерпретации компаний по поводу своих же услуг. Это, как минимум, странно и далеко от объективного сравнения даже по такому простому соотношению как «цена/качество».
Долгое время этой ситуации не существовало никакой альтернативы. Да, есть аналитические агентства, сравнивающие и анализирующие рыночные предложения; опять же – насколько они являются доступными и готовы ли мы им полностью доверять? Доля рынка, финансовое состояние компании и другие «бизнес-метрики» могут не говорить ровным счётом ничего о качестве сервиса и услуги. В данный момент мы живём в мире сравнения брендов, а не качества предлагаемых ими услуг. На наш взгляд, это достаточно плохой симптом для рынка.
Однако ситуация меняется и в последнее время стали появляться возможности всё-таки провести бесплатно количественную, и качественную оценку желаемого сервиса до его покупки. И один из лучших таких механизмов — это RIPE Atlas.
Atlas представляет собой набор проб (probe — «зонд», в ключе сетевой архитектуры — «сенсор»), то есть некоторых точек, на которые можно отправить какое-то задание. Пробы расположены по всему миру, несколько сотен находятся в пределах государственных границ Российской Федерации. Есть два типа проб: большие (anchors) располагаются в сетях операторов связи и дата-центрах, а маленькие, размером с флешку, можно поставить куда угодно — хоть на домашний роутер.
Пробы RIPE Atlas предоставляют отличную возможность качественного исследования, анализа и сравнения сетей. Независимого от сравниваемых сервисов. RIPE Atlas проделал большую работу над данным сервисом и предоставил публичный API с базовым набором команд, таких как ping, traceroute, HTTP get. Однако, как и любой API – сам по себе он не может являться конечным продуктом, и до недавних пор не существовало готовых механизмов, позволяющих быстро провести качественную оценку различных сервисов. Командой Qrator.Radar был разработан инструмент визуализации измерений, в функциональность которого входят несколько типовых экспериментов — прежде всего несколько вариантов визуализации сетевых задержек (latency) и визуализация выдачи DNS. Дополнительно был реализован механизм экстренной проверки доступности заданного сервиса, который зачастую бывает нужен командами сетевых инженеров.
В качестве демонстрации возможностей этого набора инструментов мы провели сравнение, взяв (анонимизированно) четырех достаточно крупных поставщиков услуг по защите от DDoS-атак. Мы сравнивали их в первую очередь по задержкам. Почему важно сравнивать DDoS-mitigation сервисы именно по этому признаку?
Исторически сервисы по нейтрализации DDoS-атак создавались как услуги или оборудование, включающееся в работу непосредственно в момент атаки. Однако, для многих высокорисковых и высокомаржинальных сервисов постоянное включение-выключение такой услуги или оборудования все равно ведет к временной недоступности. В итоге ради избежания даунтайма сервисы постепенно переходят от модели включения под атакой в модель постоянной и непрерывной фильтрации трафика. Но это накладывает на сервисы, предоставляющие услуги фильтрации, дополнительные требования по низким задержкам. Согласно недавнему исследованию Akamai, удовлетворенность людей падает пропорционально падению качества просматриваемого видео и наличию проблем с буферизацией, неразрывно связанных с сетевыми задержками. Пинг крайне критичен для онлайн-игр и игроков, делая невозможной соревновательную игру в случае высоких задержек. Сетевые задержки влияют даже на то, как мы ищем информацию в интернете и принимаем связанные с этим решения. Миллисекунды оказывают огромное, порой невидимое, влияние.
Первая компания заявляет на своем сайте о наличии более 100 точек присутствия. Картинка красивая и задержки, как мы видим, глобально достаточно низкие.
Вторая картинка соответствует компании с почти 40 точками присутствия, и, как можно видеть, карта задержек стала хуже.
Следующей идет компания, имеющая только 10 точек присутствия, и здесь сразу бросается в глаза, что задержки достаточно высокие в большинстве регионов. Но если посмотреть на другого оператора, тоже имеющего 10 точек присутствия – картина снова меняется в лучшую сторону.
Каков вывод? Количество PoP (point-of-presence, точка присутствия) и их гео-распространенность оказывает сильное влияние на качество предоставляемых услуг, но этот критерий не может сам по себе являться серебряной пулей. Так, задержка в сетях, имеющих одинаковое количество точек присутствия, может давать абсолютно разный результат, а сеть, имеющая в несколько раз меньше точек присутствия, все равно может иметь очень низкие задержки в заданном регионе.
Давайте взглянем на проблему под другим углом. Что может дать анализ выдачи DNS при анализе предоставляемых услуг сетей по фильтрации трафика? Следующая картинка демонстрирует, что 2 из 4 операторов используют DNS-балансировку для управления трафиком. В остальных случаях балансировка построена только на основе BGP. Почему это важно? И BGP Anycast, и GeoDNS являются методами локализации трафика внутри региона, как следствие, позволяющими снизить задержки для конечных пользователей.
Исторически балансировка трафика с использованием GeoDNS была популярна среди CDN-провайдеров (CDN — content delivery network). По сравнению с BGP Anycast, GeoDNS легко реализовать и контролировать, есть целый набор практически готовых решений. Однако то, что применимо к CDN, не всегда применимо к сервисам по фильтрации трафика. Так, в отличие от обычных пользователей, боты могут спокойно игнорировать выдачу локального DNS-сервера и могут легко создать перегрузки в отдельном регионе, в итоге выводя даже гео-распределенные сети из работоспособного состояния.
Как видно из этого примера, возможность качественного сравнения может оказаться весьма полезной при выборе того или иного сервиса. И RIPE Atlas, с реализованным нами набором методов, значительно упрощает анализ связности операторов связи, поставщиков DDoS-mitigation услуг и других сервисов, которые вам точно пригодятся завтра, а вполне возможно, что уже сегодня. Весь исходный код нашего инструментария доступен на GitHub.
Для использования набора инструментов необходимо обладать виртуальными кредитами, которые начисляются пользователям за работу установленных у них зондов, а также всем владельцам автономных систем, имеющих статус LIR. Стоит заметить, что сами пробы RIPE предоставляет на полностью безвозмездной основе.
Долгое время этой ситуации не существовало никакой альтернативы. Да, есть аналитические агентства, сравнивающие и анализирующие рыночные предложения; опять же – насколько они являются доступными и готовы ли мы им полностью доверять? Доля рынка, финансовое состояние компании и другие «бизнес-метрики» могут не говорить ровным счётом ничего о качестве сервиса и услуги. В данный момент мы живём в мире сравнения брендов, а не качества предлагаемых ими услуг. На наш взгляд, это достаточно плохой симптом для рынка.
Однако ситуация меняется и в последнее время стали появляться возможности всё-таки провести бесплатно количественную, и качественную оценку желаемого сервиса до его покупки. И один из лучших таких механизмов — это RIPE Atlas.
Atlas представляет собой набор проб (probe — «зонд», в ключе сетевой архитектуры — «сенсор»), то есть некоторых точек, на которые можно отправить какое-то задание. Пробы расположены по всему миру, несколько сотен находятся в пределах государственных границ Российской Федерации. Есть два типа проб: большие (anchors) располагаются в сетях операторов связи и дата-центрах, а маленькие, размером с флешку, можно поставить куда угодно — хоть на домашний роутер.
Пробы RIPE Atlas предоставляют отличную возможность качественного исследования, анализа и сравнения сетей. Независимого от сравниваемых сервисов. RIPE Atlas проделал большую работу над данным сервисом и предоставил публичный API с базовым набором команд, таких как ping, traceroute, HTTP get. Однако, как и любой API – сам по себе он не может являться конечным продуктом, и до недавних пор не существовало готовых механизмов, позволяющих быстро провести качественную оценку различных сервисов. Командой Qrator.Radar был разработан инструмент визуализации измерений, в функциональность которого входят несколько типовых экспериментов — прежде всего несколько вариантов визуализации сетевых задержек (latency) и визуализация выдачи DNS. Дополнительно был реализован механизм экстренной проверки доступности заданного сервиса, который зачастую бывает нужен командами сетевых инженеров.
В качестве демонстрации возможностей этого набора инструментов мы провели сравнение, взяв (анонимизированно) четырех достаточно крупных поставщиков услуг по защите от DDoS-атак. Мы сравнивали их в первую очередь по задержкам. Почему важно сравнивать DDoS-mitigation сервисы именно по этому признаку?
Исторически сервисы по нейтрализации DDoS-атак создавались как услуги или оборудование, включающееся в работу непосредственно в момент атаки. Однако, для многих высокорисковых и высокомаржинальных сервисов постоянное включение-выключение такой услуги или оборудования все равно ведет к временной недоступности. В итоге ради избежания даунтайма сервисы постепенно переходят от модели включения под атакой в модель постоянной и непрерывной фильтрации трафика. Но это накладывает на сервисы, предоставляющие услуги фильтрации, дополнительные требования по низким задержкам. Согласно недавнему исследованию Akamai, удовлетворенность людей падает пропорционально падению качества просматриваемого видео и наличию проблем с буферизацией, неразрывно связанных с сетевыми задержками. Пинг крайне критичен для онлайн-игр и игроков, делая невозможной соревновательную игру в случае высоких задержек. Сетевые задержки влияют даже на то, как мы ищем информацию в интернете и принимаем связанные с этим решения. Миллисекунды оказывают огромное, порой невидимое, влияние.
Первая компания заявляет на своем сайте о наличии более 100 точек присутствия. Картинка красивая и задержки, как мы видим, глобально достаточно низкие.
Вторая картинка соответствует компании с почти 40 точками присутствия, и, как можно видеть, карта задержек стала хуже.
Следующей идет компания, имеющая только 10 точек присутствия, и здесь сразу бросается в глаза, что задержки достаточно высокие в большинстве регионов. Но если посмотреть на другого оператора, тоже имеющего 10 точек присутствия – картина снова меняется в лучшую сторону.
Каков вывод? Количество PoP (point-of-presence, точка присутствия) и их гео-распространенность оказывает сильное влияние на качество предоставляемых услуг, но этот критерий не может сам по себе являться серебряной пулей. Так, задержка в сетях, имеющих одинаковое количество точек присутствия, может давать абсолютно разный результат, а сеть, имеющая в несколько раз меньше точек присутствия, все равно может иметь очень низкие задержки в заданном регионе.
Давайте взглянем на проблему под другим углом. Что может дать анализ выдачи DNS при анализе предоставляемых услуг сетей по фильтрации трафика? Следующая картинка демонстрирует, что 2 из 4 операторов используют DNS-балансировку для управления трафиком. В остальных случаях балансировка построена только на основе BGP. Почему это важно? И BGP Anycast, и GeoDNS являются методами локализации трафика внутри региона, как следствие, позволяющими снизить задержки для конечных пользователей.
Исторически балансировка трафика с использованием GeoDNS была популярна среди CDN-провайдеров (CDN — content delivery network). По сравнению с BGP Anycast, GeoDNS легко реализовать и контролировать, есть целый набор практически готовых решений. Однако то, что применимо к CDN, не всегда применимо к сервисам по фильтрации трафика. Так, в отличие от обычных пользователей, боты могут спокойно игнорировать выдачу локального DNS-сервера и могут легко создать перегрузки в отдельном регионе, в итоге выводя даже гео-распределенные сети из работоспособного состояния.
Как видно из этого примера, возможность качественного сравнения может оказаться весьма полезной при выборе того или иного сервиса. И RIPE Atlas, с реализованным нами набором методов, значительно упрощает анализ связности операторов связи, поставщиков DDoS-mitigation услуг и других сервисов, которые вам точно пригодятся завтра, а вполне возможно, что уже сегодня. Весь исходный код нашего инструментария доступен на GitHub.
Для использования набора инструментов необходимо обладать виртуальными кредитами, которые начисляются пользователям за работу установленных у них зондов, а также всем владельцам автономных систем, имеющих статус LIR. Стоит заметить, что сами пробы RIPE предоставляет на полностью безвозмездной основе.