|
|
OrnakCERBER - STUDIUM RZECZYWISTEGO PRZYPADKU
Jeden z naszych stałych klientów zgłosił się z poważnym problemem, dotyczącym funkcjonowania serwera WWW. Serwer ten obsługuje witrynę o dużej oglądalności - około 15000 wizyt na dobę.
W pewnym momencie użytkownicy witryny zaczęli uskarżać się na znaczne pogorszenie wydajności, a co za tym idzie jakości odbioru serwisu. Analiza logów serwera nie wykazała zwiększonego obciążenia, co mogło by być pierwszą przyczyną takiego pogorszenia jakości. Wyglądało to wręcz odwrotnie, mniejsza wydajność obniżyła natężenie wizyt.
Następną przyczyną mogło być pogorszenie się parametrów łącza dostępowego tzn. obniżenie przepustowości przez dostawcę Internetu (ISP). I znowu wynik testu był negatywny - łącze utrzymywało prawidłowe parametry.
Postanowiliśmy działać niekonwencjonalnie. Na wejściu sieci do klienta, umieszczony został komputer z dwiema kartami sieciowymi, całkowicie "przezroczysty" dla ruchu sieciowego, jednak gromadzący szczegółowe informacje o przepływających pakietach. Jakież było nasze zdziwienie, gdy już pobieżna analiza transmisji wykazała, że przez port 25, przeznaczony do współpracy z serwerem poczty elektronicznej, płynie w sposób nieprzerwany duży strumień danych. Strumień ten zajmował większą część całego pasma internetowego i powodował, że inne usługi musiały długo czekać na swoje pakiety.
Mówiąc potocznie - łącze było „przytkane”. Wyglądało to tak, jakby ktoś zlecił serwerowi pocztowemu przesyłanie dużej partii listów. Jednak wysyłanie powinno się wreszcie skończyć, a strumień płynął nieprzerwanie, całą dobę. Dodatkowym problemem było to, że sieć wewnętrzna nie podlegałą ani do naszej, ani klienta bezpośredniej administracji, i nie można było skutecznie interweniować.
Źródłem problemu było opanowanie sieci przez roboty automatycznie rozsyłające spam. Nasz klient opłacał wysoki abonament za wydajne łącze, na którym bez jego wiedzy pasożytowali spamerzy.
Na skuteczne rozwiązanie problemu pozwolił zainstalowany przez nas komputer. Odpowiednio napisane oprogramowanie i skonfigurowanie właściwych serwisów pozwoliło na zdławienie wypływającej informacji do poziomu potrzebnego dla standardowo obciążonego serwera pocztowego. Natychmiast łącze stało się otwarte dla pakietów z serwera WWW i serwis WWW "ożył".
Działanie takie nazywa się w dialekcie informatycznym shapeing'iem (od angielskiego słowa shape - kształt). Shapeing pozwala na dowolne kształtowanie przepustowości pasma, odmiennie dla różnych typów usług.
Dalszy rozwój zainstalowanych na naszym dodatkowym komputerze serwisów umożliwił, właściwe dowolne, analizowanie i kształtowanie przepustowości łącza, nie tylko ze względu na typ przesyłanej informacji, ale również ze względu na jej miejsce docelowe, źródło, a nawet treść. Dowolne, oznacza również całkowitą blokadę.
Tak pojawił się pomysł analizowania ruchu przychodzącego i odcinania treści, które nie powinny być pobierane w instytucji.
W opisywanym przypadku analiza przesyłanej przez sieć klienta treści wykazała, że bardzo dużą część "normalnego" ruchu stanowiło przesyłanie nielegalnych materiałów filmowych i graficznych przez pracowników klienta (m. in. o charakterze pornograficznym). Przed naszymi działaniami klient rozważał rozszerzenie przepustowości łącza, godząc się na poniesienie dodatkowych kosztów - wzrost stałych wydatków abonamentowych.
Po zablokowaniu przez nasze urządzenie ruchu niepożądanego, okazało się, iż tak naprawdę do prawidłowej pracy wystarcza łącze o obniżonej przepustowości, co zaowocowało ostatecznie zmniejszeniem kosztów jego utrzymania oraz prawdopodobne zwiekszeniem efektywnego czasu pracy.
Urządzenie nasze jest w dalszym ciągu doskonalone i rozwijane.
|
|