🚶🏼 🔧 👬 Qrator Labs年度网络安全性和可用性报告 🏁 🚮 😔

我们在Qrator Labs中有一个传统-在一开始，而2月绝对不是结束，每年都发布前一年的报告。

像任何常年实体一样，它周围有许多相关故事。例如，当1月初另一起DDoS攻击到达我们公司的页面时，它已经成为一个“好兆头”，我们没有时间在报告中指出这一点。 2020年是例外，我们设法描述了攻击媒介（TCP SYN-ACK放大），但在qrator.net上，来宾仅在1月18日（而不是一个）出现在访客身上（但不是一个），来宾在1月18日到达：116 Gbps，26 Mpps。

值得承认的是，重述过去一年的事件是一种特定类型。因此，我们在反思过程中决定将重点放在今年将发生的事情上（主要是与我们的团队和产品一起），因此，阅读我们的发展计划就不会感到惊讶。

去年，我们将从两个最有趣的话题开始：SYN-ACK放大和BGP“优化”。

TCP SYN-ACK放大和其他协议

物联网市场的增长尤其意味着，攻击者可以根据需要利用易受攻击的设备，从而创造可观的攻击带宽-就像在今年年中使用WSDD协议造成明显损害的情况那样。在对Qrator Labs过滤网络的攻击中也可以看到Apple ARMS协议，该协议用于获得35.5数量级的放大系数。

在2019年期间，公众还了解了新型放大器（PCAP），并亲自看到了涉及TCP的众所周知的攻击媒介-SYN-ACK。此方法与典型UDP放大之间的主要区别在于SYN-ACK向量使用的响应不大于请求-而是仅尝试多次回答TCP请求，从而产生明显的放大系数。由于Internet上的公共云通过欺骗源地址来响应数据包，因此涉及SYN-ACK放大向量的攻击已成为最严重的网络威胁之一。当一家主要的云托管提供商Servers.com转向Qrator Labs时，发生了顶峰要求帮助中和DDoS攻击，包括SYN-ACK向量。

非常有趣的事实是，过去最常以转储所有UDP流量的形式使用的反应方法，实际上通过放大来中和了大部分攻击，根本没有中和SYN-ACK向量。小型互联网公司在消除此类威胁方面面临巨大困难，因为它需要使用综合措施来应对DDoS攻击。

尽管TCP SYN-ACK放大并不新鲜，但到目前为止，它仍然是一个相对未知的攻击媒介。攻击者将SYN数据包发送到Internet上的所有公共TCP服务，将源地址替换为受害者的地址，然后每个服务依次响应几次以尝试建立连接-通常为3到5。很长一段时间以来，这种攻击媒介被认为是毫无意义，直到2019年7月，我们才看到攻击者能够产生足够的攻击带宽，甚至可以撼动非常大型的分布式网络基础设施。考虑到已经提到的事实，即缺少“响应放大”，并且仅在发生故障的情况下使用协议中固有的重新连接的可能性，因此这特别不寻常。对于那些，任何对具有类似“功能”的其他协议感兴趣的人，都可以指向QUIC协议，该协议已经为服务器提供了以更大的响应来响应客户请求的选项（尽管协议草案也“建议”发送的请求的大小不要超过请求的三倍）。

放大系数系数已不再是100倍的威胁-显然，今天3-5倍就足够了。在不消除“欺骗性”流量作为一个类别的现象的情况下，解决该问题几乎是不可能的-攻击者应该不能模拟某人的网络标识符，并用合法内容来源的流量充斥它。 BCP38（用于建立网络和解决有问题的情况的一组最佳且普遍接受的做法）根本无法工作，并且新传输协议（例如QUIC）的创建者无法评估甚至很小的放大功能所带来的危险。他们在另一边。

网络需要一种可靠的方法来丢弃或至少限制欺骗的流量-此工具应具有有关请求源合法性的足够信息。如今，由Amazon，Akamai，Google和Azure等公司拥有的云网络几乎是TCP放大的理想目标-它们具有许多强大的硬件，可以满足几乎所有攻击者的目标。

难以消除此类攻击对现代Internet造成的后果。如前所述，用于创建它们的应用程序和库的现代前端和后端是相互集成的。在来自自己的开发堆栈的大型云内部使用开源软件解决方案的功能，可能会导致严重问题，这是由于使用了来自同一云的SYN-ACK放大攻击而导致的。由于从云服务提供商一方进行阻止（由于请求源的伪地址，即您的地址）而导致的存储库损坏和非更新配置文件的情况是，没人愿意这样做。在2019年期间，我们多次面对这种情况，处理了受影响公司的投诉，在它们的存在和发展过程中首次发现了难以想象的关键依赖。

BGP协议的进一步开发是必要的，以便将其用于与TCP / IP协议栈中的欺骗作斗争。路由表从根本上不同于子网表，并且我们需要教导网络快速隔离和丢弃非法数据包-换句话说，在网络基础结构级别提供身份验证。为了使它与路由表中包含的信息相匹配，不应注意“目标地址”，而应注意“源地址”。

BGP-“优化程序”

BGP事件一直在持续。根据当前网络事件的严重程度，路由泄漏和已传播的子网的拦截已扩散得足够远，这对传播的范围和消除后果所需的时间构成了主要危险。也许这是由于以下事实：网络组件本身的开发要比开发新硬件和软件的世界上其他地方慢得多。长期以来，这都是事实-是时候放弃这一遗产了。必须在网络软件和硬件以及配置BGP过滤器的人员上投入时间和金钱。

2019年涉及BGP优化器的事件表明，每个人依赖的BGP统计数据存在很多问题。事实是，在从对等方收到的BGP声明中，几乎可以更改所有内容，然后再再次声明-协议非常灵活。这正是优化器使用的：较大或较小的网络前缀，以及空闲过滤器和本地首选项。如果有人将前缀分解为两个较小的前缀，则他们通常会赢得传输流量的竞争。优化器采用正确的路线，并宣布其较小的部分-非常简单。它通过分解互联网的大部分来工作。

之所以存在BGP优化器，是因为许多公司希望自动控制传出的流量，而不考虑流量本身。接受不应该存在的路由是一个巨大的错误，因为在它们起源的地方没有这样的路由。

2019年写了许多文字，包括我们公司在内。有关“ BGP优化”的风险。当然，对于Verizon来说，为服务的每个新使用者创建新的过滤策略都是不愉快的。众所周知，Verizon没有过滤器，因为它从AS396531自己的客户端（称为“存根”）（具有单个连接的自治系统）采取了数百条有问题的路由。此外，电信巨头也没有此连接的子网限制。甚至没有从消费者那里检查其他Tier-1运营商是否存在的基本检查（默认情况下会启动这种检查，不需要支持或更改）。

在新闻界，对包括Verizon和Cloudflare在内的这一事件进行了非常积极的讨论。除了Verizon可能采取的行动外，许多人还注意到RPKI的好处以及ROA的严格最高记录。但是maxLength呢？众所周知，通过严格检查最大记录长度，在检查ROA时，所有带有较小子网指示的公告都会变得不正确。还已知有一种用于重置无效路径的策略。 IETF中还有一个草稿，指示maxLength应该等于网络前缀的长度。

Cloudflare遵循最佳做法。但是，有一个小问题。 Verizon不支持针对无效路由的重置策略。也许他根本没有任何RPKI验证。结果，所有具有较小子网的路由都进一步传播，尽管从“路由源”验证的角度来看它们是错误的，并将所有流量都拉到了自己身上。同时，尽管状态为“无效”，但Cloudflare本身无法宣布相同的路线，因为其供应商会将其视为错误路线。

可以通过在声明创建过程中简单地操纵以下形式的AS_PATH属性来消除路由泄漏：ASx AS396531 ASx（其中ASx是自治源系统的编号）-这将通过使用环路检测机制来避免泄漏，同时以其他方式解决问题，这将有助于避免泄漏。尽管每次进行此类操作，都必须牢记此类策略。

在现实生活中，最经常使用的是标准方法-投诉。这导致额外的等待时间。沟通可能会很痛苦，我们不能为此怪罪于Cloudflare-视情况而定，他们竭尽所能。

结果是什么？有时我们被问到使用BGP来组织不好的事情有多困难。假设您是新手反派。必须连接到大型电信运营商，这对过滤器设置不利。然后选择任何目标，并通过宣布其较小部分来获取其网络前缀。同样，不要忘记丢弃所有传输数据包。恭喜你！您刚刚在Internet上为该服务通过提供商的所有中转流量创建了一个黑洞。由于拒绝提供服务，受害人将损失真钱，并且很有可能遭受重大声誉损失。查找此类事件的原因至少需要一个小时，而对于使一切恢复正常-如果这种情况是无意的，并且所有参与者之间都有解决的善意。

在2019年3月，还有另一种情况，这一次我们没有与BGP优化相关联。但是，它也值得关注。

假设您是一家宣布自己的客户子网的运输提供商。如果此类客户有多个提供者，而不是您，则您只会收到一部分流量。但是流量越多，利润就越大。因此，您决定从具有相同AS_PATH属性的这些网络中通告较小的子网，以获取此类网络的所有流量。当然还有剩余的钱。

在这种情况下，ROA是否会有所帮助？也许可以，但前提是您决定根本不使用maxLength并且您没有具有相交前缀的ROA记录。对于某些电信运营商，此选项不可行。

如果我们谈论其他BGP安全机制，那么ASPA不会帮助这种拦截，因为AS_PATH属于正确的路径。由于缺乏支持和进行降级攻击的能力，BGPSec当前效率低下。

由于获得了具有多个提供商的自治系统的所有流量，并且没有任何保护手段，因此仍有增加利润的动机。

网络中的静态环路总数。

仍然可以做什么？最明显和最根本的步骤是查看当前的路由策略。这将帮助您将地址空间划分为您想宣布的最小可能部分（无交集）。使用maxLength选项仅为这些路由签署ROA。当前的ROV验证可以使您免遭此类攻击。但是同样，有些人负担不起仅使用最小的子网。

使用Radar.Qrator，您可以跟踪此类事件。为此，我们需要有关您的前缀的基本信息。您可以与收集器建立BGP会话，并提供有关Internet可见性的信息。我们也非常感谢愿意将完整的路由表（完整视图）发送给我们的人员-这有助于跟踪事件的范围，但是出于您自己的利益并开始使用该工具，仅列出您的前缀就可以使用路由列表。如果您已经与Radar.Qrator进行了会话，请检查您是否正在发送路由。为了自动检测和通知对您地址空间的攻击，此信息是必需的。

我们重复一遍-如果检测到类似情况，您可以尝试抵消。第一种方法是使用具有较小子网前缀的路径自我通告。下次攻击这些前缀时，请重复。第二种方法是通过拒绝自治系统访问您的路径来惩罚攻击者。如前所述，这是通过将攻击者的自治系统号添加到您的旧路径的AS_PATH中来实现的，从而可以防止循环发生。

银行业务

2019年，我们在俄罗斯进行了一项研究，该研究表明金融机构记录了信息安全重要性的增长，并开始将此类投资给予更高的优先级。

受访银行将财务和声誉损失视为信息安全漏洞最严重的后果。

大多数接受调查的金融机构都认为混合解决方案是应对分布式拒绝服务攻击的最有效方法。

过去两年的动态情况清楚地表明，信息安全领域正在以惊人的速度增长：在过去的两年中，大多数银行已增加了对信息安全的投资。网络安全已经在公司管理层面变得可见。企业领导者开始更多地关注安全策略的实施过程，并且信息安全总监的位置已获得新的角色。IS经理正逐渐成为金融组织高层管理人员的关键顾问，并根据公司的需求介绍业务策略和安全策略。

电子商务

在电子商务领域进行了类似的研究，我们发现DDoS攻击仍然对俄罗斯零售业构成重大威胁，尤其是对于发展数字服务渠道而言。该部分中的攻击数量继续增长。

在某些细分市场中，尽管整体稳定和整合，但对竞争对手清洁度的信心仍然很低。同时，大型在线商店在很大程度上信任其消费者，并且不会将客户的个人动机视为造成网络攻击的严重原因。

通常，大中型电子商务企业只有在实践中才通过“战斗测试”来了解其对DDoS攻击的准备情况。对项目准备进行初步风险评估的需要远远没有得到所有人的认可，甚至更少的公司实际进行了这种评估。造成黑客入侵的主要原因是，受访者认为商店出现故障，以及盗用用户群。

通常，确保网络安全的方法中的零售成熟度水平正在提高。因此，所有受访者都使用DDoS保护和WAF的某种方式。
在进一步的研究中，计划在受访者中包括一个代表性的小型在线企业样本，并详细研究该细分市场，其风险和当前的安全级别。

HTTPS上的DNS与TLS上的DNS

2019年最热门的话题之一是关于未来拥有哪种技术的争论-DoH或DoT。最初的矛盾是由于不同的立法机构（欧盟GDPR与美国的联邦和州法律）存在重大差异，以及主要浏览器市场的竞争：谷歌浏览器和Mozilla Firefox，以及苹果Safari。我们还不准备说引入这些技术是否会减少Internet上的放大器数量。但是，由于在DNS解析器之间创建了安全连接，因此从体系结构的角度来看，使用DoT选项似乎更有可能。关于其他预测，我们将等待市场做出决定。

2019年受攻击最多的行业

TCP确认漏洞

正如Netflix报道的那样，在2019年6月，有关严重漏洞存在的第一个细节出现在TCP / IP协议栈的某些实现中。据推测，该问题最初是在FreeBSD操作系统中发现的，此后，我们公司收到了Linux中存在相同漏洞和其他漏洞的确认。

最危险的CVE-2019-11477（SACK Panic），它可使攻击者使用一系列特殊格式的程序包来调用内核恐慌。其他三个漏洞可能导致过多的资源消耗，这可能导致拒绝服务。

禁用SACK功能可能会导致延迟增加，但是，这将保护服务器免受可能的拒绝服务攻击-根据Qrator Labs的说法，TCP / IP性能的暂时下降是消除严重漏洞的合理方法。涵盖这些漏洞的补丁很早就可以使用，建议安装。

BGP路由的未来

到2019年底，Radar.Qrator是最大的BGP全球路由收集和分析平台，已建立了650多个会话。

Radar.Qrator团队正在努力改善服务的可用性和可靠性，并对BGP关系模型进行了改进，该模型是实时监视自治系统的付费服务的基础。

2019年，为加快数据处理流程和SLA的实施做出了巨大努力，这确保了分析数据流的质量。如今，Radar已成为全球最大的分析平台和BGP收集器，拥有600多个已建立的会话，我们希望充分利用这些数据，以便将BGP路由中发生的所有事件立即通知服务的付费部分用户。

Radar.Qrator的增长速度快于预期-无论是网站访问者数量还是同时订阅者数量。在2020年，得益于客户的反馈，将立即提出多项重大改进，其中之一便是为每个自治系统提供新的事件存储。

我们遇到的问题之一是该网站的每个访问者都可以访问Radar Web界面中的预期响应时间。随着数据量的增加，有必要同时更新数据存储模型和用户对其的架构。雷达应该能够在请求的时间内快速将所有数据发送给任何访客。

ASPA机制的拟议方案。

我们也希望今年ASPA将成为RFC-批准的网络标准。对于行业内的每个人来说，都需要比IRR / RPKI组合更广泛，比BGPSec解决方案更轻巧的需求。在2019年，很明显的是，不正确的BGP配置如何导致路由泄漏，并以无法使用涉及最大Internet服务提供商的大量服务的形式带来可怕的后果。令人惊讶的是，这些事件再次证明，没有银弹可以克服其发展的所有可能情况。

世界上最大的Internet提供商需要支持最初的发展。下一步可以与大型社区合作，以帮助找到路线转移的来源。简单来说，ASPA是一个结合了ROA和RPKI当前功能的新实体-它实现了一个简单的原则：“了解您的供应商”。 AS的所有者只需知道自己的上游，即可实施足够可靠的方法来防御BGP路由事件。

与ROA一样，ASPA允许您过滤任何连接的路由：与更高的提供者，邻居或消费者之间的连接。 ROA和ASPA的结合可以解决大部分网络安全任务，而无需对协议本身进行根本性更改，从而滤除故意的攻击和与人为因素有关的错误。但是，也有必要等待软件和硬件制造商的支持-尽管有信心开源支持不久就会到来。

ASPA的主要优点之一是它是一个非常简单的想法。计划在2020年完成协议草案的工作，如果成功，IETF和该草案的共同作者将就巩固协议状态达成共识。

Qrator过滤网络的当前和未来发展

过滤逻辑

在过去的两年中，我们投入了大量的时间和精力来改进过滤逻辑，这是我们提供的缓解攻击服务的基础。迄今为止，它们已经在整个网络上工作，显示出运行效率的显着提高以及存在时内存和中央处理器上的负载的减少。新的过滤器还允许您同步分析请求，并提供各种JavaScript任务来检查访问者的合法性，从而提高攻击检测的质量。

更新过滤逻辑的主要原因是需要从第一个请求中检测整个机器人类别。 Qrator Labs使用带有状态记忆和不带有状态记忆的检查组合，并且仅在确认用户的合法性之后才将请求进一步发送到受保护的服务器。因此，有必要使过滤器非常迅速地工作-现代DDoS攻击以每秒数千万个数据包的强度通过，其中一些可能是一次性的唯一请求。

2020年，作为此过程的一部分，还将对“入职”流量的过程进行重大更改，即开始使用新的受保护服务。每个服务的流量以其自己的方式是唯一的，并且即使模型没有经过良好的训练，我们也将努力确保无论如何，新客户都会迅速收到对所有类型攻击的完全抵消。结果，我们将确保在受到攻击时连接时更平滑地包含过滤，并且过滤的开始将伴随较少的误报。当服务及其背后的人员处于大规模网络攻击下的生存之战中时，所有这些都是非常重要的。

按使用频段划分的2019年DDoS攻击分布。

HTTP / 2

HTTP / 2协议的实现问题（拒绝服务漏洞）主要在2019年得到解决，这使我们能够在Qrator过滤网络内部启用对该协议的支持。

现在正在积极进行工作，以便为每个客户端提供HTTP / 2保护，从而完成了漫长而深入的测试期。连同对HTTP / 2的支持，TLS 1.3引入了在自动发行Let's Encrypt安全证书的情况下使用eSNI的可能性。

当前，HTTP / 2是可根据要求提供的附加选项。

容器与编排

当前的集装箱化趋势与我们的安全方法不兼容。这意味着与Kubernetes合作必须克服各种挑战。安全性和可访问性是最高优先事项之一，这不允许我们依赖使用Kubernetes的人员之间的通用做法，首先是使编排流程完全控制具有所有功能的操作系统-这将完全由Kubernetes及其附加组件的开发者来决定。到目前为止，Kubernetes还没有开箱即用的所有必要功能，有些甚至对“按原样使用，没有保证”的状态隐藏起来，无法进行详细研究。但是，这一切并不会阻止在过滤网络管理中进一步实施Kubernetes的工作，逐步调整它以适应我们的要求，并使它成为内部基础结构的重要组成部分。

分布式和容错网络的发展与发展的未来要求引入适当的工具（CI / CD和自动测试是其中的一部分），并具有使用它创建和管理稳定可靠的系统的能力。由于数据量仅在增加，因此监视工作应随之增加。建立监视的最自然的方法是为应用程序提供安全且易于观察的通信方法。我们相信Kubernetes已经证明了其多功能性和适用性，并且针对任何基础设施抵御DDoS攻击的需求，其进一步的专业化都是与任何开源解决方案一起工作的现实。

从2018年到2019年DDoS攻击平均持续时间的变化。

Yandex.Cloud和Ingress 2.0

在2019年，我们与Yandex.Cloud一起提供了用于过滤传入流量的服务的更新版本-Ingress，显着扩展了其过滤和配置功能，为最终用户提供了清晰的管理界面。该服务的新版本已在Qrator Labs过滤网络以及Yandex.Cloud网络上运行。

Yandex.Cloud团队已经走了很长一段路，通过使用位于合作伙伴基础结构内负责其流量的Qrator Labs物理节点来组合两个基础结构。

最终，经过一段时间的深入测试，可以使用新版本的Ingress。在Yandex的帮助下，我们能够提供最佳的解决方案之一，用于过滤传入的流量，这些解决方案专门针对生成大量内容的服务的需求而创建。

我们还认为，新版本的服务对最终用户而言是直观的，并允许您更灵活地配置过滤参数，这是非常成功的。

TLS 1.3和ECDSA证书

在2019年初，Qrator Labs 撰写了有关在禁用SSL v.3的同时支持TLS版本1.3的信息。由于DDoS中和服务的可用性而不公开加密密钥，因此对该过滤方案进行了其他改进，从而提高了syslog转换的速度和可靠性。让我们回顾一下性能测量的结果。

签名类型	每秒握手
ECDSA（prime256v1 / nistp256）	3358.6
RSA 2048	972.5

如您所见，在Intel®Xeon®Silver 4114 CPU @ 2.20GHz（于17年第三季度发布）的同一核心上，ECDSA性能与密钥长度为2048位的公认RSA之间的总差为3.5倍。

我们来看一下在同一处理器上为ECDSA和RSA运行openssl -speed命令的结果。

签名类型	标志	校验	符号/秒	验证/秒
RSA 2048位	717微秒	20.2微秒	1393.9	49458.2
256位ECDSA（nistp256）	25.7微秒	81.8微秒	38971.6	12227.1

在这里，我们可以找到对先前撰写的论文的确认，该论文关于签名的计算操作及其验证在ECC和RSA之间如何不同。当前，与RSA相比，基于TLS 1.3的椭圆曲线加密技术可显着提高服务器性能，并提供更高级别的保护。这就是为什么我们在Qrator Labs推荐并强烈鼓励准备使用ECDSA证书的客户的主要原因。在现代CPU上，支持ECDSA的性能提高了5倍。

较小的改进

2019年期间规模不大但不起眼的但仍然重要的创新之一是引入了主动检查上游状态的过程。如果由于某种原因在攻击过程中客户端的一个上级连接中发生了某些情况，则筛选服务将是第一个了解此情况的人，从而使连接停止运行，直到问题解决。在这种情况下，他不仅帮助监视错误和交通状况，还帮助建立特殊的可访问性检查界面，该界面与服务使用者一起完成。

在2019年底，对过滤服务用户界面进行了较大的更新。并且尽管提供了使用旧版本个人帐户的可能性，但是更新部分已经在开发新功能，该功能提供了更广泛的功能，例如TLS证书的管理。

个人帐户的旧版本使用服务器端呈现，而按照现代网络的最佳传统，更新后的版本是JavaScript应用程序，该应用程序运行在通过REST API与服务器通信的客户端上。这种方法将允许您快速为用户提供新功能，同时为个人消费者的每个个人帐户的个人设置提供更深层次的机会。其中之一就是“ Analytics（分析）”部分，可以在其中自定义单个指标，其数量在不断增加。

比较2019年DDoS攻击的两个主要分类组。

IPv6

Qrator Labs正在积极准备开始使用IPv6作为流量过滤服务的一部分。对于任何网络安全公司而言，这种过渡都不是基本的。由于DDoS攻击的性质，使用IPv6抵消网络攻击要求方法上的重大变化，因为不再可能处理任何形式的“列表”，理论上限制为^2128个 IP地址。它仅与TCP有关，而不考虑UDP。

对我们来说，2020年将是IPv6的一年。随着可用IPv4地址空间的耗尽，没有其他方法可以开发满足未来需求的网络。我们希望我们能够在消除IPv6攻击的框架中有效应对我们面临的所有挑战。首先，这意味着我们将能够使用我们的网络宣布消费者过滤服务的IPv6子网，同时提供一流的网络安全服务。

反机器人

在2019年，行业观察到指纹识别（访客识别）与限制指纹识别之间的激烈竞争。可以理解，Internet服务的所有者和开发人员希望将合法用户的请求与机器人的自动请求进行限制或分离。另一方面，浏览器开发人员保护软件用户安全的愿望并不奇怪。多年以来，Qrator Labs一直提醒市场，如果某些信息可公开获得并且不需要授权就可以接收，那么保护它免受自动解析的可能性往往为零。同时，我们提醒数字业务的所有者，他们有权选择处理服务器上的请求。在某些情况下采取积极主动的方法有助于评估和识别威胁。

随着僵尸程序产生的流量份额不断增加，我们可以预见，将来大型服务将为优秀的僵尸程序创建特殊接口，从而为它们提供合法信息。其余的将被阻止。即使是现在，在2020年初，也不能说不是100％合法用户将无法立即访问Internet上的任何资源-如果例如仅将浏览器用户代理更改为任意一个，许多人将不允许这样做。

在Qrator Labs内部，反机器人服务已经积极开发了好几年，我们希望在2020年将它作为beta服务的一部分提供给我们的第一批客户。该服务将以半自动模式运行，从而有可能针对僵尸程序的大量自动或外发请求识别并设置安全规则。

设备

在测试了新的AMD处理器之后，该公司负责任的员工非常感兴趣，以至于Qrator Labs将于2020年第一季度在日本大阪建立一个完全基于AMD处理器的新服务点。AMD CPU附带的第四代PCI Express有望使CPU和网络接口之间的带宽增加一倍。在这一年中，将测试和评估这种韧带在压力最大的情况下的使用情况。随着网络中传输的数据量的增加，网络接口和处理器之间的通道逐渐变得狭窄。附加内核，更大的缓存和新版PCI Express的结合有望带来良好的结果。

使用AMD CPU的另一个原因是需要多样化的网络架构，尽管这是Qrator Labs的第一个存在点，它完全基于新处理器构建。

我们真的很期待新设备的开始工作，新设备的启动将在2020年初另行报告。我们希望AMD处理器和使用PCI Express 4的高性能网卡的组合能够满足我们的要求。亚洲市场是增长最快的市场之一，我想感谢那里用新设备抵消DDoS攻击的进一步前景。

同时，新一代英特尔处理器也将面世-Ice Lake。它们在我们基础架构中的进一步使用将在很大程度上取决于其测试和比较的结果。

除了处理器之外，整个行业都希望发布Intel 800系列网卡。在2020年，我们将尝试在过滤网络的基础架构中找到它们的应用。

关于交换机-Qrator Labs 继续与Mellanox 合作，Mellanox反复证明自己是可靠的供应商和合作伙伴。

说这并不容易，但是尽管Broadcom主导了网络设备市场，但我们希望与NVidia的合并将为Mellanox带来值得竞争的机会。

过滤网络的未来改进

到2020年，我们公司预计将与包括过滤网络内的Web应用程序防火墙和内容交付网络在内的各种服务和服务的供应商建立更深的伙伴关系。我们一直试图将各种供应商整合到基础架构中，以为消费者提供可能的服务的最佳组合。计划到2020年底，宣布与Qrator一起提供许多新的服务提供商。

2019年还揭示了一些有关WebSockets技术保护的问题。它的流行和普及只是在增长，而且适当保护的复杂性并未降低。在2020年期间，即使我们发送任意（未知）数据，我们也希望与一些使用WebSockets技术的客户一起寻找最佳的保护方法。

我们要做的不是专有技术，也不是启示。该公司进入这个市场的时间比许多竞争对手晚。团队致力于做出独特而有效的工作。部分机会还在于公司员工在主要工作领域对学术和科学研究的真正兴趣，这使我们能够为“突发”事件做好准备。

既然您已经读完了，这里是分发的.pdf。不要自己忘记网络安全性，也不要将其交给他人。

Qrator Labs年度网络安全性和可用性报告