DDoS-Guard.net
16.04.2019
11 дней обороны: провайдеров атакуют по утрам
Два клиента DDoS-GUARD подвергаются амплифицированным DDoS-атакам, которые продолжаются непрерывно уже 11 дней
Читать далее
02.04.2019
DDoS-GUARD и Selectel поставили на защиту Петербург
02 апреля 2019 года, Москва, Санкт-Петербург — Selectel, провайдер ИТ-инфраструктурных решений для бизнеса, и DDoS-GUARD, оператор связи и услуг по защите от DDoS-атак, совместно запустили узел фильтрации трафика. Он стал первой и единственной точкой в Петербурге, являющейся частью глобально распределенной фильтрующей сети.
Читать далее
31.01.2019
Клиентам DDoS-GUARD доступна балансировка запросов
Пользователям услуги Защита и ускорение веб-сайтов теперь доступна новая опция - балансировка запросов. Это предложение подойдет тем, чей сайт размещен на нескольких web-серверах, расположенных в одном или нескольких дата-центрах.
Читать далее
18.04.2018
Заблокировали хостинг-провайдера? Переходи на DDoS-GUARD
Блокировки Роскомнадзора поставили в трудное положение всех, кто пользовался услугами зарубежных провайдеров Amazon и OVH.
Читать далее
Выберите свой выделенный сервер — получите SSD в подарок
Период действия акции *:
до конца февраля
Разверните свой проект на выделенном сервере - получите максимум возможностей со скидкой 10%.
Читать далее
Выделенный сервер с защитой от DDoS-атак со скидкой 30%
Период действия акции *:
до 17 января 2019
Отличный подарок для администраторов веб-проектов в этом году - выделенный сервер с защитой от DDoS-атак со скидкой 30% и дополнительным SSD 150-240 Гб в комплекте
Читать далее
Скидка 50% к 23 февраля!
Период действия акции *:
до 25.02.2018
DDoS-GUARD поздравляет с наступающим Днем защитника Отечества. Каждому из нас есть, что оберегать. И чтобы помочь вам уберечь свои проекты от DDoS-атак, мы дарим скидку 50% на первый платеж!
Читать далее
SSL-сертификат бесплатно!
Период действия акции *:
бессрочно
Теперь фильтрация HTTPS-трафика ВКЛЮЧЕНА в стоимость тарифного плана Normal. Клиент может использовать как бесплатный Let's Encrypt, так и установить любой свой сертификат.
Читать далее
Скидка 50% на первую оплату
Период действия акции *:
до 28 февраля 
Чтобы получить скидку, укажите при оплате промокод CHINESENEWYEAR2018 и сумма уменьшится автоматически.
Читать далее
Удар из прошлого: DdoS-атака RIPv1, или чем опасны старые роутеры
Рубрика:
Безопасность
Опубликовано: 27.07.2015.Атаки, использующие устаревший протокол маршрутизации RIPv1, снова были замечены с 16 мая 2015 года, после более чем годичного забвения. Их зафиксировала первой компания Akamai, а через пару дней — и DDoS-GUARD.
RIPv1 впервые был представлен в «историческом» RFC1045 (оригинальная спецификация больше не поддерживается). Протокол поддерживает только классовую маршрутизацию. Таким образом, если сеть, анонсируемая по RIPv1, относится к классу «A» (например, 10.1.2.0/24), то реально отправляемый анонс будет выглядеть, как 10.0.0.0/8. Это, среди прочего, значительно ограничивает применение RIPv1 внутренними сетями, он малопригоден для Интернета.
Основные характеристики рассматриваемой атаки
• объем трафика: до 12,8 Гбит
• пакетов в секунду: до 3,2 млн
• вектор атаки: амплификация RIPv1
• исходящий порт: UDP:520
• входящий порт: случайный
Протокол RIPv1 (Routing Information Protocol, версия 1) существует уже много лет и считается быстрым и легким способом обмена информацией о маршрутах в небольшой сети с несколькими маршрутизаторами.
Маршрутизатор, поддерживающий RIP, отправляет запрос при первоначальной настройке либо при включении питания. Любое другое устройство, принимающее такие запросы, ответит списком маршрутов. Обновления таблицы маршрутов периодически рассылаются широковещательно (broadcast).
Чтобы изменить поведение RIPv1 для проведения DdoS-атаки, злоумышленник может отправить такой же запрос, подменив исходящий IP адресом объекта атаки. Адресаты выбираются по заранее подготовленному списку маршрутизаторов с поддержкой RIPv1, которые имеют подозрительно большое количество маршрутов в таблицах.
В результате одиночного запроса генерируется большое количество пакетов с 504-байтовой нагрузкой, отправляемых на атакуемый адрес. На один запрос может отправляться несколько ответов по причине ограничения в 25 маршрутов на один RIP-пакет.
На нижеприведенном листинге RIP-ответы взяты из реальной атаки. Со стороны атакуемого видны только ответы на запросы RIPv1, которые он, разумеется, не делал.
Примеры нагрузки
Типичный запрос RIPv1 содержит 24 байта. Приведенный ответ содержит 504 байта. Данный конкретный маршрутизатор отвечает десятью ответами по 504 байта и одним в 164 байта.
При вычислении коэффициента усиления по вышеприведенным запросам, учитывая заголовки Ipv4 [IP(IP (10)UDP10) UDP(8)], окончательное усиление для одиночного запроса RIPv1 составляет 131,24 (более 13 000%). Коэффициент будет меняться в зависимости от количества маршрутов в таблице роутера. Во время первой атаки, большая часть роутеров отвечала множественными 504-байтовыми ответами на каждый запрос.
Поверхностное сканирование источников атаки позволяет предположить, что жертвы, использованные для создания шторма RIP-ответов, пользовались примитивными маршрутизаторами (класса SOHO). Реализованный на них RIPv1 работает в соответствии со спецификацией, злоумышленники просто используют его особенности в своих целях.
«Отравление» RIPv1
Может ли злоумышленник дополнительно повысить коэффициент усиления, заставив маршрутизатор узнать новые маршруты? Идея кажется реализуемой. НО есть три основных фактора, мешающих эффективному использованию такого сценария в DdoS-атаках.
Первый фактор — «расщепление горизонта», используемое по умолчанию на некоторых устройствах, поддерживающих RIPv1. Попросту говоря, маршрутизатор, получающий обновление маршрутов, не отправит его обратно через тот же интерфейс, через который получил. Это означает, что устройство, подключенное к интернету, не будет отправлять объекту атаки ложные маршруты. Однако, он будет обновлять эти маршруты, когда они устареют до 16-й метрики.
Отсюда вытекает другой подавляющий фактор. Таблицы маршрутов часто очищаются, и слишком старые маршруты не будут сохраняться долго. С их устареванием будет требоваться очередное обновление, чтобы маршрутизатор их сохранил. К примеру, в устройствах Cisco, маршруты, поступившие с инъекцией, не покажутся, пока не станут неиспользуемыми (метрика 16) и сохранятся лишь 1 минуту после того, как будут помечены неиспользуемыми, после чего будут стерты из таблицы маршрутов.
Таким образом, потребуются непрерывные регулярные обновления, чтоб поддерживать «отравление» таблиц. Потребность в повторяющихся инъекциях приводит к падению коэффициента усиления, поскольку вместо одиночного 24-байтового запроса придется отправлять множественные анонсы до 504 байт каждый (в зависимости от числа маршрутов в инъекции), чтобы поддерживать таблицы маршрутов в нужном злоумышленнику состоянии.
Третья проблема заключается в том, что ответы RIPv1, приходящие из сетей, не связанных с маршрутизатором напрямую, будут проигнорированы. Значит, адрес источника обновлений должен быть подделан так, чтобы попадать в сеть, непосредственно связанную с «отравляемым» маршрутизатором, чтобы обновление было хотя бы просто принято.
Все это вместе делает попытки отравления таблиц маршрутов RIPv1 невыгодными и непривлекательными для злоумышленника.
При наличии локального доступа к устройству (маршрутизатору), маршрутами можно манипулировать в пределах возможностей самого устройства. Такой сценарий возможен в случае, когда управление марштуризатором доступно с учетными данными по умолчанию либо вообще без удостоверения пользователя. Такие недочеты в конфигурировании маршрутизаторов встречаются чаще, чем хотелось бы.
Рассматриваемая атака
Атака 16 мая 2015 года, с пиковой нагрузкой 12,81Гбит и 3,2 млн пакетов в секунду. В нижеприведённой таблице нагрузки, разбитой по географическому расположению источников трафика, видно, что наибольший трафик пришёл из Европы. Лондон и Франкфурт зафиксировали, в сумме, до 4,75Гбит.
Результаты сканирования RIPv1 в интернете
По данным Akamai, в общей сложности на запросы RIPv1 в интернете откликнулось 53 693 устройства. Хотя многие из них непригодны в качестве усилителей DdoS, они все равно уязвимы для отражения и других атак, по причине низкой защищенности протокола. Вообще, было идентифицировано около 500 уникальных источников, посылавших 504-байтовые ответы.
Большинство из 53 693 возможных источников отвечают единственным маршрутом — что делает их обычными «отражателями», без дополнительного усиления.
Рассматривая размеры ответов RIPv1, полученных в интернете, видно достаточно большое количество устройств, обеспечивающих хотя бы небольшой коэффициент усиления. Удалось идентифицировать 24 212 устройств, обеспечивающих усиление не менее 83%. В таблице ниже приведены 5 наиболее распространенных длин пакетов, полученных при тестировании.
Другая интересная находка — в том, что обнаруженные реализации RIPv1 при получении неправильно структурированного запроса отвечают сообщением, в котором не содержится реальная информация об их таблицах маршрутизации. Хотя это и нивелирует усиление, низводя атаку до простого отражения, такой эффект можно использовать для маскировки подлинного источника вредоносного трафика.
Выявленные адреса были рассортированы для определения моделей устройств. Из 53 693 устройств, откликнувшихся на запрос, более 20 000 так же слушали порт TCP:80 (зачастую используемый веб-интерфейсом администратора). Была предпринята попытка извлечь и записать результаты запросов в поисках утечки информации о моделях (запросы аутентификации, заголовки HTTP, номера моделей на начальных страницах и т. п.). Ниже представлены три наиболее распространенных устройства (среди обнаруженных), поддерживающих RIPv1. Устройства Netopia, вероятно, старое оборудование, получившее распространение во времена бума ADSL.
Следующий рисунок показывает распределение по провайдерам (на основе ответов whois) адресов обнаруженных устройств Netopia. Большинство из них используется клиентами AT&T.
Большинство из устройств географически находятся в США, как показано на следующем рисунке. Как упоминалось выше, источники вредоносного трафика, зафиксированные при недавних атаках, в основном находились в Европе. Это означает, что существует значительный потенциальный (пока незадействованный) ресурс, который может быть использован для атак с усилением и отражением.
Распределение источников трафика по странам показано на следующем рисунке. Объединяет их то, что каждый из них в ответ на запрос сообщает необычно большое количество маршрутов.
Рекомендуемые меры защиты
Для жертв таких атак, например, источников «отраженного» трафика, существует несколько путей защиты от данного метода.
Переход на RIPv2 или более поздний, с использованием аутентификации.
Если необходим RIPv1, пересмотреть необходимость в поддержке RIPv1 на внешних интерфейсах. Если там он не нужен, пометить внешние интерфейсы как пассивные для RIPv1 (где такая функция поддерживается).
Доступ к RIP можно так же ограничить при помощи ACL, разрешив доступ только известным маршрутизаторам.
Объекты атаки отраженным трафиком RIPv1 могут использовать ACL для запрета трафика с исходящего порта UDP:520 в интернете. Если атака слишком мощная, то могут потребоваться услуги провайдера защиты от DdoS.
Выводы
Список возможных векторов атаки немал, и некоторые контролировать сложнее прочих в виду их повсеместного распространения (например, DNS, SSDP). Как уже было сказано, у RIPv1 есть определенные возможности оставаться привлекательным ресурсом для организации DDoS-атак. Большинство источников этого ресурса — устаревшие маршрутизаторы, годами работающие в жилых домах или домашних офисах.
Большое количество устройств Netopia хорошо это иллюстрирует. Провайдеры не будут заменять ранее установленное оборудование, если оно исправно выполняет свои функции. Если не возникает проблем — зачем что-то менять?
Таким образом, в строю остаются устройства, поддерживающие устаревшие протоколы и содержащие известные уязвимости в программном обеспечении. На эту ситуацию наибольшее влияние будут оказывать провайдеры. Прежде всего, следует закрывать порт UDP:520 со стороны интернет. Это значительно уменьшит возможность реализации описанных DDoS-атак. Другой вариант, более дорогостоящий, заключается в организации апгрейда клиентского оборудования, его замены на новые маршрутизаторы (с корректными конфигурациями); это будет особенно актуально для устройств, которые больше не поддерживаются производителями.
Адаптированный перевод подготвлен техническими специалистами компании DDoS-GUARD
Основные характеристики рассматриваемой атаки
• объем трафика: до 12,8 Гбит
• пакетов в секунду: до 3,2 млн
• вектор атаки: амплификация RIPv1
• исходящий порт: UDP:520
• входящий порт: случайный
Протокол RIPv1 (Routing Information Protocol, версия 1) существует уже много лет и считается быстрым и легким способом обмена информацией о маршрутах в небольшой сети с несколькими маршрутизаторами.
Маршрутизатор, поддерживающий RIP, отправляет запрос при первоначальной настройке либо при включении питания. Любое другое устройство, принимающее такие запросы, ответит списком маршрутов. Обновления таблицы маршрутов периодически рассылаются широковещательно (broadcast).
Чтобы изменить поведение RIPv1 для проведения DdoS-атаки, злоумышленник может отправить такой же запрос, подменив исходящий IP адресом объекта атаки. Адресаты выбираются по заранее подготовленному списку маршрутизаторов с поддержкой RIPv1, которые имеют подозрительно большое количество маршрутов в таблицах.
В результате одиночного запроса генерируется большое количество пакетов с 504-байтовой нагрузкой, отправляемых на атакуемый адрес. На один запрос может отправляться несколько ответов по причине ограничения в 25 маршрутов на один RIP-пакет.
На нижеприведенном листинге RIP-ответы взяты из реальной атаки. Со стороны атакуемого видны только ответы на запросы RIPv1, которые он, разумеется, не делал.
Примеры нагрузки
Типичный запрос RIPv1 содержит 24 байта. Приведенный ответ содержит 504 байта. Данный конкретный маршрутизатор отвечает десятью ответами по 504 байта и одним в 164 байта.
При вычислении коэффициента усиления по вышеприведенным запросам, учитывая заголовки Ipv4 [IP(IP (10)UDP10) UDP(8)], окончательное усиление для одиночного запроса RIPv1 составляет 131,24 (более 13 000%). Коэффициент будет меняться в зависимости от количества маршрутов в таблице роутера. Во время первой атаки, большая часть роутеров отвечала множественными 504-байтовыми ответами на каждый запрос.
Поверхностное сканирование источников атаки позволяет предположить, что жертвы, использованные для создания шторма RIP-ответов, пользовались примитивными маршрутизаторами (класса SOHO). Реализованный на них RIPv1 работает в соответствии со спецификацией, злоумышленники просто используют его особенности в своих целях.
«Отравление» RIPv1
Может ли злоумышленник дополнительно повысить коэффициент усиления, заставив маршрутизатор узнать новые маршруты? Идея кажется реализуемой. НО есть три основных фактора, мешающих эффективному использованию такого сценария в DdoS-атаках.
Первый фактор — «расщепление горизонта», используемое по умолчанию на некоторых устройствах, поддерживающих RIPv1. Попросту говоря, маршрутизатор, получающий обновление маршрутов, не отправит его обратно через тот же интерфейс, через который получил. Это означает, что устройство, подключенное к интернету, не будет отправлять объекту атаки ложные маршруты. Однако, он будет обновлять эти маршруты, когда они устареют до 16-й метрики.
Отсюда вытекает другой подавляющий фактор. Таблицы маршрутов часто очищаются, и слишком старые маршруты не будут сохраняться долго. С их устареванием будет требоваться очередное обновление, чтобы маршрутизатор их сохранил. К примеру, в устройствах Cisco, маршруты, поступившие с инъекцией, не покажутся, пока не станут неиспользуемыми (метрика 16) и сохранятся лишь 1 минуту после того, как будут помечены неиспользуемыми, после чего будут стерты из таблицы маршрутов.
Таким образом, потребуются непрерывные регулярные обновления, чтоб поддерживать «отравление» таблиц. Потребность в повторяющихся инъекциях приводит к падению коэффициента усиления, поскольку вместо одиночного 24-байтового запроса придется отправлять множественные анонсы до 504 байт каждый (в зависимости от числа маршрутов в инъекции), чтобы поддерживать таблицы маршрутов в нужном злоумышленнику состоянии.
Третья проблема заключается в том, что ответы RIPv1, приходящие из сетей, не связанных с маршрутизатором напрямую, будут проигнорированы. Значит, адрес источника обновлений должен быть подделан так, чтобы попадать в сеть, непосредственно связанную с «отравляемым» маршрутизатором, чтобы обновление было хотя бы просто принято.
Все это вместе делает попытки отравления таблиц маршрутов RIPv1 невыгодными и непривлекательными для злоумышленника.
При наличии локального доступа к устройству (маршрутизатору), маршрутами можно манипулировать в пределах возможностей самого устройства. Такой сценарий возможен в случае, когда управление марштуризатором доступно с учетными данными по умолчанию либо вообще без удостоверения пользователя. Такие недочеты в конфигурировании маршрутизаторов встречаются чаще, чем хотелось бы.
Рассматриваемая атака
Атака 16 мая 2015 года, с пиковой нагрузкой 12,81Гбит и 3,2 млн пакетов в секунду. В нижеприведённой таблице нагрузки, разбитой по географическому расположению источников трафика, видно, что наибольший трафик пришёл из Европы. Лондон и Франкфурт зафиксировали, в сумме, до 4,75Гбит.
Результаты сканирования RIPv1 в интернете
По данным Akamai, в общей сложности на запросы RIPv1 в интернете откликнулось 53 693 устройства. Хотя многие из них непригодны в качестве усилителей DdoS, они все равно уязвимы для отражения и других атак, по причине низкой защищенности протокола. Вообще, было идентифицировано около 500 уникальных источников, посылавших 504-байтовые ответы.
Большинство из 53 693 возможных источников отвечают единственным маршрутом — что делает их обычными «отражателями», без дополнительного усиления.
Рассматривая размеры ответов RIPv1, полученных в интернете, видно достаточно большое количество устройств, обеспечивающих хотя бы небольшой коэффициент усиления. Удалось идентифицировать 24 212 устройств, обеспечивающих усиление не менее 83%. В таблице ниже приведены 5 наиболее распространенных длин пакетов, полученных при тестировании.
Другая интересная находка — в том, что обнаруженные реализации RIPv1 при получении неправильно структурированного запроса отвечают сообщением, в котором не содержится реальная информация об их таблицах маршрутизации. Хотя это и нивелирует усиление, низводя атаку до простого отражения, такой эффект можно использовать для маскировки подлинного источника вредоносного трафика.
Выявленные адреса были рассортированы для определения моделей устройств. Из 53 693 устройств, откликнувшихся на запрос, более 20 000 так же слушали порт TCP:80 (зачастую используемый веб-интерфейсом администратора). Была предпринята попытка извлечь и записать результаты запросов в поисках утечки информации о моделях (запросы аутентификации, заголовки HTTP, номера моделей на начальных страницах и т. п.). Ниже представлены три наиболее распространенных устройства (среди обнаруженных), поддерживающих RIPv1. Устройства Netopia, вероятно, старое оборудование, получившее распространение во времена бума ADSL.
Следующий рисунок показывает распределение по провайдерам (на основе ответов whois) адресов обнаруженных устройств Netopia. Большинство из них используется клиентами AT&T.
Большинство из устройств географически находятся в США, как показано на следующем рисунке. Как упоминалось выше, источники вредоносного трафика, зафиксированные при недавних атаках, в основном находились в Европе. Это означает, что существует значительный потенциальный (пока незадействованный) ресурс, который может быть использован для атак с усилением и отражением.
Распределение источников трафика по странам показано на следующем рисунке. Объединяет их то, что каждый из них в ответ на запрос сообщает необычно большое количество маршрутов.
Рекомендуемые меры защиты
Для жертв таких атак, например, источников «отраженного» трафика, существует несколько путей защиты от данного метода.
Переход на RIPv2 или более поздний, с использованием аутентификации.
Если необходим RIPv1, пересмотреть необходимость в поддержке RIPv1 на внешних интерфейсах. Если там он не нужен, пометить внешние интерфейсы как пассивные для RIPv1 (где такая функция поддерживается).
Доступ к RIP можно так же ограничить при помощи ACL, разрешив доступ только известным маршрутизаторам.
Объекты атаки отраженным трафиком RIPv1 могут использовать ACL для запрета трафика с исходящего порта UDP:520 в интернете. Если атака слишком мощная, то могут потребоваться услуги провайдера защиты от DdoS.
Выводы
Список возможных векторов атаки немал, и некоторые контролировать сложнее прочих в виду их повсеместного распространения (например, DNS, SSDP). Как уже было сказано, у RIPv1 есть определенные возможности оставаться привлекательным ресурсом для организации DDoS-атак. Большинство источников этого ресурса — устаревшие маршрутизаторы, годами работающие в жилых домах или домашних офисах.
Большое количество устройств Netopia хорошо это иллюстрирует. Провайдеры не будут заменять ранее установленное оборудование, если оно исправно выполняет свои функции. Если не возникает проблем — зачем что-то менять?
Таким образом, в строю остаются устройства, поддерживающие устаревшие протоколы и содержащие известные уязвимости в программном обеспечении. На эту ситуацию наибольшее влияние будут оказывать провайдеры. Прежде всего, следует закрывать порт UDP:520 со стороны интернет. Это значительно уменьшит возможность реализации описанных DDoS-атак. Другой вариант, более дорогостоящий, заключается в организации апгрейда клиентского оборудования, его замены на новые маршрутизаторы (с корректными конфигурациями); это будет особенно актуально для устройств, которые больше не поддерживаются производителями.
Адаптированный перевод подготвлен техническими специалистами компании DDoS-GUARD
Читальный зал
Макс Новый
14:54 28.07.2015
Очень содержательно, спасибо за хороший перевод!
Петр Паламарчук
11:16 30.07.2015
Жаль, что иллюстрации в статью грузятся со стороннего ресурса и делают статью нечитабельной при проблемах на том стороннем ресурсе :)
Александр Песегов
17:57 30.07.2015
Спасибо, Петр, учтем это при следующих публикациях!
Системный администратор DevOps
Вид:
В офисе
Страна:
Россия
Город:
Ростов-на-Дону
Зарплата *:
по договоренности
Описание *:
Должностные обязанности:
Запуск и мониторинг новых сервисов, масштабирование уже существующих.
Участие в backend-разработке со стороны системного администрирования.
Проектирование высоконагруженных систем.
Работа с сетевой инфраструктурой.
Эффективное взаимодействие с командой разработчиков.
Требования:
Опыт работы с Linux.
Знание систем виртуализаций (VMware или KVM).
Опыт администрирования и автоматизирования Linux сред.
Глубокие технические знания общих принципов работы операционных систем.
Владение скриптовыми языками Bash, Perl.
Знание аппаратных сред, аппаратных вычислительных ресурсов, систем хранения данных.
Понимание взаимодействия между HW, операционной системой и приложениями в Linux.
Понимание работы сетевых протоколов TCP/IP и HTTP/HTTPS.
Опыт администрирования PostgreSQL, MySQL, Apache, Postfix, Dovecot, Proftpd, PHP, Nginx, DNS, Squid/Varnish, MongoDB, Redis.
Большим плюсом будет:
Навыки программирования на Python и LuaОпыт работы с сетями, оборудованием Juniper или других производителей.
Владение навыками настройки JIRA.
Условия работы:
Комфортный офис в центре города.
Оформление по ТК РФ, белая заработная плата со стабильными выплатами и полным социальным пакетом.
Возможность заграничных командировок.
ДМС (оплачиваемая компанией медицинская страховка).
Регулярные чемпионаты в Mortal Kombat, FIFA и т.д., проходящие в нашей оборудованной игровой комнате.
Режим работы с 10:00 до 19:00 в офисе, где на кухне всегда лежит много вкусняшек. Мы работаем много и упорно, но не загоняем себя в рамки традиционного рабочего расписания. Мы позволяем себе отдыхать не только в офисе, но и на выезде всей компанией в красивое место.Вознаграждение в большей степени зависит от Ваших амбиций и трудоспособности.
Запуск и мониторинг новых сервисов, масштабирование уже существующих.
Участие в backend-разработке со стороны системного администрирования.
Проектирование высоконагруженных систем.
Работа с сетевой инфраструктурой.
Эффективное взаимодействие с командой разработчиков.
Требования:
Опыт работы с Linux.
Знание систем виртуализаций (VMware или KVM).
Опыт администрирования и автоматизирования Linux сред.
Глубокие технические знания общих принципов работы операционных систем.
Владение скриптовыми языками Bash, Perl.
Знание аппаратных сред, аппаратных вычислительных ресурсов, систем хранения данных.
Понимание взаимодействия между HW, операционной системой и приложениями в Linux.
Понимание работы сетевых протоколов TCP/IP и HTTP/HTTPS.
Опыт администрирования PostgreSQL, MySQL, Apache, Postfix, Dovecot, Proftpd, PHP, Nginx, DNS, Squid/Varnish, MongoDB, Redis.
Большим плюсом будет:
Навыки программирования на Python и LuaОпыт работы с сетями, оборудованием Juniper или других производителей.
Владение навыками настройки JIRA.
Условия работы:
Комфортный офис в центре города.
Оформление по ТК РФ, белая заработная плата со стабильными выплатами и полным социальным пакетом.
Возможность заграничных командировок.
ДМС (оплачиваемая компанией медицинская страховка).
Регулярные чемпионаты в Mortal Kombat, FIFA и т.д., проходящие в нашей оборудованной игровой комнате.
Режим работы с 10:00 до 19:00 в офисе, где на кухне всегда лежит много вкусняшек. Мы работаем много и упорно, но не загоняем себя в рамки традиционного рабочего расписания. Мы позволяем себе отдыхать не только в офисе, но и на выезде всей компанией в красивое место.Вознаграждение в большей степени зависит от Ваших амбиций и трудоспособности.
Добавить комментарий
Комментарии могут оставлять только авторизованные пользователи.
Авторизоваться Зарегистрироваться