РКН, BGP и все все все...

[Nordicx86]

Я вот так чутка задумался - получить IP адреса "Стыков" и "Внешних" BGP Ростелекома, Транстелекомма да и любого провайдера не сложно - а вот теперь вопрос что будет при попадании данных IP в список блокировок....

Я конечно понимаю что при правильной настройке "зоны" контроля DPI и блокировки с IP маршрутизирующего оборудования пересекатся не должны никак, но гдеж оно настроенно то правильно....

Edited June 13, 2017 by Nordicx86

[Alex/AT]

1. Обычно это малоизвестные /30 (разве что по трассе гадать), поэтому шанс попадания крайне мал

2. Если апстрим вас не фильтрует - ничего не будет, естественно

3. Ну а если да и с резолвом, по IP - само собой разумеется, задница. Но шанс этого - см. п.1

4. Если у вас BGP - скорее всего у вас более 1 стыка, и пропадание одного не фатально

5. Стыки обычно мониторятся, никаких проблем с обнаружением быть не должно

 

Если же вы про сами апстримы и их стыки - то обычно вся фильтрация до стыков. Фильтровать свой стык - это надо совсем с дуба рухнуть.

[alexgreat]

Если же вы про сами апстримы и их стыки - то обычно вся фильтрация до стыков. Фильтровать свой стык - это надо совсем с дуба рухнуть.

Бывают и такие...

[Alex/AT]

Бывают и такие...

Верю :) Но это совсем уж через край. Вообще же в схеме фильтрации предполагается фильтрация трафика только конечных абонентов и, по отдельным соглашениям, субоператоров. А в случае фильтрации самих стыков очень трудно разделить тех, кого надо фильтровать, и кто фильтруется сам.

[sio]

Ну будет дыра в трейсе, и то не всегда. Транзитные роутеры конечному юзеру сервисов не предоставляют.

[st_re]

Я так понимаю, что скорее не фильтруют, а анонсят внутри сети /32 на все что должно пойти через ДПИ.. если эти анонсы вдруг долетают до бордера, то best маршрут на нейбора оказывается не там, где ему должно быть, а на ДПИ.. Единственное врядли такой маршрут дойдет до бордера "наверх", скорее до того, где клиенты терминируются. Иначе на петлю уйдет весь трафик. Но наверное возможны варианты.

 

Аналогично похожие проблемы возникают когда не подумали, и в тот ДПИ завернуло ip своего клиента, трафик начинает ходить кругами. даже если сам ДПИ трафик и пропускает, но он влетает в ДПИ снова. Второе я уже пару раз на своих ресурсах видел. у разных аплинков

 

Ну будет дыра в трейсе, и то не всегда. Транзитные роутеры конечному юзеру сервисов не предоставляют.

зато предоставляют таблицу маршрутизации посредством BGP своему соседу... если у того маршрут на BGP нейбора станет не /30 в линк, а /32 в сторону dpi, то скорее всего будет ой, и bgp сложится.

[vodz]

А можно вопрос из зала без профессиональной зашорености? ;)

А сделать нельзя, чтобы фильтрация была для клиентских IP и адрес, выданный ревизору? Разве это противоречит закону?

[Дятел]

ТТК разослал письмо о прекращении фильтрации магистрального трафика. Может, как раз из-за возможности самоблокировки?

[Butch3r]

ТТК разослал письмо о прекращении фильтрации магистрального трафика. Может, как раз из-за возможности самоблокировки?

просто их трафик с фильтрами лучше вообще отключить, чем пускать в продакшн. Из-за резолва там постоянно что-то не работает.

[Alex/AT]

ТТК разослал письмо о прекращении фильтрации магистрального трафика. Может, как раз из-за возможности самоблокировки?

просто их трафик с фильтрами лучше вообще отключить, чем пускать в продакшн. Из-за резолва там постоянно что-то не работает.

+

Не знаю, как там сейчас дела обстоят, но когда я работал - была просто подмена DNS-ответов + блок по IP из резолва.

[vodz]

Не знаю, как там сейчас дела обстоят, но когда я работал - была просто подмена DNS-ответов + блок по IP из резолва.

Было дело, но уже так блокировки не обходятся, где-то полгода наверное.

[TES2]

просто их трафик с фильтрами лучше вообще отключить, чем пускать в продакшн. Из-за резолва там постоянно что-то не работает.

Да, за такое клиенты спасибо не скажут.

 

C:\>tracert youtube.com

 

Трассировка маршрута к fz139.TTK.ru [188.43.20.67]

с максимальным числом прыжков 30:

 

5 1 ms 1 ms 1 ms omk02.omk22.transtelecom.net [217.150.40.26]

6 30 ms 30 ms 30 ms 10.99.99.125

7 30 ms 30 ms 30 ms dib-filtr-gw.transtelecom.net [188.43.20.67]

 

Трассировка завершена.

[Tosha]

Правильно ли я понимаю что РКН в связи с недавним инцидентом удалил из реестра ряд доменов?

 

А РКН имел право это делать? Ведь наверняка что-то вносилось по решениям судов вступивших в силу и просто так удалять из реестра - это правонарушение?

[st_re]

Это, кстати, вообще вопрос... вот домен, скажем

romashka.com

и начали с него торговать травой, распространять алахакбарки, играть в казиношки или ее что. принял суд решение. в решении же нет ничего кроме имени сайта.

 

Ну те домен бросили, и некий Роман года через 3 решил что ему хочется такое имя домена. Он попал?

 

не, давайте еще выносить ршения что 3-я ул Стролителей дом-квартира является притоном и запрещена к посещению итд.. все ? даже если дом снесли и построили новый, то квартиру посещать нельзя ? Кажется тут чтото не так...

[SergoINFOLAN]

такой закон!

[YuryD]

Правильно ли я понимаю что РКН в связи с недавним инцидентом удалил из реестра ряд доменов?

 

А РКН имел право это делать? Ведь наверняка что-то вносилось по решениям судов вступивших в силу и просто так удалять из реестра - это правонарушение?

Не мог, решение о разделегировании только через суд, и самим регистратором. Никру жмется о юристике, внешним прогибам не подчиняется, но внутренние правила для разделегации есть. Остальным регистраторам - бояться надо только интерпола.