Jump to content
Калькуляторы

РКН, BGP и все все все... мысли о том, о чем страшно подумать...

Я вот так чутка задумался - получить IP адреса "Стыков" и "Внешних" BGP Ростелекома, Транстелекомма да и любого провайдера не сложно - а вот теперь вопрос что будет при попадании данных IP в список блокировок....

Я конечно понимаю что при правильной настройке "зоны" контроля DPI и блокировки с IP маршрутизирующего оборудования пересекатся не должны никак, но гдеж оно настроенно то правильно....

Edited by Nordicx86

Share this post


Link to post
Share on other sites

1. Обычно это малоизвестные /30 (разве что по трассе гадать), поэтому шанс попадания крайне мал

2. Если апстрим вас не фильтрует - ничего не будет, естественно

3. Ну а если да и с резолвом, по IP - само собой разумеется, задница. Но шанс этого - см. п.1

4. Если у вас BGP - скорее всего у вас более 1 стыка, и пропадание одного не фатально

5. Стыки обычно мониторятся, никаких проблем с обнаружением быть не должно

 

Если же вы про сами апстримы и их стыки - то обычно вся фильтрация до стыков. Фильтровать свой стык - это надо совсем с дуба рухнуть.

Share this post


Link to post
Share on other sites

Если же вы про сами апстримы и их стыки - то обычно вся фильтрация до стыков. Фильтровать свой стык - это надо совсем с дуба рухнуть.

Бывают и такие...

Share this post


Link to post
Share on other sites

Бывают и такие...

Верю :) Но это совсем уж через край. Вообще же в схеме фильтрации предполагается фильтрация трафика только конечных абонентов и, по отдельным соглашениям, субоператоров. А в случае фильтрации самих стыков очень трудно разделить тех, кого надо фильтровать, и кто фильтруется сам.

Share this post


Link to post
Share on other sites

Я так понимаю, что скорее не фильтруют, а анонсят внутри сети /32 на все что должно пойти через ДПИ.. если эти анонсы вдруг долетают до бордера, то best маршрут на нейбора оказывается не там, где ему должно быть, а на ДПИ.. Единственное врядли такой маршрут дойдет до бордера "наверх", скорее до того, где клиенты терминируются. Иначе на петлю уйдет весь трафик. Но наверное возможны варианты.

 

Аналогично похожие проблемы возникают когда не подумали, и в тот ДПИ завернуло ip своего клиента, трафик начинает ходить кругами. даже если сам ДПИ трафик и пропускает, но он влетает в ДПИ снова. Второе я уже пару раз на своих ресурсах видел. у разных аплинков

 

Ну будет дыра в трейсе, и то не всегда. Транзитные роутеры конечному юзеру сервисов не предоставляют.

зато предоставляют таблицу маршрутизации посредством BGP своему соседу... если у того маршрут на BGP нейбора станет не /30 в линк, а /32 в сторону dpi, то скорее всего будет ой, и bgp сложится.

Share this post


Link to post
Share on other sites

А можно вопрос из зала без профессиональной зашорености? ;)

А сделать нельзя, чтобы фильтрация была для клиентских IP и адрес, выданный ревизору? Разве это противоречит закону?

Share this post


Link to post
Share on other sites

ТТК разослал письмо о прекращении фильтрации магистрального трафика. Может, как раз из-за возможности самоблокировки?

Share this post


Link to post
Share on other sites

ТТК разослал письмо о прекращении фильтрации магистрального трафика. Может, как раз из-за возможности самоблокировки?

просто их трафик с фильтрами лучше вообще отключить, чем пускать в продакшн. Из-за резолва там постоянно что-то не работает.

Share this post


Link to post
Share on other sites

ТТК разослал письмо о прекращении фильтрации магистрального трафика. Может, как раз из-за возможности самоблокировки?

просто их трафик с фильтрами лучше вообще отключить, чем пускать в продакшн. Из-за резолва там постоянно что-то не работает.

+

Не знаю, как там сейчас дела обстоят, но когда я работал - была просто подмена DNS-ответов + блок по IP из резолва.

Share this post


Link to post
Share on other sites

Не знаю, как там сейчас дела обстоят, но когда я работал - была просто подмена DNS-ответов + блок по IP из резолва.

Было дело, но уже так блокировки не обходятся, где-то полгода наверное.

Share this post


Link to post
Share on other sites

просто их трафик с фильтрами лучше вообще отключить, чем пускать в продакшн. Из-за резолва там постоянно что-то не работает.

Да, за такое клиенты спасибо не скажут.

 

C:\>tracert youtube.com

 

Трассировка маршрута к fz139.TTK.ru [188.43.20.67]

с максимальным числом прыжков 30:

 

5 1 ms 1 ms 1 ms omk02.omk22.transtelecom.net [217.150.40.26]

6 30 ms 30 ms 30 ms 10.99.99.125

7 30 ms 30 ms 30 ms dib-filtr-gw.transtelecom.net [188.43.20.67]

 

Трассировка завершена.

Share this post


Link to post
Share on other sites

Правильно ли я понимаю что РКН в связи с недавним инцидентом удалил из реестра ряд доменов?

 

А РКН имел право это делать? Ведь наверняка что-то вносилось по решениям судов вступивших в силу и просто так удалять из реестра - это правонарушение?

Share this post


Link to post
Share on other sites

Это, кстати, вообще вопрос... вот домен, скажем

romashka.com

и начали с него торговать травой, распространять алахакбарки, играть в казиношки или ее что. принял суд решение. в решении же нет ничего кроме имени сайта.

 

Ну те домен бросили, и некий Роман года через 3 решил что ему хочется такое имя домена. Он попал?

 

не, давайте еще выносить ршения что 3-я ул Стролителей дом-квартира является притоном и запрещена к посещению итд.. все ? даже если дом снесли и построили новый, то квартиру посещать нельзя ? Кажется тут чтото не так...

Share this post


Link to post
Share on other sites

Правильно ли я понимаю что РКН в связи с недавним инцидентом удалил из реестра ряд доменов?

 

А РКН имел право это делать? Ведь наверняка что-то вносилось по решениям судов вступивших в силу и просто так удалять из реестра - это правонарушение?

Не мог, решение о разделегировании только через суд, и самим регистратором. Никру жмется о юристике, внешним прогибам не подчиняется, но внутренние правила для разделегации есть. Остальным регистраторам - бояться надо только интерпола.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.