Jump to content
Калькуляторы

Учения BGP Hijacking

В 11.08.2022 в 18:57, Стич сказал:

К сожалению РАНР это пародия.

 Предлагаете создать пародию на ripe, пытались в днс, криво вышло, сайты в рф есть, почта на них неособо ходит....

Share this post


Link to post
Share on other sites

В 09.08.2022 в 23:29, Ivan_83 сказал:

Провайдер - в смысле с инженерами умеющими готовить бгп (то немногое что пока дома и малом/среднем буизнесе почти не нужно), а не очередной пионер с траффик инспектором поверх виндовз ХР или вот теперь такой же оператор мышки только с микротиком.

Хотя если оператор микротика таки осилит бгп а кошкоюзеры нет будет вдвойне смешно.

 

Это прежде всего камень в огород недопровайдеров которые ебанентам выдают гугловые и прочие чужие днс рекурсоры и прочим неосиляторам того что нынче даже в обычный тплинк ставится и настраивается в пару кликов сразу после заливки туда OpenWRT.

А мы абонентам вадаем НСДИ. Мы тоже недопровайдеры?:)

Share this post


Link to post
Share on other sites

1 minute ago, ayf said:

А мы абонентам вадаем НСДИ. Мы тоже недопровайдеры?:)

Вы явно бежите впереди паровоза. С другой стороны, если б вы ещё DNS-трафик/udp переадресовали себе куда... :)

Share this post


Link to post
Share on other sites

В 11.08.2022 в 14:49, Andrei сказал:

Ты знал! :)
ЗЫ. Пришло 131. И долго они так играться собираются?

Пока операторы их письма в спам не начнут отправлять.

Share this post


Link to post
Share on other sites

В 11.08.2022 в 19:39, ipaddr.ru сказал:

Хорошая идея, кстати. Ещё и отлуп слать.

Отчего-же, они и так в мусор могут упасть. Одна известная контора отправляет тикеты, но вот блин от криворукости ее одминов - шлют на несуществующий домен в списке. Результат = 0. Я им раз 10 просил емайлы поправить, там все просто, валидный емайл+левый. Мой сендмыл отправит это в мусор... И им не помочь....

 

В 11.08.2022 в 19:37, alibek сказал:

Это да 

Локальная база ресурсов - это правильно. Но реализация ужасна.

 Хотите к шадутову на работу ? Реализацию поправить ? Это конечно мой бред, но министреры занимаются иной работой, типа сохранения кресла....

Share this post


Link to post
Share on other sites

В 11.08.2022 в 14:34, ayf сказал:

А мы абонентам вадаем НСДИ. Мы тоже недопровайдеры?:)

Да.

Потому что свалили часть своей работы на контору которая вам ничего не должна, и когда там накриворучат пострадают те кто вам заплатил.

Это не считая того что вы практически сливаете метаданные сёрфинга абонентов опять же третьим лицам без согласия абонентов.

Share this post


Link to post
Share on other sites

В 11.08.2022 в 23:50, Ivan_83 сказал:

Да.

Потому что свалили часть своей работы на контору которая вам ничего не должна, и когда там накриворучат пострадают те кто вам заплатил.

Это не считая того что вы практически сливаете метаданные сёрфинга абонентов опять же третьим лицам без согласия абонентов.

да ладно вам всё равно весь трафик через тспу пойдёт а там весь набор плюшек.

Edited by Стич

Share this post


Link to post
Share on other sites

В 11.08.2022 в 23:50, Ivan_83 сказал:

Да.

Потому что свалили часть своей работы на контору которая вам ничего не должна, и когда там накриворучат пострадают те кто вам заплатил.

Это не считая того что вы практически сливаете метаданные сёрфинга абонентов опять же третьим лицам без согласия абонентов.

Так мы обязаны это делать. Еще мы сливаем данные в ФСБ без согласия аьонентов.

Share this post


Link to post
Share on other sites

В 12.08.2022 в 09:16, ayf сказал:

Так мы обязаны это делать.

Выдавать абонентам государственные рекурсоры вместо своих вы не обязаны. Достаточно забирать корневую зону от НСДИ на свои сервера. Сейчас она идентична глобальной.

Share this post


Link to post
Share on other sites

В 12.08.2022 в 09:16, ayf сказал:

Еще мы сливаем данные в ФСБ без согласия аьонентов.

Без согласия - то хрен с ним. А вот без решения суда...

Share this post


Link to post
Share on other sites

В 09.08.2022 в 13:10, Andrei сказал:
В 09.08.2022 в 09:27, stalker86 сказал:

Не всё поправили.
TT-in  у Вас нигде не навешан. Фильтруете Вы только DENY-Hijacking-PREFIXES

А как правильно? У меня все роут-мапы так навешаны:


Сам роутмап ещё к кому-то цепляться должен.. его не достаточно просто создать.
neighbor xx.zz.yy.50 route-map UPLINK_5 out

и вот тут я повис как корректно отфильтровать и по префиксу и по номеру ас..в моём случае FRR

Share this post


Link to post
Share on other sites

В 12.08.2022 в 04:46, Стич сказал:

да ладно вам всё равно весь трафик через тспу пойдёт а там весь набор плюшек.

 

В 12.08.2022 в 06:16, ayf сказал:

Так мы обязаны это делать. Еще мы сливаем данные в ФСБ без согласия аьонентов.

Есть разница между тем чтобы выполнять законы хоть и кривые и тем что делаете вы.

Вас никто не обязывал лить весь днс траф абонента на какой то левый днс рекурсер.

Share this post


Link to post
Share on other sites

Я наверно совсем дурак но не понимаю сложности

 

 

на каждый стык с клиентом вешать фильтр, который звучи так «если эта сетка в райпе прописана за твоей ас то принимать иначе дропать» в конфиги оборудования может быть по разному но скриптом раз в сутки обновить сложно ли? Это и 10 и 15 лет назад крупняк делал тот же коджент мать его 

 

 

вопрос только в том откуда бать «правду» о том кому что можно анонсить

 

 

 

Share this post


Link to post
Share on other sites

On 8/13/2022 at 2:17 AM, sirmax said:

Я наверно совсем дурак но не понимаю сложности

Не все отношения между сетями уровня «даунлинк с одной AS — аплинк». Да и никто не запрещает добавить в RIPE DB «принимаю анонсы от условной AS65500», чтобы обойти такого аплинка. А главное, никто не мешает проанонсировать какой-нибудь воображаемый префикс 203.0.113.0/24 якобы уже полученным от его родной AS65500.

 

И получишь ты реальный as path AS64512 AS65032 AS65064 AS65128 AS65500,

а также более выигрышный AS64512 AS_hijacker AS65500, прошедший все проверки.

 

И уйдёт трафик куда (не) нужно.

Share this post


Link to post
Share on other sites

В 12.08.2022 в 14:40, Ivan_83 сказал:

 

Есть разница между тем чтобы выполнять законы хоть и кривые и тем что делаете вы.

Вас никто не обязывал лить весь днс траф абонента на какой то левый днс рекурсер.

Есть два вида клиентов.
Одни нормальные - у них есть грамотные сисадмины, которые знают про ДНС. Там все просто. Они, зачастую, вместо наших берут либо восьмерки, либо яндекс, либо скайднс.
И есть прочие - которые знают только то, что купили роутер  в магазине, который получает настройки по dhcp. Хорошо, если сменят пароль заводской. Не вижу разницы для таких клиентов, пойдут ли они через мой ДНС или через НСДИ.

Share this post


Link to post
Share on other sites

В 13.08.2022 в 15:58, ayf сказал:

пойдут ли они через мой ДНС или через НСДИ.

Услугу за деньги оказываете ВЫ а не гугл или нсди, вот вы и обязаны предоставлять такой сервис.

Ваши действия приводят у течке метаинфы клиентов о сёрфинге в реальном времени, вы нагружаете ЧУЖОЙ сервис, ВЫ ставите свои услуги в зависимость от третьего лица с кем у вас нет договорённости.

 

Весь этот бред про клиентов выкиньте из головы, это бесполезный шум не имеющий отношения к делу.

И да, грамотных админов ставящих чужие днс на постоянку - надо гнать, они никакие не грамотные.

Ваша грамотность тоже сомнительна раз вы таких людей считаете грамотными.

 

Свой резолвер на анбоунде - это один раз в жизни нарисовать конфиг строчек на 100, для распездяев сойдёт поредактировать 0-5 строчек в том примере что идёт в любом дистре или как я говорил выше поставить пару галок в OpenWRT.

Если "сисадмин" не может осилить даже это - он не админ а эникей.

 

Вот все сложности которые есть при настройке в опенврт: http://netlab.dhis.org/wiki/software:openwrt:software:openwrt:unbound

Share this post


Link to post
Share on other sites

В 14.08.2022 в 01:20, Ivan_83 сказал:

Услугу за деньги оказываете ВЫ а не гугл или нсди, вот вы и обязаны предоставлять такой сервис.

Ваши действия приводят у течке метаинфы клиентов о сёрфинге в реальном времени, вы нагружаете ЧУЖОЙ сервис, ВЫ ставите свои услуги в зависимость от третьего лица с кем у вас нет договорённости.

 

Весь этот бред про клиентов выкиньте из головы, это бесполезный шум не имеющий отношения к делу.

И да, грамотных админов ставящих чужие днс на постоянку - надо гнать, они никакие не грамотные.

Ваша грамотность тоже сомнительна раз вы таких людей считаете грамотными.

 

Свой резолвер на анбоунде - это один раз в жизни нарисовать конфиг строчек на 100, для распездяев сойдёт поредактировать 0-5 строчек в том примере что идёт в любом дистре или как я говорил выше поставить пару галок в OpenWRT.

Если "сисадмин" не может осилить даже это - он не админ а эникей.

 

Вот все сложности которые есть при настройке в опенврт: http://netlab.dhis.org/wiki/software:openwrt:software:openwrt:unbound

Я оказываю услугу "доступ к сети интернет". Интернет работает? Да. Услуга оказана.
Насчет ставящих  чужие днс: Может вы работаете только с физиками... У нас клиенты разные. Есть такие, которым необходимы строго определенные ДНС. Например от головной организации. Поэтому я даже не пробую вводить перехват 53 порта, как многие советовали. Ибо у людей отвалятся сервисы.
Если клиент хочет фильтровать доступ в интернет и ему удобен скайднс - почему я должен ему мешать? Или за его абонентскую плату я должен создать такой же сервис для него одного?

Так что не рубите с плеча. Операторы разные бывают по области работы. И клиенты разные бывают.
Кстати, вы нетфлоу откажетесть предоставлять в РКН?

Share this post


Link to post
Share on other sites

В 14.08.2022 в 10:52, ayf сказал:

Я оказываю услугу "доступ к сети интернет". Интернет работает? Да. Услуга оказана.

С помощью третьих лиц с которыми у вас нет договорённостей.

 

Шум про физ/юр и прочее выбросьте.

ВЫ выдаёте клиентам чужие днс сервера, они не принадлежат вам, не управляются вами, вы не платите за их содержание.

 

В 14.08.2022 в 10:52, ayf сказал:

Кстати, вы нетфлоу откажетесть предоставлять в РКН?

Я не провайдер и не в провайдере. Так что я РКН просто пошлю посмотреть как там корабль :)

Share this post


Link to post
Share on other sites

В 14.08.2022 в 15:17, Ivan_83 сказал:

С помощью третьих лиц с которыми у вас нет договорённостей.

 

Шум про физ/юр и прочее выбросьте.

ВЫ выдаёте клиентам чужие днс сервера, они не принадлежат вам, не управляются вами, вы не платите за их содержание.

 

Я не провайдер и не в провайдере. Так что я РКН просто пошлю посмотреть как там корабль :)

А! ну тогда вы можете из посылать... У вас лицензию не отнимут.

Share this post


Link to post
Share on other sites

В 14.08.2022 в 15:17, Ivan_83 сказал:

Я не провайдер и не в провайдере. Так что я РКН просто пошлю посмотреть как там корабль

:)

Edited by Стич

Share this post


Link to post
Share on other sites

В 14.08.2022 в 20:50, ayf сказал:

У вас лицензию не отнимут.

 

В 14.08.2022 в 15:17, Ivan_83 сказал:

Так что я РКН просто пошлю посмотреть как там корабль :)

Я думаю, что если будет вслух упомянут затопленный вооружёнными силами Украины корабль, да ещё в этом контексте - лицензию безусловно не отнимут, а вот свободу вполне могут. А если будет сильно возбухать - то и здоровье.

И больше никто тут не будет рассказывать про хорошую и сильную Америку.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.