neiromancer Опубликовано 28 августа, 2008 · Жалоба Все сетевые СМИ, обосравшись, бегают с новостью http://www.securitylab.ru/news/358464.php, что де конец света инета уже наступил, и все мы умрём завтра... А что думают уважаемые? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 28 августа, 2008 · Жалоба Давно пора свернуть нынешний интернет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Z1oy Опубликовано 28 августа, 2008 · Жалоба Все сетевые СМИ, обосравшись, бегают с новостью http://www.securitylab.ru/news/358464.php, что де конец света инета уже наступил, и все мы умрём завтра...А что думают уважаемые? баян какой-то, как будто раньше никто не знал про забаву проанонсить не совсем смышленому пиру 0.0.0.0, при этом сам трафег не транзитить :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 28 августа, 2008 · Жалоба вот например MSK-IX фильтруют входящие анонсы в соответствии с БД Райпа. и прально. так и надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Beginner Опубликовано 28 августа, 2008 · Жалоба Наверное кто-то пиарится, выбивает бабло на дальнейшие "исследования". Глядишь, скоро обнаружат что в Интернете есть порнография. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
belovictor Опубликовано 28 августа, 2008 · Жалоба Фильтры по префиксам на клиента и мониторинг через renesys.com. Всего делов. А YouTube замочалили, потому что PCCW не ставил на своего клиента фильтров на приеме анонсов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 29 августа, 2008 · Жалоба IRR filters helps prevent *accidental* hijacking and *accidental* route spillage. In that, they seem to do their job. I don't know why people think that would help prevent a deliberate hijacking job. © Deepak Jain Те, кто не видят реальной проблемы должны бросить IT и идти копать канавы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 29 августа, 2008 · Жалоба IRR filters helps prevent *accidental* hijacking and *accidental* route spillage. In that, they seem to do their job. I don't know why people think that would help prevent a deliberate hijacking job.© Deepak Jain Те, кто не видят реальной проблемы должны бросить IT и идти копать канавы. А теперь подробно и по русски. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ram_scan Опубликовано 29 августа, 2008 · Жалоба Гонево полное (в смысле нагнетание обстановки). Шляпа вся насколько я понимаю как раз в том что можно мимо всех фильтров маршрут нужный просунуть. А для того чтобы связность покрошить достаточно штатных средств (покажите мне пальцем кто параноидально предохраняется). Достаточно вспомнить как на ближнем востоке давеча "элитные специалисты" гугль кривым анонсом побанили. Было бы желание - давно бы шухер устроили. dns cache poisoning в смысле устроения катастрофы намного опаснее. Его вообще каждый дурак сделать может. Давеча вон ефнет скрипткидди епонские хорошо заколбасили. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 августа, 2008 · Жалоба dns cache poisoning в смысле устроения катастрофы намного опаснее. Фича с arp работает практически в каждом штатовском ДЦ... в некоторых ДЦ можно поднять у себя dhcp и всю хрень для remote boot и тупо получать рутов на чужих серверах после их ребута, чем там львиная доля рашин пионеров и занимается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 29 августа, 2008 · Жалоба А теперь подробно и по русски. Вам доклада на DefCon не хватило? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 29 августа, 2008 · Жалоба Гонево полное (в смысле нагнетание обстановки). Шляпа вся насколько я понимаю как раз в том что можно мимо всех фильтров маршрут нужный просунуть. А для того чтобы связность покрошить достаточно штатных средств (покажите мне пальцем кто параноидально предохраняется). Достаточно вспомнить как на ближнем востоке давеча "элитные специалисты" гугль кривым анонсом побанили. Было бы желание - давно бы шухер устроили. dns cache poisoning в смысле устроения катастрофы намного опаснее. Его вообще каждый дурак сделать может. Давеча вон ефнет скрипткидди епонские хорошо заколбасили. После нарушения связности тебя найдут через 15 минут. Тут все хитрее, можно пропустить через себя трафик чужой AS не нарушая никакой связности. Проблема нелегитимных анонсов. А все потому что предохраняться от этого нам предписали исключительно административными мерами. И естественно что находится вагон уродов, кладущих на это болт. А в итоге пострадать может _любой_ участник сети. Вам этого мало? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 29 августа, 2008 (изменено) · Жалоба После нарушения связности тебя найдут через 15 минут. Тут все хитрее, можно пропустить через себя трафик чужой AS не нарушая никакой связности. Проблема нелегитимных анонсов. А все потому что предохраняться от этого нам предписали исключительно административными мерами. И естественно что находится вагон уродов, кладущих на это болт. А в итоге пострадать может _любой_ участник сети. Вам этого мало? надо читать лекцию про сие трабл андерстендинг... короче фигня это всё, документированная. ps. даже без этой фичи участников сети страдает вагон и телега. Изменено 29 августа, 2008 пользователем kostich Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 29 августа, 2008 (изменено) · Жалоба Вам доклада на DefCon не хватило? Пруфлинк в студию. Изменено 29 августа, 2008 пользователем bitbucket Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 29 августа, 2008 · Жалоба Могли бы и сами найти https://www.defcon.org/images/defcon-16/dc1...osov-kapela.pdf надо читать лекцию про сие трабл андерстендинг... короче фигня это всё, документированная. Где документированно? ps. даже без этой фичи участников сети страдает вагон и телега. Хорошая у вас логика. Примерно как если от меня жена ушла, то и в попу давать не грех. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ram_scan Опубликовано 30 августа, 2008 · Жалоба После нарушения связности тебя найдут через 15 минут. Тут все хитрее, можно пропустить через себя трафик чужой AS не нарушая никакой связности. Проблема нелегитимных анонсов. А все потому что предохраняться от этого нам предписали исключительно административными мерами. И естественно что находится вагон уродов, кладущих на это болт. А в итоге пострадать может _любой_ участник сети. Вам этого мало? Пострадать и сейчас может любой участник сети, достаточно криворукого спеца за рутер пустить. Прочел я отчетец. Не осилил пактического применения "уязвимости" (фактически это фича которая накер никому нужна не была). Плейн пароли у быдлоюзеров коммуниздить ? Если поспуфать или потравить днс кэш может вообще практически любой человек с улицы, то пошаманить с BGP может только человек который имеет на это административные привелегии. Легально. Даже если каждого спеца который рулит AS априори считать подонком, то сравните количество этих спецов и количество хотя-бы протрояненых тачек с виндой. Механизм такого шаманства документирован черти когда, а скрытие хижакера с помощью правки TTL многажды пройдено (это еще пионеры в локалках наты от оператора так прятали). Паника на ровном месте, на дефконе просто показали "а смотрите как мы прикольно BGP настроить умеем". Ну умеют - молодцы. Также было показано что большинство народу рутер настроить не умеют, а если умеют то настраивают через copy-paste из книжки издательства cisco-press, и что надо решать этот вопрос административно. В том-же STP подобная херь реализуется вообще одной строкой в конфиге (достаточно себя как конревой бридж проанонсировать), и никто из операторов отчего-то не вопит что "мне клиент отсылкой кривого bpdu сеть положил" и что надвигается информационная катастрофа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 30 августа, 2008 · Жалоба и никто из операторов отчего-то не вопит что "мне клиент отсылкой кривого bpdu сеть положил" и что надвигается информационная катастрофа. еще как орут... когда это bpdu на клиенском порту фильтрануть забывают :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 30 августа, 2008 (изменено) · Жалоба Где документированно? в доке по BGP? ps. даже без этой фичи участников сети страдает вагон и телега.Хорошая у вас логика. Примерно как если от меня жена ушла, то и в попу даватьне грех. логика до дури простая - если есть угроза снифинга (а она всегда есть), то пользуйтесь криптосредствами. ps. а в бизнесе по продаже транзита и так у кого as-path короче того и бабки... часть трафика и без таких брутальных ***ств с более короткими раутами можно через себя завернуть и хер предъявишь потом... Изменено 30 августа, 2008 пользователем kostich Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 30 августа, 2008 · Жалоба Пострадать и сейчас может любой участник сети, достаточно криворукого спеца зарутер пустить. Прочел я отчетец. Не осилил пактического применения "уязвимости" (фактически это фича которая накер никому нужна не была). Плейн пароли у быдлоюзеров коммуниздить ? Если поспуфать или потравить днс кэш может вообще практически любой человек с улицы, то пошаманить с BGP может только человек который имеет на это административные привелегии. Легально. Даже если каждого спеца который рулит AS априори считать подонком, то сравните количество этих спецов и количество хотя-бы протрояненых тачек с виндой. Механизм такого шаманства документирован черти когда, а скрытие хижакера с помощью правки TTL многажды пройдено (это еще пионеры в локалках наты от оператора так прятали). Паника на ровном месте, на дефконе просто показали "а смотрите как мы прикольно BGP настроить умеем". Ну умеют - молодцы. Также было показано что большинство народу рутер настроить не умеют, а если умеют то настраивают через copy-paste из книжки издательства cisco-press, и что надо решать этот вопрос административно. В том-же STP подобная херь реализуется вообще одной строкой в конфиге (достаточно себя как конревой бридж проанонсировать), и никто из операторов отчего-то не вопит что "мне клиент отсылкой кривого bpdu сеть положил" и что надвигается информационная катастрофа. 1. От любителей насрать в DNS cache можно защищаться. Пропатчил софтинку и забыл. 2. Пример с stp неудачный. Надо разделять где у нас inter-as, а где intra-as. Две большие разницы. 3. Наивно полагать что так можно украсть только plain passwords. Любой сервис на ssl, куда пользователи ходят без установленного сертификата (переданного или подписанного альтернативными защищенными путями) находится под угрозой. Спуфаю я префикс, где живет какой-нибудь rzd.ru (анальные интервенты, но это к слову). И через сутки у меня список кредитных карт с кодами длинною в километр. Да, это и сейчас могут сделать те же инженеры любого магистрала. Но это не дает повод утверждать что проблемы, описанной на defcon не существует и на нее можно забить болт. Нет, я понимаю, что большинству тут присутствующих насрать. Неуловимый Джо никому нахер не сдался. Но это уже смахивает на какую-то пассивную проституцию... в доке по BGP? Там так прямо и пишут как угнать чужой префикс? логика до дури простая - если есть угроза снифинга (а она всегда есть), то пользуйтесь криптосредствами. ps. а в бизнесе по продаже транзита и так у кого as-path короче того и бабки... часть трафика и без таких брутальных ***ств с более короткими раутами можно через себя завернуть и хер предъявишь потом... Про криптосредства я выше написал уже. Описание метода "завернуть через себя" в студию! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 30 августа, 2008 · Жалоба Ну и для общего развития: http://www.informit.com/articles/article.aspx?p=1237179 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Z1oy Опубликовано 30 августа, 2008 · Жалоба эк вас забрало то не читайте советских газет по утрам (с) а то так и руки на себя наложите :-) что мешает по вашей логике и без шаманств с бгп снифать трафег инженерам транзитных операторов ?) открою вам великую тайну: нормальные операторы фильтруют входящие анонсы ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 30 августа, 2008 (изменено) · Жалоба вот например MSK-IX фильтруют входящие анонсы в соответствии с БД Райпа. и прально. так и надо.Совершенно очевидно, что это не поможет. Дело тут вот в чем: фильтры строятся скриптами на основе информации, которую может модифицировать злоумышленник.Например: для AS12345 скрипт строит фильтр для приемки от него as-set AS-XXX -- это задается фильтрующим (IX в данном случае). Но информацию в AS-XXX вносит владелец AS12345, а не IX. И ничто не помешает ему внести в этот as-set что угодно, а IX построит фильтр, принимающий это. Даже если фильтр строит не скрипт, а человек... или если as-set будет вести фильтрующий, а не фильтруемый... Спасти сможет только то, что этот человек имеет высокую квалификацию, причем не только техническую, но и знает рынок -- например знает, что AS-DOMONET1 с AS-DOMONET2 заклятые враги и никогда не будут ходить в инет друг через друга, зато постоянно гадят друг другу. Анализ import/export в длинных цепочках AS-ок может оказаться не таким простым, как кажется на первый взгляд. Скрипты такого анализа не делают, по крайне мере те, что я видел. ИМХО для того, чтобы этот механизм помог, нужно ввести механизм разрешения добавления а as-set. На подобие того, который уже используется для создания объектов route (mnt-routes). Изменено 30 августа, 2008 пользователем visir Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 30 августа, 2008 · Жалоба в доке по BGP? Там так прямо и пишут как угнать чужой префикс? там как бы пишут, а как это уже будут использовать их не волнует :) логика до дури простая - если есть угроза снифинга (а она всегда есть), то пользуйтесь криптосредствами. ps. а в бизнесе по продаже транзита и так у кого as-path короче того и бабки... часть трафика и без таких брутальных ***ств с более короткими раутами можно через себя завернуть и хер предъявишь потом... Описание метода "завернуть через себя" в студию! нужно выложить в инет пошаговое руководство для получения возможности анонсов с выставленными/перевыставленным руками as-path? открою вам великую тайну: нормальные операторы фильтруют входящие анонсы ;-) а мужики то не знают :) ps. среди пиров есть 2 или 3 tier1... чо там фильтровать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 30 августа, 2008 (изменено) · Жалоба Еще вдогонку. Многие используют whois.radb.net для составления фильтров, не указывая ему конкретные базы данных для поиска -- а по умолчанию он ищет еще и, скажем, в бд LEVEL3. Результат поражает воображение: пропускаем в инет маршрут, для которого в RIPE не создан объект route... через неделю такой объект появляется в бд LEVEL3 с комментарием в духе "ну такой же префикс гуляет по инету, поэтому, на всякий случай, создали для него объект route". И теперь скрипт генерации фильтров... ну вы поняли :) Вот вам и tier1. Изменено 30 августа, 2008 пользователем visir Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Клава Маус Опубликовано 30 августа, 2008 · Жалоба В интернете есть инструкции, как бороться с злономеренным корыстным использованием ВGP. Из них можно вычитать многое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...