Jump to content
Калькуляторы

Уязвимость BGP

Материал:

Ни один другой протокол не может доставить столько радости и беззаботного веселья, сколько BGP. Это клей, связующий весь Интернет и иногда с его помощью можно уложить добрую часть Глобальной сети одним неловким движением. Давайте вспомним самые яркие и знаковые аварии BGP.

 

Полный текст

Share this post


Link to post
Share on other sites

А как же чехи, микротик и длинный препенд ?

Полностью не читал текст, но вроде не упоминается.

 

Признаться, перелопатив кучу статей на эту тему, так и не столкнулся с упоминанием этой темы.

Share this post


Link to post
Share on other sites

Нормальные магистралы фильтруют по RIPE DB.

Хотя.... show route 10.0.0.0/8, есть и такое.

 

* 10.11.254.1/32 B 170 350 5 178.ХХХ.ХХХ.ХХХ ХХХХХ 39482 ?

Share this post


Link to post
Share on other sites

Материал:

Ни один другой протокол не может доставить столько радости и беззаботного веселья, сколько BGP. Это клей, связующий весь Интернет и иногда с его помощью можно уложить добрую часть Глобальной сети одним неловким движением. Давайте вспомним самые яркие и знаковые аварии BGP.

 

Полный текст

про нелетающих покойников можно было бы и не вспоминать - SO/S-BGP - перед публикацией можно было бы погуглить и подольше

 

легко купиться на схожесть терминологии - текущее предложение - RPKI/SIDR (тоже называемое secure bgp - извините уж такую тематику кое-кто в свое время протолкнул в NSA) тоже имеет букет недостатков

Share this post


Link to post
Share on other sites

Материал:

Ни один другой протокол не может доставить столько радости и беззаботного веселья, сколько BGP. Это клей, связующий весь Интернет и иногда с его помощью можно уложить добрую часть Глобальной сети одним неловким движением. Давайте вспомним самые яркие и знаковые аварии BGP.

 

Полный текст

про нелетающих покойников можно было бы и не вспоминать - SO/S-BGP - перед публикацией можно было бы погуглить и подольше

 

легко купиться на схожесть терминологии - текущее предложение - RPKI/SIDR (тоже называемое secure bgp - извините уж такую тематику кое-кто в свое время протолкнул в NSA) тоже имеет букет недостатков

 

Спасибо за информацию, буду иметь ввиду.

Share this post


Link to post
Share on other sites

Предлагаю запилить статью "уязвимость арп" и т.д. Уязвимости как таковой нет. Отсуствие префикс-листа на стыке с мухосранск-телекомом это банальная халатность. Отсутствие префикс-листов между крупными игроками тоже самое.

 

А баги софта при обработке "кривых" апдейт-сообщений это тоже не уязвимость протокола, а баг конкретного софта, коих тонны по любой сигнализации

Share this post


Link to post
Share on other sites

Предлагаю запилить статью "уязвимость арп" и т.д.

+1

Первая пара ссылок в гугле (1, 2) достаточно популярно все объясняет.

Кому мало - следует за белым кроликом по ссылками дальше :)

Share this post


Link to post
Share on other sites

Уязвимости как таковой нет. Отсуствие префикс-листа на стыке с мухосранск-телекомом это банальная халатность. Отсутствие префикс-листов между крупными игроками тоже самое

Не масштабируется. "Крупным игрокам" в песочнице неуютно, prefix-list размером с ~половину full view - нечто за гранью разумного

 

И ещё чуток дёгтя: каждый ~третий оператор за пределами Европы (в том числе и в "колыбели Интернета") вопрос с просьбой указать свой as-set не понимает. Ни по англицки, ни на суахили

 

С route objects дела обстоят не лучше. В качестве примера: на префикс 202.40.160.0/23 (HKIX, Гонконг) в RADB имеется аж 5 (пять) route objects с совершенно разными origins, но только не с origin AS4635 (Hong Kong Internet Exchange)

Share this post


Link to post
Share on other sites

prefix-list размером с ~половину full view - нечто за гранью разумного

прекрасно суммируется даже по пермитам, иногда и через deny можно оптимизацию сделать, очень сомневаюсь что найдется такой у кого префиксы рандомом выбраны

Share this post


Link to post
Share on other sites

prefix-list размером с ~половину full view - нечто за гранью разумного

прекрасно суммируется даже по пермитам, иногда и через deny можно оптимизацию сделать, очень сомневаюсь что найдется такой у кого префиксы рандомом выбраны

 

Даже если ничего не оптимизировать, то время проверки префикса на принадлежность к префик-листу O©, лишь бы памяти хватило. И делается это всё на RP, а не в линейных картах, мы же не про ip src spoofing говорим, а всего лишь про проверку bgp-апдейтов

 

Да, реальная проблема, это недостоверность/отсутствие данных в БД RIR-ов. Но опять же к "уязвимости" протокола это не имеет никакого отношения

 

Я бы назвал статью "К чему приводит лень, неграмотность и рас***дяйство тех.персонала по всему миру"

Share this post


Link to post
Share on other sites

так называемый "крупный" может позволить себе нормальную железку, а там уже не хилые процы на РП стоят

 

как платят, так и работают, и люди и железо

Share this post


Link to post
Share on other sites

Да, реальная проблема, это недостоверность/отсутствие данных в БД RIR-ов. Но опять же к "уязвимости" протокола это не имеет никакого отношения

То есть, проблема таки не в кривизне софта? ;)

 

так называемый "крупный" может позволить себе нормальную железку, а там уже не хилые процы на РП стоят

Вас не затруднит указать размер (в строках) самого большого из тех префикс-листов, которые приходится/приходилось ежесуточно апдейтить? Ну чтобы оставить в покое непарнокопытное, которое по жизни вовсе не сферическое и дышать вакуумом не умеет

Share this post


Link to post
Share on other sites

Вас не затруднит указать размер (в строках) самого большого из тех префикс-листов, которые приходится/приходилось ежесуточно апдейтить? Ну чтобы оставить в покое непарнокопытное, которое по жизни вовсе не сферическое и дышать вакуумом не умеет

а причем тут ежесуточный апдейт?

но вообще самый большой в оптимизированном виде занимает 659 строк, обновлять его пока не настроил, все руки не доходят

Share this post


Link to post
Share on other sites

а причем тут ежесуточный апдейт?

А как часто по-вашему "крупный" должен апдейтить фильтры на другого "крупного"? Частота изменений списка префиксов для конкретного as-set ~пропорциональна размеру последнего

 

но вообще самый большой в оптимизированном виде занимает 659 строк, обновлять его пока не настроил, все руки не доходят

То есть, не обновляете, хотя там строк меньше 1k. Но зато планируете "оптимизировать". Prefix-list - это, дословно, список префиксов. Как можно "оптимизировать" список? Или речь про агрегирование этого списка с разрешёнными без разбору морспецификами? Верный путь к route leaks. Который списать на баги софта не получится ;)

 

Ну и, в качестве упражнения, сгенерите prefix-list, скажем, на AS-TELIANET. Можете пооптимизировать на досуге. Чтобы "т.н. крупные" имели представление, какие именно железки они обязаны иметь :)

 

PS. Дабы не вопринималось как наезд, мой первоначальный посыл звучал как: "префикс-листы между крупными игроками" - не масштабируемое решение. Будете упорствовать?

Share this post


Link to post
Share on other sites

2 evd у некоторых рткомов в сторону некоторых демосов фильтры не апдейтились по году точно :)

 

По крайней мере почти год я пробивал сквозь вторые руки обратить внимание на то, что действительность давно не соответствует их видению :) Так что некоторые думают альтернативно. И, наверное, думают что они правы..

 

Хотя это, к счастью и не такие большие, да и исключение...

Share this post


Link to post
Share on other sites

 

То есть, не обновляете, хотя там строк меньше 1k. Но зато планируете "оптимизировать". Prefix-list - это, дословно, список префиксов. Как можно "оптимизировать" список? Или речь про агрегирование этого списка с разрешёнными без разбору морспецификами? Верный путь к route leaks. Который списать на баги софта не получится ;)

а вообще без фильтра наверное все будет шоколадно

 

что толку рассуждать, люди, которые там сидят, сами знают что им нужно

Share this post


Link to post
Share on other sites

Сегодня богатый день на роут-лики. С утра 3356 приняли fullview от 8966 (ОАЭ) , а сейчас вот акамай от Атрато:

*> 69.7.192.0/19 195.69.144.168 400 390 0 20940 5580 3356 26895 i

*> 61.4.164.0/22 195.69.144.168 400 390 0 20940 5580 2914 4713 i

*> 27.35.203.0/24 195.69.144.168 400 390 0 20940 5580 3491 9848 23584 23584 i

Edited by DelSt

Share this post


Link to post
Share on other sites

Загнать BGP в IGP - ну классика жанра жеж :) За год до случая с Яндексом у нас тоже были такие грабли :)

Ну и анонс чужих /24 от имени своей AS - тоже проходили, Глобалнет нам так подгадил как-то :)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.