Robot_NagNews Posted June 19, 2013 Posted June 19, 2013 Материал: Ни один другой протокол не может доставить столько радости и беззаботного веселья, сколько BGP. Это клей, связующий весь Интернет и иногда с его помощью можно уложить добрую часть Глобальной сети одним неловким движением. Давайте вспомним самые яркие и знаковые аварии BGP. Полный текст Вставить ник Quote
Картуччо Posted June 19, 2013 Posted June 19, 2013 А как же чехи, микротик и длинный препенд ? Полностью не читал текст, но вроде не упоминается. Вставить ник Quote
eucariot Posted June 19, 2013 Posted June 19, 2013 А как же чехи, микротик и длинный препенд ? Полностью не читал текст, но вроде не упоминается. Признаться, перелопатив кучу статей на эту тему, так и не столкнулся с упоминанием этой темы. Вставить ник Quote
Картуччо Posted June 19, 2013 Posted June 19, 2013 http://tools.cisco.com/security/center/viewAlert.x?alertId=17657 http://www.renesys.com/2009/02/longer-is-not-better/ Вставить ник Quote
ivb1232 Posted June 20, 2013 Posted June 20, 2013 Нормальные магистралы фильтруют по RIPE DB. Хотя.... show route 10.0.0.0/8, есть и такое. * 10.11.254.1/32 B 170 350 5 178.ХХХ.ХХХ.ХХХ ХХХХХ 39482 ? Вставить ник Quote
mcdemon Posted June 20, 2013 Posted June 20, 2013 отличная статья! хочу продолжения :) Вставить ник Quote
bitbucket Posted June 20, 2013 Posted June 20, 2013 А что забыли про локальные завалы msk-ix, когда кто-то проанонсировал ua-ix на msk-ix router server ? Вставить ник Quote
dburk Posted June 21, 2013 Posted June 21, 2013 Материал: Ни один другой протокол не может доставить столько радости и беззаботного веселья, сколько BGP. Это клей, связующий весь Интернет и иногда с его помощью можно уложить добрую часть Глобальной сети одним неловким движением. Давайте вспомним самые яркие и знаковые аварии BGP. Полный текст про нелетающих покойников можно было бы и не вспоминать - SO/S-BGP - перед публикацией можно было бы погуглить и подольше легко купиться на схожесть терминологии - текущее предложение - RPKI/SIDR (тоже называемое secure bgp - извините уж такую тематику кое-кто в свое время протолкнул в NSA) тоже имеет букет недостатков Вставить ник Quote
eucariot Posted June 22, 2013 Posted June 22, 2013 Материал: Ни один другой протокол не может доставить столько радости и беззаботного веселья, сколько BGP. Это клей, связующий весь Интернет и иногда с его помощью можно уложить добрую часть Глобальной сети одним неловким движением. Давайте вспомним самые яркие и знаковые аварии BGP. Полный текст про нелетающих покойников можно было бы и не вспоминать - SO/S-BGP - перед публикацией можно было бы погуглить и подольше легко купиться на схожесть терминологии - текущее предложение - RPKI/SIDR (тоже называемое secure bgp - извините уж такую тематику кое-кто в свое время протолкнул в NSA) тоже имеет букет недостатков Спасибо за информацию, буду иметь ввиду. Вставить ник Quote
srg555 Posted June 24, 2013 Posted June 24, 2013 Предлагаю запилить статью "уязвимость арп" и т.д. Уязвимости как таковой нет. Отсуствие префикс-листа на стыке с мухосранск-телекомом это банальная халатность. Отсутствие префикс-листов между крупными игроками тоже самое. А баги софта при обработке "кривых" апдейт-сообщений это тоже не уязвимость протокола, а баг конкретного софта, коих тонны по любой сигнализации Вставить ник Quote
snark Posted June 24, 2013 Posted June 24, 2013 Предлагаю запилить статью "уязвимость арп" и т.д. +1 Первая пара ссылок в гугле (1, 2) достаточно популярно все объясняет. Кому мало - следует за белым кроликом по ссылками дальше :) Вставить ник Quote
evd Posted June 25, 2013 Posted June 25, 2013 Уязвимости как таковой нет. Отсуствие префикс-листа на стыке с мухосранск-телекомом это банальная халатность. Отсутствие префикс-листов между крупными игроками тоже самое Не масштабируется. "Крупным игрокам" в песочнице неуютно, prefix-list размером с ~половину full view - нечто за гранью разумного И ещё чуток дёгтя: каждый ~третий оператор за пределами Европы (в том числе и в "колыбели Интернета") вопрос с просьбой указать свой as-set не понимает. Ни по англицки, ни на суахили С route objects дела обстоят не лучше. В качестве примера: на префикс 202.40.160.0/23 (HKIX, Гонконг) в RADB имеется аж 5 (пять) route objects с совершенно разными origins, но только не с origin AS4635 (Hong Kong Internet Exchange) Вставить ник Quote
zi_rus Posted June 25, 2013 Posted June 25, 2013 prefix-list размером с ~половину full view - нечто за гранью разумного прекрасно суммируется даже по пермитам, иногда и через deny можно оптимизацию сделать, очень сомневаюсь что найдется такой у кого префиксы рандомом выбраны Вставить ник Quote
srg555 Posted June 25, 2013 Posted June 25, 2013 prefix-list размером с ~половину full view - нечто за гранью разумного прекрасно суммируется даже по пермитам, иногда и через deny можно оптимизацию сделать, очень сомневаюсь что найдется такой у кого префиксы рандомом выбраны Даже если ничего не оптимизировать, то время проверки префикса на принадлежность к префик-листу O©, лишь бы памяти хватило. И делается это всё на RP, а не в линейных картах, мы же не про ip src spoofing говорим, а всего лишь про проверку bgp-апдейтов Да, реальная проблема, это недостоверность/отсутствие данных в БД RIR-ов. Но опять же к "уязвимости" протокола это не имеет никакого отношения Я бы назвал статью "К чему приводит лень, неграмотность и рас***дяйство тех.персонала по всему миру" Вставить ник Quote
zi_rus Posted June 25, 2013 Posted June 25, 2013 так называемый "крупный" может позволить себе нормальную железку, а там уже не хилые процы на РП стоят как платят, так и работают, и люди и железо Вставить ник Quote
evd Posted June 25, 2013 Posted June 25, 2013 Да, реальная проблема, это недостоверность/отсутствие данных в БД RIR-ов. Но опять же к "уязвимости" протокола это не имеет никакого отношения То есть, проблема таки не в кривизне софта? ;) так называемый "крупный" может позволить себе нормальную железку, а там уже не хилые процы на РП стоят Вас не затруднит указать размер (в строках) самого большого из тех префикс-листов, которые приходится/приходилось ежесуточно апдейтить? Ну чтобы оставить в покое непарнокопытное, которое по жизни вовсе не сферическое и дышать вакуумом не умеет Вставить ник Quote
zi_rus Posted June 25, 2013 Posted June 25, 2013 Вас не затруднит указать размер (в строках) самого большого из тех префикс-листов, которые приходится/приходилось ежесуточно апдейтить? Ну чтобы оставить в покое непарнокопытное, которое по жизни вовсе не сферическое и дышать вакуумом не умеет а причем тут ежесуточный апдейт? но вообще самый большой в оптимизированном виде занимает 659 строк, обновлять его пока не настроил, все руки не доходят Вставить ник Quote
evd Posted June 25, 2013 Posted June 25, 2013 а причем тут ежесуточный апдейт? А как часто по-вашему "крупный" должен апдейтить фильтры на другого "крупного"? Частота изменений списка префиксов для конкретного as-set ~пропорциональна размеру последнего но вообще самый большой в оптимизированном виде занимает 659 строк, обновлять его пока не настроил, все руки не доходят То есть, не обновляете, хотя там строк меньше 1k. Но зато планируете "оптимизировать". Prefix-list - это, дословно, список префиксов. Как можно "оптимизировать" список? Или речь про агрегирование этого списка с разрешёнными без разбору морспецификами? Верный путь к route leaks. Который списать на баги софта не получится ;) Ну и, в качестве упражнения, сгенерите prefix-list, скажем, на AS-TELIANET. Можете пооптимизировать на досуге. Чтобы "т.н. крупные" имели представление, какие именно железки они обязаны иметь :) PS. Дабы не вопринималось как наезд, мой первоначальный посыл звучал как: "префикс-листы между крупными игроками" - не масштабируемое решение. Будете упорствовать? Вставить ник Quote
st_re Posted June 25, 2013 Posted June 25, 2013 2 evd у некоторых рткомов в сторону некоторых демосов фильтры не апдейтились по году точно :) По крайней мере почти год я пробивал сквозь вторые руки обратить внимание на то, что действительность давно не соответствует их видению :) Так что некоторые думают альтернативно. И, наверное, думают что они правы.. Хотя это, к счастью и не такие большие, да и исключение... Вставить ник Quote
zi_rus Posted June 25, 2013 Posted June 25, 2013 То есть, не обновляете, хотя там строк меньше 1k. Но зато планируете "оптимизировать". Prefix-list - это, дословно, список префиксов. Как можно "оптимизировать" список? Или речь про агрегирование этого списка с разрешёнными без разбору морспецификами? Верный путь к route leaks. Который списать на баги софта не получится ;) а вообще без фильтра наверное все будет шоколадно что толку рассуждать, люди, которые там сидят, сами знают что им нужно Вставить ник Quote
DelSt Posted June 27, 2013 Posted June 27, 2013 (edited) Сегодня богатый день на роут-лики. С утра 3356 приняли fullview от 8966 (ОАЭ) , а сейчас вот акамай от Атрато: *> 69.7.192.0/19 195.69.144.168 400 390 0 20940 5580 3356 26895 i *> 61.4.164.0/22 195.69.144.168 400 390 0 20940 5580 2914 4713 i *> 27.35.203.0/24 195.69.144.168 400 390 0 20940 5580 3491 9848 23584 23584 i Edited June 27, 2013 by DelSt Вставить ник Quote
Stak Posted July 2, 2013 Posted July 2, 2013 Загнать BGP в IGP - ну классика жанра жеж :) За год до случая с Яндексом у нас тоже были такие грабли :) Ну и анонс чужих /24 от имени своей AS - тоже проходили, Глобалнет нам так подгадил как-то :) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.