Robot_NagNews Posted June 19, 2013 · Report post Материал: Ни один другой протокол не может доставить столько радости и беззаботного веселья, сколько BGP. Это клей, связующий весь Интернет и иногда с его помощью можно уложить добрую часть Глобальной сети одним неловким движением. Давайте вспомним самые яркие и знаковые аварии BGP. Полный текст Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Minya Posted June 19, 2013 · Report post хороший, интересный пост Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Картуччо Posted June 19, 2013 · Report post А как же чехи, микротик и длинный препенд ? Полностью не читал текст, но вроде не упоминается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
eucariot Posted June 19, 2013 · Report post А как же чехи, микротик и длинный препенд ? Полностью не читал текст, но вроде не упоминается. Признаться, перелопатив кучу статей на эту тему, так и не столкнулся с упоминанием этой темы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Картуччо Posted June 19, 2013 · Report post http://tools.cisco.com/security/center/viewAlert.x?alertId=17657 http://www.renesys.com/2009/02/longer-is-not-better/ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ivb1232 Posted June 20, 2013 · Report post Нормальные магистралы фильтруют по RIPE DB. Хотя.... show route 10.0.0.0/8, есть и такое. * 10.11.254.1/32 B 170 350 5 178.ХХХ.ХХХ.ХХХ ХХХХХ 39482 ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcdemon Posted June 20, 2013 · Report post отличная статья! хочу продолжения :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bitbucket Posted June 20, 2013 · Report post А что забыли про локальные завалы msk-ix, когда кто-то проанонсировал ua-ix на msk-ix router server ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dburk Posted June 21, 2013 · Report post Материал: Ни один другой протокол не может доставить столько радости и беззаботного веселья, сколько BGP. Это клей, связующий весь Интернет и иногда с его помощью можно уложить добрую часть Глобальной сети одним неловким движением. Давайте вспомним самые яркие и знаковые аварии BGP. Полный текст про нелетающих покойников можно было бы и не вспоминать - SO/S-BGP - перед публикацией можно было бы погуглить и подольше легко купиться на схожесть терминологии - текущее предложение - RPKI/SIDR (тоже называемое secure bgp - извините уж такую тематику кое-кто в свое время протолкнул в NSA) тоже имеет букет недостатков Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
eucariot Posted June 22, 2013 · Report post Материал: Ни один другой протокол не может доставить столько радости и беззаботного веселья, сколько BGP. Это клей, связующий весь Интернет и иногда с его помощью можно уложить добрую часть Глобальной сети одним неловким движением. Давайте вспомним самые яркие и знаковые аварии BGP. Полный текст про нелетающих покойников можно было бы и не вспоминать - SO/S-BGP - перед публикацией можно было бы погуглить и подольше легко купиться на схожесть терминологии - текущее предложение - RPKI/SIDR (тоже называемое secure bgp - извините уж такую тематику кое-кто в свое время протолкнул в NSA) тоже имеет букет недостатков Спасибо за информацию, буду иметь ввиду. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
srg555 Posted June 24, 2013 · Report post Предлагаю запилить статью "уязвимость арп" и т.д. Уязвимости как таковой нет. Отсуствие префикс-листа на стыке с мухосранск-телекомом это банальная халатность. Отсутствие префикс-листов между крупными игроками тоже самое. А баги софта при обработке "кривых" апдейт-сообщений это тоже не уязвимость протокола, а баг конкретного софта, коих тонны по любой сигнализации Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snark Posted June 24, 2013 · Report post Предлагаю запилить статью "уязвимость арп" и т.д. +1 Первая пара ссылок в гугле (1, 2) достаточно популярно все объясняет. Кому мало - следует за белым кроликом по ссылками дальше :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
evd Posted June 25, 2013 · Report post Уязвимости как таковой нет. Отсуствие префикс-листа на стыке с мухосранск-телекомом это банальная халатность. Отсутствие префикс-листов между крупными игроками тоже самое Не масштабируется. "Крупным игрокам" в песочнице неуютно, prefix-list размером с ~половину full view - нечто за гранью разумного И ещё чуток дёгтя: каждый ~третий оператор за пределами Европы (в том числе и в "колыбели Интернета") вопрос с просьбой указать свой as-set не понимает. Ни по англицки, ни на суахили С route objects дела обстоят не лучше. В качестве примера: на префикс 202.40.160.0/23 (HKIX, Гонконг) в RADB имеется аж 5 (пять) route objects с совершенно разными origins, но только не с origin AS4635 (Hong Kong Internet Exchange) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted June 25, 2013 · Report post prefix-list размером с ~половину full view - нечто за гранью разумного прекрасно суммируется даже по пермитам, иногда и через deny можно оптимизацию сделать, очень сомневаюсь что найдется такой у кого префиксы рандомом выбраны Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
srg555 Posted June 25, 2013 · Report post prefix-list размером с ~половину full view - нечто за гранью разумного прекрасно суммируется даже по пермитам, иногда и через deny можно оптимизацию сделать, очень сомневаюсь что найдется такой у кого префиксы рандомом выбраны Даже если ничего не оптимизировать, то время проверки префикса на принадлежность к префик-листу O©, лишь бы памяти хватило. И делается это всё на RP, а не в линейных картах, мы же не про ip src spoofing говорим, а всего лишь про проверку bgp-апдейтов Да, реальная проблема, это недостоверность/отсутствие данных в БД RIR-ов. Но опять же к "уязвимости" протокола это не имеет никакого отношения Я бы назвал статью "К чему приводит лень, неграмотность и рас***дяйство тех.персонала по всему миру" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted June 25, 2013 · Report post так называемый "крупный" может позволить себе нормальную железку, а там уже не хилые процы на РП стоят как платят, так и работают, и люди и железо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
evd Posted June 25, 2013 · Report post Да, реальная проблема, это недостоверность/отсутствие данных в БД RIR-ов. Но опять же к "уязвимости" протокола это не имеет никакого отношения То есть, проблема таки не в кривизне софта? ;) так называемый "крупный" может позволить себе нормальную железку, а там уже не хилые процы на РП стоят Вас не затруднит указать размер (в строках) самого большого из тех префикс-листов, которые приходится/приходилось ежесуточно апдейтить? Ну чтобы оставить в покое непарнокопытное, которое по жизни вовсе не сферическое и дышать вакуумом не умеет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted June 25, 2013 · Report post Вас не затруднит указать размер (в строках) самого большого из тех префикс-листов, которые приходится/приходилось ежесуточно апдейтить? Ну чтобы оставить в покое непарнокопытное, которое по жизни вовсе не сферическое и дышать вакуумом не умеет а причем тут ежесуточный апдейт? но вообще самый большой в оптимизированном виде занимает 659 строк, обновлять его пока не настроил, все руки не доходят Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
evd Posted June 25, 2013 · Report post а причем тут ежесуточный апдейт? А как часто по-вашему "крупный" должен апдейтить фильтры на другого "крупного"? Частота изменений списка префиксов для конкретного as-set ~пропорциональна размеру последнего но вообще самый большой в оптимизированном виде занимает 659 строк, обновлять его пока не настроил, все руки не доходят То есть, не обновляете, хотя там строк меньше 1k. Но зато планируете "оптимизировать". Prefix-list - это, дословно, список префиксов. Как можно "оптимизировать" список? Или речь про агрегирование этого списка с разрешёнными без разбору морспецификами? Верный путь к route leaks. Который списать на баги софта не получится ;) Ну и, в качестве упражнения, сгенерите prefix-list, скажем, на AS-TELIANET. Можете пооптимизировать на досуге. Чтобы "т.н. крупные" имели представление, какие именно железки они обязаны иметь :) PS. Дабы не вопринималось как наезд, мой первоначальный посыл звучал как: "префикс-листы между крупными игроками" - не масштабируемое решение. Будете упорствовать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted June 25, 2013 · Report post 2 evd у некоторых рткомов в сторону некоторых демосов фильтры не апдейтились по году точно :) По крайней мере почти год я пробивал сквозь вторые руки обратить внимание на то, что действительность давно не соответствует их видению :) Так что некоторые думают альтернативно. И, наверное, думают что они правы.. Хотя это, к счастью и не такие большие, да и исключение... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted June 25, 2013 · Report post То есть, не обновляете, хотя там строк меньше 1k. Но зато планируете "оптимизировать". Prefix-list - это, дословно, список префиксов. Как можно "оптимизировать" список? Или речь про агрегирование этого списка с разрешёнными без разбору морспецификами? Верный путь к route leaks. Который списать на баги софта не получится ;) а вообще без фильтра наверное все будет шоколадно что толку рассуждать, люди, которые там сидят, сами знают что им нужно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Дятел Posted June 25, 2013 · Report post Где "там"? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DelSt Posted June 27, 2013 (edited) · Report post Сегодня богатый день на роут-лики. С утра 3356 приняли fullview от 8966 (ОАЭ) , а сейчас вот акамай от Атрато: *> 69.7.192.0/19 195.69.144.168 400 390 0 20940 5580 3356 26895 i *> 61.4.164.0/22 195.69.144.168 400 390 0 20940 5580 2914 4713 i *> 27.35.203.0/24 195.69.144.168 400 390 0 20940 5580 3491 9848 23584 23584 i Edited June 27, 2013 by DelSt Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Stak Posted July 2, 2013 · Report post Загнать BGP в IGP - ну классика жанра жеж :) За год до случая с Яндексом у нас тоже были такие грабли :) Ну и анонс чужих /24 от имени своей AS - тоже проходили, Глобалнет нам так подгадил как-то :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...