[Robot_NagNews]

Материал:

Ни один другой протокол не может доставить столько радости и беззаботного веселья, сколько BGP. Это клей, связующий весь Интернет и иногда с его помощью можно уложить добрую часть Глобальной сети одним неловким движением. Давайте вспомним самые яркие и знаковые аварии BGP.

 

Полный текст

[Minya]

хороший, интересный пост

[Картуччо]

А как же чехи, микротик и длинный препенд ?

Полностью не читал текст, но вроде не упоминается.

[eucariot]

А как же чехи, микротик и длинный препенд ?

Полностью не читал текст, но вроде не упоминается.

 

Признаться, перелопатив кучу статей на эту тему, так и не столкнулся с упоминанием этой темы.

[Картуччо]

http://tools.cisco.com/security/center/viewAlert.x?alertId=17657

http://www.renesys.com/2009/02/longer-is-not-better/

[ivb1232]

Нормальные магистралы фильтруют по RIPE DB.

Хотя.... show route 10.0.0.0/8, есть и такое.

 

* 10.11.254.1/32 B 170 350 5 178.ХХХ.ХХХ.ХХХ ХХХХХ 39482 ?

[mcdemon]

отличная статья! хочу продолжения :)

[bitbucket]

А что забыли про локальные завалы msk-ix, когда кто-то проанонсировал ua-ix на msk-ix router server ?

[dburk]

Материал:

Ни один другой протокол не может доставить столько радости и беззаботного веселья, сколько BGP. Это клей, связующий весь Интернет и иногда с его помощью можно уложить добрую часть Глобальной сети одним неловким движением. Давайте вспомним самые яркие и знаковые аварии BGP.

 

Полный текст

про нелетающих покойников можно было бы и не вспоминать - SO/S-BGP - перед публикацией можно было бы погуглить и подольше

 

легко купиться на схожесть терминологии - текущее предложение - RPKI/SIDR (тоже называемое secure bgp - извините уж такую тематику кое-кто в свое время протолкнул в NSA) тоже имеет букет недостатков

[eucariot]

Материал:

Ни один другой протокол не может доставить столько радости и беззаботного веселья, сколько BGP. Это клей, связующий весь Интернет и иногда с его помощью можно уложить добрую часть Глобальной сети одним неловким движением. Давайте вспомним самые яркие и знаковые аварии BGP.

 

Полный текст

про нелетающих покойников можно было бы и не вспоминать - SO/S-BGP - перед публикацией можно было бы погуглить и подольше

 

легко купиться на схожесть терминологии - текущее предложение - RPKI/SIDR (тоже называемое secure bgp - извините уж такую тематику кое-кто в свое время протолкнул в NSA) тоже имеет букет недостатков

 

Спасибо за информацию, буду иметь ввиду.

[srg555]

Предлагаю запилить статью "уязвимость арп" и т.д. Уязвимости как таковой нет. Отсуствие префикс-листа на стыке с мухосранск-телекомом это банальная халатность. Отсутствие префикс-листов между крупными игроками тоже самое.

 

А баги софта при обработке "кривых" апдейт-сообщений это тоже не уязвимость протокола, а баг конкретного софта, коих тонны по любой сигнализации

[snark]

Предлагаю запилить статью "уязвимость арп" и т.д.

+1

Первая пара ссылок в гугле (1, 2) достаточно популярно все объясняет.

Кому мало - следует за белым кроликом по ссылками дальше :)

[evd]

Уязвимости как таковой нет. Отсуствие префикс-листа на стыке с мухосранск-телекомом это банальная халатность. Отсутствие префикс-листов между крупными игроками тоже самое

Не масштабируется. "Крупным игрокам" в песочнице неуютно, prefix-list размером с ~половину full view - нечто за гранью разумного

 

И ещё чуток дёгтя: каждый ~третий оператор за пределами Европы (в том числе и в "колыбели Интернета") вопрос с просьбой указать свой as-set не понимает. Ни по англицки, ни на суахили

 

С route objects дела обстоят не лучше. В качестве примера: на префикс 202.40.160.0/23 (HKIX, Гонконг) в RADB имеется аж 5 (пять) route objects с совершенно разными origins, но только не с origin AS4635 (Hong Kong Internet Exchange)

[zi_rus]

prefix-list размером с ~половину full view - нечто за гранью разумного

прекрасно суммируется даже по пермитам, иногда и через deny можно оптимизацию сделать, очень сомневаюсь что найдется такой у кого префиксы рандомом выбраны

[srg555]

prefix-list размером с ~половину full view - нечто за гранью разумного

прекрасно суммируется даже по пермитам, иногда и через deny можно оптимизацию сделать, очень сомневаюсь что найдется такой у кого префиксы рандомом выбраны

 

Даже если ничего не оптимизировать, то время проверки префикса на принадлежность к префик-листу O©, лишь бы памяти хватило. И делается это всё на RP, а не в линейных картах, мы же не про ip src spoofing говорим, а всего лишь про проверку bgp-апдейтов

 

Да, реальная проблема, это недостоверность/отсутствие данных в БД RIR-ов. Но опять же к "уязвимости" протокола это не имеет никакого отношения

 

Я бы назвал статью "К чему приводит лень, неграмотность и рас***дяйство тех.персонала по всему миру"

[zi_rus]

так называемый "крупный" может позволить себе нормальную железку, а там уже не хилые процы на РП стоят

 

как платят, так и работают, и люди и железо

[evd]

Да, реальная проблема, это недостоверность/отсутствие данных в БД RIR-ов. Но опять же к "уязвимости" протокола это не имеет никакого отношения

То есть, проблема таки не в кривизне софта? ;)

 

так называемый "крупный" может позволить себе нормальную железку, а там уже не хилые процы на РП стоят

Вас не затруднит указать размер (в строках) самого большого из тех префикс-листов, которые приходится/приходилось ежесуточно апдейтить? Ну чтобы оставить в покое непарнокопытное, которое по жизни вовсе не сферическое и дышать вакуумом не умеет

[zi_rus]

Вас не затруднит указать размер (в строках) самого большого из тех префикс-листов, которые приходится/приходилось ежесуточно апдейтить? Ну чтобы оставить в покое непарнокопытное, которое по жизни вовсе не сферическое и дышать вакуумом не умеет

а причем тут ежесуточный апдейт?

но вообще самый большой в оптимизированном виде занимает 659 строк, обновлять его пока не настроил, все руки не доходят

[evd]

а причем тут ежесуточный апдейт?

А как часто по-вашему "крупный" должен апдейтить фильтры на другого "крупного"? Частота изменений списка префиксов для конкретного as-set ~пропорциональна размеру последнего

 

но вообще самый большой в оптимизированном виде занимает 659 строк, обновлять его пока не настроил, все руки не доходят

То есть, не обновляете, хотя там строк меньше 1k. Но зато планируете "оптимизировать". Prefix-list - это, дословно, список префиксов. Как можно "оптимизировать" список? Или речь про агрегирование этого списка с разрешёнными без разбору морспецификами? Верный путь к route leaks. Который списать на баги софта не получится ;)

 

Ну и, в качестве упражнения, сгенерите prefix-list, скажем, на AS-TELIANET. Можете пооптимизировать на досуге. Чтобы "т.н. крупные" имели представление, какие именно железки они обязаны иметь :)

 

PS. Дабы не вопринималось как наезд, мой первоначальный посыл звучал как: "префикс-листы между крупными игроками" - не масштабируемое решение. Будете упорствовать?

[st_re]

2 evd у некоторых рткомов в сторону некоторых демосов фильтры не апдейтились по году точно :)

 

По крайней мере почти год я пробивал сквозь вторые руки обратить внимание на то, что действительность давно не соответствует их видению :) Так что некоторые думают альтернативно. И, наверное, думают что они правы..

 

Хотя это, к счастью и не такие большие, да и исключение...

[zi_rus]

 

То есть, не обновляете, хотя там строк меньше 1k. Но зато планируете "оптимизировать". Prefix-list - это, дословно, список префиксов. Как можно "оптимизировать" список? Или речь про агрегирование этого списка с разрешёнными без разбору морспецификами? Верный путь к route leaks. Который списать на баги софта не получится ;)

а вообще без фильтра наверное все будет шоколадно

 

что толку рассуждать, люди, которые там сидят, сами знают что им нужно

[Дятел]

Где "там"?

[DelSt]

Сегодня богатый день на роут-лики. С утра 3356 приняли fullview от 8966 (ОАЭ) , а сейчас вот акамай от Атрато:

*> 69.7.192.0/19 195.69.144.168 400 390 0 20940 5580 3356 26895 i

*> 61.4.164.0/22 195.69.144.168 400 390 0 20940 5580 2914 4713 i

*> 27.35.203.0/24 195.69.144.168 400 390 0 20940 5580 3491 9848 23584 23584 i

Изменено 27 июня, 2013 пользователем DelSt

[Stak]

Загнать BGP в IGP - ну классика жанра жеж :) За год до случая с Яндексом у нас тоже были такие грабли :)

Ну и анонс чужих /24 от имени своей AS - тоже проходили, Глобалнет нам так подгадил как-то :)