Robot_NagNews Опубликовано 19 июня, 2013 · Жалоба Материал: Ни один другой протокол не может доставить столько радости и беззаботного веселья, сколько BGP. Это клей, связующий весь Интернет и иногда с его помощью можно уложить добрую часть Глобальной сети одним неловким движением. Давайте вспомним самые яркие и знаковые аварии BGP. Полный текст Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Minya Опубликовано 19 июня, 2013 · Жалоба хороший, интересный пост Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 19 июня, 2013 · Жалоба А как же чехи, микротик и длинный препенд ? Полностью не читал текст, но вроде не упоминается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eucariot Опубликовано 19 июня, 2013 · Жалоба А как же чехи, микротик и длинный препенд ? Полностью не читал текст, но вроде не упоминается. Признаться, перелопатив кучу статей на эту тему, так и не столкнулся с упоминанием этой темы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 19 июня, 2013 · Жалоба http://tools.cisco.com/security/center/viewAlert.x?alertId=17657 http://www.renesys.com/2009/02/longer-is-not-better/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivb1232 Опубликовано 20 июня, 2013 · Жалоба Нормальные магистралы фильтруют по RIPE DB. Хотя.... show route 10.0.0.0/8, есть и такое. * 10.11.254.1/32 B 170 350 5 178.ХХХ.ХХХ.ХХХ ХХХХХ 39482 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 20 июня, 2013 · Жалоба отличная статья! хочу продолжения :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 20 июня, 2013 · Жалоба А что забыли про локальные завалы msk-ix, когда кто-то проанонсировал ua-ix на msk-ix router server ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dburk Опубликовано 21 июня, 2013 · Жалоба Материал: Ни один другой протокол не может доставить столько радости и беззаботного веселья, сколько BGP. Это клей, связующий весь Интернет и иногда с его помощью можно уложить добрую часть Глобальной сети одним неловким движением. Давайте вспомним самые яркие и знаковые аварии BGP. Полный текст про нелетающих покойников можно было бы и не вспоминать - SO/S-BGP - перед публикацией можно было бы погуглить и подольше легко купиться на схожесть терминологии - текущее предложение - RPKI/SIDR (тоже называемое secure bgp - извините уж такую тематику кое-кто в свое время протолкнул в NSA) тоже имеет букет недостатков Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eucariot Опубликовано 22 июня, 2013 · Жалоба Материал: Ни один другой протокол не может доставить столько радости и беззаботного веселья, сколько BGP. Это клей, связующий весь Интернет и иногда с его помощью можно уложить добрую часть Глобальной сети одним неловким движением. Давайте вспомним самые яркие и знаковые аварии BGP. Полный текст про нелетающих покойников можно было бы и не вспоминать - SO/S-BGP - перед публикацией можно было бы погуглить и подольше легко купиться на схожесть терминологии - текущее предложение - RPKI/SIDR (тоже называемое secure bgp - извините уж такую тематику кое-кто в свое время протолкнул в NSA) тоже имеет букет недостатков Спасибо за информацию, буду иметь ввиду. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 24 июня, 2013 · Жалоба Предлагаю запилить статью "уязвимость арп" и т.д. Уязвимости как таковой нет. Отсуствие префикс-листа на стыке с мухосранск-телекомом это банальная халатность. Отсутствие префикс-листов между крупными игроками тоже самое. А баги софта при обработке "кривых" апдейт-сообщений это тоже не уязвимость протокола, а баг конкретного софта, коих тонны по любой сигнализации Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 24 июня, 2013 · Жалоба Предлагаю запилить статью "уязвимость арп" и т.д. +1 Первая пара ссылок в гугле (1, 2) достаточно популярно все объясняет. Кому мало - следует за белым кроликом по ссылками дальше :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evd Опубликовано 25 июня, 2013 · Жалоба Уязвимости как таковой нет. Отсуствие префикс-листа на стыке с мухосранск-телекомом это банальная халатность. Отсутствие префикс-листов между крупными игроками тоже самое Не масштабируется. "Крупным игрокам" в песочнице неуютно, prefix-list размером с ~половину full view - нечто за гранью разумного И ещё чуток дёгтя: каждый ~третий оператор за пределами Европы (в том числе и в "колыбели Интернета") вопрос с просьбой указать свой as-set не понимает. Ни по англицки, ни на суахили С route objects дела обстоят не лучше. В качестве примера: на префикс 202.40.160.0/23 (HKIX, Гонконг) в RADB имеется аж 5 (пять) route objects с совершенно разными origins, но только не с origin AS4635 (Hong Kong Internet Exchange) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 25 июня, 2013 · Жалоба prefix-list размером с ~половину full view - нечто за гранью разумного прекрасно суммируется даже по пермитам, иногда и через deny можно оптимизацию сделать, очень сомневаюсь что найдется такой у кого префиксы рандомом выбраны Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 25 июня, 2013 · Жалоба prefix-list размером с ~половину full view - нечто за гранью разумного прекрасно суммируется даже по пермитам, иногда и через deny можно оптимизацию сделать, очень сомневаюсь что найдется такой у кого префиксы рандомом выбраны Даже если ничего не оптимизировать, то время проверки префикса на принадлежность к префик-листу O©, лишь бы памяти хватило. И делается это всё на RP, а не в линейных картах, мы же не про ip src spoofing говорим, а всего лишь про проверку bgp-апдейтов Да, реальная проблема, это недостоверность/отсутствие данных в БД RIR-ов. Но опять же к "уязвимости" протокола это не имеет никакого отношения Я бы назвал статью "К чему приводит лень, неграмотность и рас***дяйство тех.персонала по всему миру" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 25 июня, 2013 · Жалоба так называемый "крупный" может позволить себе нормальную железку, а там уже не хилые процы на РП стоят как платят, так и работают, и люди и железо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evd Опубликовано 25 июня, 2013 · Жалоба Да, реальная проблема, это недостоверность/отсутствие данных в БД RIR-ов. Но опять же к "уязвимости" протокола это не имеет никакого отношения То есть, проблема таки не в кривизне софта? ;) так называемый "крупный" может позволить себе нормальную железку, а там уже не хилые процы на РП стоят Вас не затруднит указать размер (в строках) самого большого из тех префикс-листов, которые приходится/приходилось ежесуточно апдейтить? Ну чтобы оставить в покое непарнокопытное, которое по жизни вовсе не сферическое и дышать вакуумом не умеет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 25 июня, 2013 · Жалоба Вас не затруднит указать размер (в строках) самого большого из тех префикс-листов, которые приходится/приходилось ежесуточно апдейтить? Ну чтобы оставить в покое непарнокопытное, которое по жизни вовсе не сферическое и дышать вакуумом не умеет а причем тут ежесуточный апдейт? но вообще самый большой в оптимизированном виде занимает 659 строк, обновлять его пока не настроил, все руки не доходят Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evd Опубликовано 25 июня, 2013 · Жалоба а причем тут ежесуточный апдейт? А как часто по-вашему "крупный" должен апдейтить фильтры на другого "крупного"? Частота изменений списка префиксов для конкретного as-set ~пропорциональна размеру последнего но вообще самый большой в оптимизированном виде занимает 659 строк, обновлять его пока не настроил, все руки не доходят То есть, не обновляете, хотя там строк меньше 1k. Но зато планируете "оптимизировать". Prefix-list - это, дословно, список префиксов. Как можно "оптимизировать" список? Или речь про агрегирование этого списка с разрешёнными без разбору морспецификами? Верный путь к route leaks. Который списать на баги софта не получится ;) Ну и, в качестве упражнения, сгенерите prefix-list, скажем, на AS-TELIANET. Можете пооптимизировать на досуге. Чтобы "т.н. крупные" имели представление, какие именно железки они обязаны иметь :) PS. Дабы не вопринималось как наезд, мой первоначальный посыл звучал как: "префикс-листы между крупными игроками" - не масштабируемое решение. Будете упорствовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 25 июня, 2013 · Жалоба 2 evd у некоторых рткомов в сторону некоторых демосов фильтры не апдейтились по году точно :) По крайней мере почти год я пробивал сквозь вторые руки обратить внимание на то, что действительность давно не соответствует их видению :) Так что некоторые думают альтернативно. И, наверное, думают что они правы.. Хотя это, к счастью и не такие большие, да и исключение... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 25 июня, 2013 · Жалоба То есть, не обновляете, хотя там строк меньше 1k. Но зато планируете "оптимизировать". Prefix-list - это, дословно, список префиксов. Как можно "оптимизировать" список? Или речь про агрегирование этого списка с разрешёнными без разбору морспецификами? Верный путь к route leaks. Который списать на баги софта не получится ;) а вообще без фильтра наверное все будет шоколадно что толку рассуждать, люди, которые там сидят, сами знают что им нужно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 25 июня, 2013 · Жалоба Где "там"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DelSt Опубликовано 27 июня, 2013 (изменено) · Жалоба Сегодня богатый день на роут-лики. С утра 3356 приняли fullview от 8966 (ОАЭ) , а сейчас вот акамай от Атрато: *> 69.7.192.0/19 195.69.144.168 400 390 0 20940 5580 3356 26895 i *> 61.4.164.0/22 195.69.144.168 400 390 0 20940 5580 2914 4713 i *> 27.35.203.0/24 195.69.144.168 400 390 0 20940 5580 3491 9848 23584 23584 i Изменено 27 июня, 2013 пользователем DelSt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 2 июля, 2013 · Жалоба Загнать BGP в IGP - ну классика жанра жеж :) За год до случая с Яндексом у нас тоже были такие грабли :) Ну и анонс чужих /24 от имени своей AS - тоже проходили, Глобалнет нам так подгадил как-то :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...