Перейти к содержимому
Калькуляторы

История одного BGP hijack, или необходимо ли фильтровать full-view от аплинков

Материал: Идея написать статью о необходимости ревизии принимаемых от аплинков BGP full-view (FV) анонсов возникла еще в конце прошлого года, после обнаруженного большого количества hidden (rejeceted by import policy) маршрутов принятых после включения очередного аплинка в Казахстане. Более детальный анализ показал "богатость" as-path отфильтрованных по prefix lendth маршрутов, т. е. специфичных по длине маски чем /24. Полный текст

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Несколько аспектов не отраженных в статье из-за дефицита времени при ее написании. 1. Нежелательно агрегировать инфраструктурно-значимые префиксы, тем самым создавая предпосылки для BGP hijack с помощью more specific. 2. У многих существует строгое убеждение, что корневая причина зла - отсутствие какой-либо фильтрации клиентских анонсов на аплинках. Истины в подобных утверждениях немного. В основном проблема с корректной фильтрацией составная, и носит системный характер. Как уже отмечалось в статье, прежде всего, это программно-аппаратные вендорские ограничения, не позволяющие реализовать на оборудовании полноценные фильтры для довольно больших клиентских as-sets. Второй, не менее значимой составляющей проблемы, является отсутствие в правовом поле единой базы, консолидирующей все записи региональных IRR, что важно для Операторов присутствующих на рынках разных регионов. Последнему, в качестве возражения, может быть сопоставлен http://radb.net/. Но здесь, как показывает практика, есть тоже довольно серьезные проблемы с безопасностью. Еще в прошлом году обратил внимание, что кто угодно, за небольшие деньги может создать аккаунт мантейнера с дальнейшими правами создания objects. На практике это подтвердилось пару месяцев назад, когда один из наших клиентов, пользующейся сервисом Colocation, именно таким способом смог успешно проанонсировать от себя специфики префиксов China Telecom, которые успешно "ушли в мир", в т.ч. и через наших аплинков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.