[grnog] Το leak της ημέρας ( AS4788 -> AS3549 )

Spyros Kakaroukas s.kakaroukas at connecticore.com
Tue Jun 16 15:56:53 CEST 2015 

Δεν έχω κάποια άμεση σχέση με την Level3, αλλά από ότι ακούγεται σε άλλες λίστες, το IRR εργαλείο τους που αντλεί δεδομένα από δική τους βάση έχει σταματήσει να λειτουργεί εδώ και ~8 μήνες. Συνεπώς είχαν κάποτε λάβει κάποια μέτρα και για κάποιον άγνωστο λόγο σταμάτησαν. Αν μη τι άλλο αυτό τους προκαλεί και αυξημένο φόρτο εργασίας καθώς ο κάθε πελάτης που έχει φίλτρο ( ναι, σε αρκετούς έχουν ) θα πρέπει να απασχολήσει ανθρώπινους πόρους κάθε φορά που θέλει να διαφημίσει ένα νέο δίκτυο/πελάτη.

Πρακτικά, χρησιμοποιώ κλασσικό community tagging για να ξεχωρίσω transit/peer/customer routes με κάποια πολύ γενικά outbound filters καθώς και automatically-generated inbound prefix-filters σύμφωνα με as-set ή aut-num . Στο κομμάτι της υλοποίησης, το πρώτο είναι αυτονόητο και το δεύτερο το έχουμε φτιάξει με το bgpq3 και λίγο scripting.


My thoughts and words are my own.

Kind Regards,

Spyros

From: grnog-request at lists.grnog.gr [mailto:grnog-request at lists.grnog.gr] On Behalf Of Dimitris Kalogeras
Sent: Tuesday, June 16, 2015 4:38 PM
To: grnog at lists.grnog.gr
Subject: Re: [grnog] Το leak της ημέρας ( AS4788 -> AS3549 )

 Καλημέρα/σπέρα,

επανέρχομαι στο θέμα και στο Link που είχε στείλει ο Σπύρος
(https://www.bgpmon.net/massive-route-leak-cause-internet-slowdown/)

Μέσα φαίνεται λοιπόν  οτι υπάρχουν δύο ανεξάρτητες αμέλειες δύο ISPs
η μία είναι της Malaysia Telecom και η άλλη της Level 3..
(Level3 erroneously accepted these prefixes and announced these to their peers and customers... και
The 176,000 leaked prefixes are likely all Telekom Malaysia’s customer prefixes combined with routes they learned from peers. )
Προσωπικά πιστεύω οτι όταν το λάθος "σκάσει" στον Tier1 provider  θα επακολουθήσουν αυτά που είδαμε και οπως σωστά είπε ο Φαίδων δεν μπορεί να κάνει κάτι η Level3 (προληπτικά) μπορεί να μην βοηθά και η υφιστάμενη κατάσταση της τεχνολογίας.

Απο την πλευρά της η Malaysia telecom πραγματικά θα μπορούσε να κάνει κάτι αλλά έχει αμελήσει.
Αρα το θέμα είναι τι κάνουν οι Tier2/1 providers για να μην δημιουργήσουν τέτοιες καταστάσεις.

Αυτό θα ήθελα να ρωτήσω τα μέλη αυτής της λίστας ως τεχνικοί-μηχανικοί των εγχώριων ISP εφόσον αυτό δεν αφορά επιχειρηματικά μυστικά. Τι μέτρα έχουν in place ?

Εχω την εντύπωση λοιπόν οτι κάθε Tier2/1  για να μπορέσει να εφαρμόσει τεχνικές αποφυγής leaking χρειάζεται να κάνει ένα διαχωρισμό των announcements σε α) δικά της β) πελατών γ) dual homed πελατών  της και να εφαρμόζει διαφορετικές τεχνικές.

Χαιρετισμούς,
Δημήτρης


On 13/6/2015 1:56 μμ, Faidon Liambotis wrote:
On 06/13/15 12:45, Andreas Polyrakis wrote:

Εκτός από το strict filtering που σωστά αναφέρθηκε -- το οποίο δεν
δουλεύει τόσο καλά εκτός RIPE region ή για "μεγάλα" peerings -- υπάρχει
και το RPKI. Το RPKI δεν είναι επίσης πανάκεια· δεν αντιμετωπίζει καλά
κακόβουλες ανακοινώσεις, ούτε leaking, αλλά βοηθάει πολύ σε
misconfigurations ή typos.

Ναι, όπως λες όμως... δεν βοήθησε καθόλου εδώ. Τα routes που ανακοινώνονταν διατηρούσαν το origin τους (π.χ. 3549 4788 15169) και ως εκ τούτου το RPKI δεν προστάτευσε κανέναν από αυτούς που έχουν ενεργοποιήσει validation.

Φ.




--

------------------------



Dimitrios K. Kalogeras



Electrical Engineer Ph.D.

Network Engineer

Netmode NTUA Lab

_____________________________________

skype: aweboy

voice: +30-210-772 1448

fax:     +30-210-772 1866

e-mail: D.Kalogeras at noc.ntua.gr<mailto:D.Kalogeras at noc.ntua.gr>




This e-mail and any attachment(s) contained within are confidential and are intended only for the use of the individual to whom they are addressed. The information contained in this communication may be privileged, or exempt from disclosure. If the reader of this message is not the intended recipient, you are hereby notified that any dissemination, distribution, or copying of this communication is strictly prohibited. If you have received this communication in error, please notify the sender and delete the communication without retaining any copies. Connecticore SA is not responsible for, nor endorses, any opinion, recommendation, conclusion, solicitation, offer or agreement or any information contained in this communication.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20150616/058fe4d4/attachment.html>

More information about the grnog-members mailing list