[grnog] Το leak της ημέρας ( AS4788 -> AS3549 )

Andreas Polyrakis apolyr at noc.grnet.gr
Tue Jun 16 16:32:07 CEST 2015 

On 06/16/2015 04:38 PM, Dimitris Kalogeras wrote:
>  Καλημέρα/σπέρα,
>
> επανέρχομαι στο θέμα και στο Link που είχε στείλει ο Σπύρος
> (https://www.bgpmon.net/massive-route-leak-cause-internet-slowdown/)
>
> Μέσα φαίνεται λοιπόν  οτι υπάρχουν δύο ανεξάρτητες αμέλειες δύο ISPs
> η μία είναι της Malaysia Telecom και η άλλη της Level 3..
> (Level3 erroneously accepted these prefixes and announced these to 
> their peers and customers... και
> The 176,000 leaked prefixes are likely all Telekom Malaysia’s customer 
> prefixes combined with routes they learned from peers. )
> Προσωπικά πιστεύω οτι όταν το λάθος "σκάσει" στον Tier1 provider  θα 
> επακολουθήσουν αυτά που είδαμε και οπως σωστά είπε ο Φαίδων δεν μπορεί 
> να κάνει κάτι η Level3 (προληπτικά) μπορεί να μην βοηθά και η 
> υφιστάμενη κατάσταση της τεχνολογίας.
>
> Απο την πλευρά της η Malaysia telecom πραγματικά θα μπορούσε να κάνει 
> κάτι αλλά έχει αμελήσει.
> Αρα το θέμα είναι τι κάνουν οι Tier2/1 providers για να μην 
> δημιουργήσουν τέτοιες καταστάσεις.
>
> Αυτό θα ήθελα να ρωτήσω τα μέλη αυτής της λίστας ως τεχνικοί-μηχανικοί 
> των εγχώριων ISP εφόσον αυτό δεν αφορά επιχειρηματικά μυστικά. Τι 
> μέτρα έχουν in place ?

Για το ΕΔΕΤ:
- Prefix filtering στα εισερχόμενα από τους πελάτες (route objects με 
origin από το AS (ή AS-SET) του πελάτη ή no export για more specific των 
route objects)
- AS-Path filtering στο GR-IX (παλιότερα κάναμε ό,τι και στους πελάτες, 
τώρα όχι λόγω τεχνικών δυσκολιών. Ίσως το επαναφέρουμε στο μέλλον)
- no filtering στον upstream

Τα φίλτρα μας φτιάχνονται αυτόματα για v4 με RtConfig (...δηλαδή 
φτιάχνουμε όλο το φίλτρο, όχι μόνο το prefix/as list...αλλά δυστυχώς το 
εργαλείο έχει εγκαταλειφθεί και κάποια στιγμή θα το εγκαταλείψουμε και 
εμείς...). Για το v6 με το χέρι (δεν υποστηρίζεται σωστά από το rtconfig).


>
> Εχω την εντύπωση λοιπόν οτι κάθε Tier2/1  για να μπορέσει να εφαρμόσει 
> τεχνικές αποφυγής leaking χρειάζεται να κάνει ένα διαχωρισμό των 
> announcements σε α) δικά της β) πελατών γ) dual homed πελατών  της και 
> να εφαρμόζει διαφορετικές τεχνικές.
>
> Χαιρετισμούς,
> Δημήτρης
>
>
> On 13/6/2015 1:56 μμ, Faidon Liambotis wrote:
>> On 06/13/15 12:45, Andreas Polyrakis wrote:
>>> Εκτός από το strict filtering που σωστά αναφέρθηκε -- το οποίο δεν
>>> δουλεύει τόσο καλά εκτός RIPE region ή για "μεγάλα" peerings -- υπάρχει
>>> και το RPKI. Το RPKI δεν είναι επίσης πανάκεια· δεν αντιμετωπίζει καλά
>>> κακόβουλες ανακοινώσεις, ούτε leaking, αλλά βοηθάει πολύ σε
>>> misconfigurations ή typos.
>>
>> Ναι, όπως λες όμως... δεν βοήθησε καθόλου εδώ. Τα routes που 
>> ανακοινώνονταν διατηρούσαν το origin τους (π.χ. 3549 4788 15169) και 
>> ως εκ τούτου το RPKI δεν προστάτευσε κανέναν από αυτούς που έχουν 
>> ενεργοποιήσει validation.
>>
>> Φ.
>>
>>
>
> -- 
> ------------------------
>
> Dimitrios K. Kalogeras
>
> Electrical Engineer Ph.D.
> Network Engineer
> Netmode NTUA Lab
> _____________________________________
> skype: aweboy
> voice: +30-210-772 1448
> fax:     +30-210-772 1866
> e-mail:D.Kalogeras at noc.ntua.gr
>


-- 
-----------------------------------------------------------------------
Andreas Polyrakis - apolyr at noc.grnet.gr
GRNET NOC Technical Manager
Greek Research & Technology Network - http://www.grnet.gr
56, Mesogion Av., Ampelokipi, 11527 Athens, Greece
Mobile: +30 6972832445    Office: +30 2107474249   Fax: +30 2107474490
-----------------------------------------------------------------------

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20150616/ac8b2b53/attachment.html>

More information about the grnog-members mailing list