[grnog] Το leak της ημέρας ( AS4788 -> AS3549 )

Dimitris Kalogeras D.Kalogeras at noc.ntua.gr
Tue Jun 16 17:23:57 CEST 2015 

Αντρέα,

On 16/6/2015 5:32 μμ, Andreas Polyrakis wrote:
> On 06/16/2015 04:38 PM, Dimitris Kalogeras wrote:
>>  Καλημέρα/σπέρα,
>>
>> επανέρχομαι στο θέμα και στο Link που είχε στείλει ο Σπύρος
>> (https://www.bgpmon.net/massive-route-leak-cause-internet-slowdown/)
>>
>> Μέσα φαίνεται λοιπόν  οτι υπάρχουν δύο ανεξάρτητες αμέλειες δύο ISPs
>> η μία είναι της Malaysia Telecom και η άλλη της Level 3..
>> (Level3 erroneously accepted these prefixes and announced these to
>> their peers and customers... και
>> The 176,000 leaked prefixes are likely all Telekom Malaysia’s
>> customer prefixes combined with routes they learned from peers. )
>> Προσωπικά πιστεύω οτι όταν το λάθος "σκάσει" στον Tier1 provider  θα
>> επακολουθήσουν αυτά που είδαμε και οπως σωστά είπε ο Φαίδων δεν
>> μπορεί να κάνει κάτι η Level3 (προληπτικά) μπορεί να μην βοηθά και η
>> υφιστάμενη κατάσταση της τεχνολογίας.
>>
>> Απο την πλευρά της η Malaysia telecom πραγματικά θα μπορούσε να κάνει
>> κάτι αλλά έχει αμελήσει.
>> Αρα το θέμα είναι τι κάνουν οι Tier2/1 providers για να μην
>> δημιουργήσουν τέτοιες καταστάσεις.
>>
>> Αυτό θα ήθελα να ρωτήσω τα μέλη αυτής της λίστας ως
>> τεχνικοί-μηχανικοί των εγχώριων ISP εφόσον αυτό δεν αφορά
>> επιχειρηματικά μυστικά. Τι μέτρα έχουν in place ?
>
> Για το ΕΔΕΤ:
> - Prefix filtering στα εισερχόμενα από τους πελάτες (route objects με
> origin από το AS (ή AS-SET) του πελάτη ή no export για more specific
> των route objects)
> - AS-Path filtering στο GR-IX (παλιότερα κάναμε ό,τι και στους
> πελάτες, τώρα όχι λόγω τεχνικών δυσκολιών. Ίσως το επαναφέρουμε στο
> μέλλον)
> - no filtering στον upstream
>
> Τα φίλτρα μας φτιάχνονται αυτόματα για v4 με RtConfig (...δηλαδή
> φτιάχνουμε όλο το φίλτρο, όχι μόνο το prefix/as list...αλλά δυστυχώς
> το εργαλείο έχει εγκαταλειφθεί και κάποια στιγμή θα το εγκαταλείψουμε
> και εμείς...). Για το v6 με το χέρι (δεν υποστηρίζεται σωστά από το
> rtconfig).
>
OK to rt config δεν υποστηριζει τα routemaps αλλά υποστηριζεται η
λειτουργία σε IPv6 από το peval οποτε εάν δεν προστίθεται νέο peering
και αλλάζει απλά ο αριθμός των route objects (- πιο σύνηθες για τα
δεδομένα της Ελλάδας) τοτε είναι οκ για τις ανάγκες.

Αντρέα,
 έχετε κάποιο τρόπο σύγκρισης να ελέγχετε οτι αυτό που έχετε στο
δρομολογητή είναι το σωστό ? οποτε εάν γίνει λάθος
να μην σας εοδοποιήσουν άλλοι, αλλά να το πάρετε χαμπάρι μόνοι σας ?

Χαιρετισμούς,
Δημήτρης
>
>>
>> Εχω την εντύπωση λοιπόν οτι κάθε Tier2/1  για να μπορέσει να
>> εφαρμόσει τεχνικές αποφυγής leaking χρειάζεται να κάνει ένα
>> διαχωρισμό των announcements σε α) δικά της β) πελατών γ) dual homed
>> πελατών  της και να εφαρμόζει διαφορετικές τεχνικές.
>>
>> Χαιρετισμούς,
>> Δημήτρης
>>
>>
>> On 13/6/2015 1:56 μμ, Faidon Liambotis wrote:
>>> On 06/13/15 12:45, Andreas Polyrakis wrote:
>>>> Εκτός από το strict filtering που σωστά αναφέρθηκε -- το οποίο δεν
>>>> δουλεύει τόσο καλά εκτός RIPE region ή για "μεγάλα" peerings --
>>>> υπάρχει
>>>> και το RPKI. Το RPKI δεν είναι επίσης πανάκεια· δεν αντιμετωπίζει καλά
>>>> κακόβουλες ανακοινώσεις, ούτε leaking, αλλά βοηθάει πολύ σε
>>>> misconfigurations ή typos.
>>>
>>> Ναι, όπως λες όμως... δεν βοήθησε καθόλου εδώ. Τα routes που
>>> ανακοινώνονταν διατηρούσαν το origin τους (π.χ. 3549 4788 15169) και
>>> ως εκ τούτου το RPKI δεν προστάτευσε κανέναν από αυτούς που έχουν
>>> ενεργοποιήσει validation.
>>>
>>> Φ.
>>>
>>>
>>
>> -- 
>> ------------------------
>>
>> Dimitrios K. Kalogeras
>>
>> Electrical Engineer Ph.D.
>> Network Engineer
>> Netmode NTUA Lab
>> _____________________________________
>> skype: aweboy
>> voice: +30-210-772 1448
>> fax:     +30-210-772 1866
>> e-mail: D.Kalogeras at noc.ntua.gr
>>
>
>
> -- 
> -----------------------------------------------------------------------
> Andreas Polyrakis - apolyr at noc.grnet.gr
> GRNET NOC Technical Manager
> Greek Research & Technology Network - http://www.grnet.gr
> 56, Mesogion Av., Ampelokipi, 11527 Athens, Greece
> Mobile: +30 6972832445    Office: +30 2107474249   Fax: +30 2107474490
> -----------------------------------------------------------------------

-- 
------------------------

Dimitrios K. Kalogeras

Electrical Engineer Ph.D.
Network Engineer
Netmode NTUA Lab
_____________________________________
skype: aweboy
voice: +30-210-772 1448
fax:     +30-210-772 1866
e-mail: D.Kalogeras at noc.ntua.gr

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20150616/48a95dd4/attachment.html>

More information about the grnog-members mailing list