[grnog] Το leak της ημέρας ( AS4788 -> AS3549 )
Spyros Kakaroukas
s.kakaroukas at connecticore.com
Tue Jun 16 17:48:28 CEST 2015
Χειρόγραφα scripts. Έχουμε μια βάση που κρατάμε τα as-set/autnum που μας ενδιαφέρουν και κάθε μέρα τα prefix lists φτιάχνονται εκ νέου με το bgpq3. Αν κάπου παρατηρηθεί διαφορά με της προηγούμενης ημέρας, ενημερώνεται αυτόματα με email το αρμόδιο τμήμα για την τελευταία έκδοση της prefix list. Ιστορικότητα δεν υπάρχει ( μπορεί να βγει βέβαια από το rancid που κρατάει τα configs ) , αλλά δε νομίζω ότι είναι το ζητούμενο εδώ. Θα μπορούσε να μπαίνει και να περνάει την τελευταία prefix-list αυτόματα με clogin ή κάποιο api, αλλά δεδομένου του μεγέθους μας, δε έχω βρει σοβαρό λόγο να ασχοληθώ με τέτοιου επιπέδου αυτοματισμούς ακόμα.
My thoughts and words are my own.
Kind Regards,
Spyros
From: grnog-request at lists.grnog.gr [mailto:grnog-request at lists.grnog.gr] On Behalf Of Dimitris Kalogeras
Sent: Tuesday, June 16, 2015 6:11 PM
To: grnog at lists.grnog.gr
Subject: Re: [grnog] Το leak της ημέρας ( AS4788 -> AS3549 )
Καλησπέρα Σπύρο,
On 16/6/2015 4:56 μμ, Spyros Kakaroukas wrote:
Δεν έχω κάποια άμεση σχέση με την Level3, αλλά από ότι ακούγεται σε άλλες λίστες, το IRR εργαλείο τους που αντλεί δεδομένα από δική τους βάση έχει σταματήσει να λειτουργεί εδώ και ~8 μήνες.
Πριν απο δύο χρόνια καναμε με τον Σπύρο Παπαγεωργίου μια εργασία ( ας το πουμε as-topology detection per country - ) χρησιμοποιώντας γνωστά και διαθέσιμα whois . H Level 3 είναι ο μεγαλύτερος πάροχος ( per # peerings) και έχει ιδιωτικό whois
το οποίο κάνει peering επειδή το αντίστοιχο του RIPE-Whois-database έχει μικρό κάτω όριο για την καταγραφή των peerings.
Συνεπώς είχαν κάποτε λάβει κάποια μέτρα και για κάποιον άγνωστο λόγο σταμάτησαν. Αν μη τι άλλο αυτό τους προκαλεί και αυξημένο φόρτο εργασίας καθώς ο κάθε πελάτης που έχει φίλτρο ( ναι, σε αρκετούς έχουν ) θα πρέπει να απασχολήσει ανθρώπινους πόρους κάθε φορά που θέλει να διαφημίσει ένα νέο δίκτυο/πελάτη.
Πρακτικά, χρησιμοποιώ κλασσικό community tagging για να ξεχωρίσω transit/peer/customer routes με κάποια πολύ γενικά outbound filters καθώς και automatically-generated inbound prefix-filters σύμφωνα με as-set ή aut-num . Στο κομμάτι της υλοποίησης, το πρώτο είναι αυτονόητο και το δεύτερο το έχουμε φτιάξει με το bgpq3 και λίγο scripting.
έχεις κάποιο εργαλείο το οποίο συγκρίνει αυτό που υπάρχει στο router με αυτό που θα έπρεπε να είναι σαν αποτέλεσμα του script (π.χ κάποιο rancid -like )?
Δ
My thoughts and words are my own.
Kind Regards,
Spyros
From: grnog-request at lists.grnog.gr<mailto:grnog-request at lists.grnog.gr> [mailto:grnog-request at lists.grnog.gr] On Behalf Of Dimitris Kalogeras
Sent: Tuesday, June 16, 2015 4:38 PM
To: grnog at lists.grnog.gr<mailto:grnog at lists.grnog.gr>
Subject: Re: [grnog] Το leak της ημέρας ( AS4788 -> AS3549 )
Καλημέρα/σπέρα,
επανέρχομαι στο θέμα και στο Link που είχε στείλει ο Σπύρος
(https://www.bgpmon.net/massive-route-leak-cause-internet-slowdown/)
Μέσα φαίνεται λοιπόν οτι υπάρχουν δύο ανεξάρτητες αμέλειες δύο ISPs
η μία είναι της Malaysia Telecom και η άλλη της Level 3..
(Level3 erroneously accepted these prefixes and announced these to their peers and customers... και
The 176,000 leaked prefixes are likely all Telekom Malaysia’s customer prefixes combined with routes they learned from peers. )
Προσωπικά πιστεύω οτι όταν το λάθος "σκάσει" στον Tier1 provider θα επακολουθήσουν αυτά που είδαμε και οπως σωστά είπε ο Φαίδων δεν μπορεί να κάνει κάτι η Level3 (προληπτικά) μπορεί να μην βοηθά και η υφιστάμενη κατάσταση της τεχνολογίας.
Απο την πλευρά της η Malaysia telecom πραγματικά θα μπορούσε να κάνει κάτι αλλά έχει αμελήσει.
Αρα το θέμα είναι τι κάνουν οι Tier2/1 providers για να μην δημιουργήσουν τέτοιες καταστάσεις.
Αυτό θα ήθελα να ρωτήσω τα μέλη αυτής της λίστας ως τεχνικοί-μηχανικοί των εγχώριων ISP εφόσον αυτό δεν αφορά επιχειρηματικά μυστικά. Τι μέτρα έχουν in place ?
Εχω την εντύπωση λοιπόν οτι κάθε Tier2/1 για να μπορέσει να εφαρμόσει τεχνικές αποφυγής leaking χρειάζεται να κάνει ένα διαχωρισμό των announcements σε α) δικά της β) πελατών γ) dual homed πελατών της και να εφαρμόζει διαφορετικές τεχνικές.
Χαιρετισμούς,
Δημήτρης
On 13/6/2015 1:56 μμ, Faidon Liambotis wrote:
On 06/13/15 12:45, Andreas Polyrakis wrote:
Εκτός από το strict filtering που σωστά αναφέρθηκε -- το οποίο δεν
δουλεύει τόσο καλά εκτός RIPE region ή για "μεγάλα" peerings -- υπάρχει
και το RPKI. Το RPKI δεν είναι επίσης πανάκεια· δεν αντιμετωπίζει καλά
κακόβουλες ανακοινώσεις, ούτε leaking, αλλά βοηθάει πολύ σε
misconfigurations ή typos.
Ναι, όπως λες όμως... δεν βοήθησε καθόλου εδώ. Τα routes που ανακοινώνονταν διατηρούσαν το origin τους (π.χ. 3549 4788 15169) και ως εκ τούτου το RPKI δεν προστάτευσε κανέναν από αυτούς που έχουν ενεργοποιήσει validation.
Φ.
--
------------------------
Dimitrios K. Kalogeras
Electrical Engineer Ph.D.
Network Engineer
Netmode NTUA Lab
_____________________________________
skype: aweboy
voice: +30-210-772 1448
fax: +30-210-772 1866
e-mail: D.Kalogeras at noc.ntua.gr<mailto:D.Kalogeras at noc.ntua.gr>
This e-mail and any attachment(s) contained within are confidential and are intended only for the use of the individual to whom they are addressed. The information contained in this communication may be privileged, or exempt from disclosure. If the reader of this message is not the intended recipient, you are hereby notified that any dissemination, distribution, or copying of this communication is strictly prohibited. If you have received this communication in error, please notify the sender and delete the communication without retaining any copies. Connecticore SA is not responsible for, nor endorses, any opinion, recommendation, conclusion, solicitation, offer or agreement or any information contained in this communication.
--
------------------------
Dimitrios K. Kalogeras
Electrical Engineer Ph.D.
Network Engineer
Netmode NTUA Lab
_____________________________________
skype: aweboy
voice: +30-210-772 1448
fax: +30-210-772 1866
e-mail: D.Kalogeras at noc.ntua.gr<mailto:D.Kalogeras at noc.ntua.gr>
This e-mail and any attachment(s) contained within are confidential and are intended only for the use of the individual to whom they are addressed. The information contained in this communication may be privileged, or exempt from disclosure. If the reader of this message is not the intended recipient, you are hereby notified that any dissemination, distribution, or copying of this communication is strictly prohibited. If you have received this communication in error, please notify the sender and delete the communication without retaining any copies. Connecticore SA is not responsible for, nor endorses, any opinion, recommendation, conclusion, solicitation, offer or agreement or any information contained in this communication.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20150616/76110d0b/attachment.html>
More information about the grnog-members
mailing list