[grnog] RPKI: Forthnet started dropping invalids

Faidon Liambotis faidon at tty.gr
Thu Jan 30 11:43:47 CET 2020 

Μπράβο Τάσο, με γειά :) Πολύ σημαντικό βήμα!

Ελπίζω να με συγχωρέσεις για το hijack του thread σου: και εμείς (=
Wikipedia) κάναμε quiet launch το rejection των RPKI invalids πριν από
περίπου 2 εβδομάδες σε όλα τα peering και transit sessions σε όλα τα
PoPs στον κόσμο. Εξ' όσων γνωρίζω είμαστε το πρώτο top-10 website που
εφαρμόζει κάτι τέτοιο σε όλα τα BGP sessions και χωρίς fallback. Αυτό
πρακτικά σημαίνει ότι χρήστες σε δίκτυα που είναι invalid[1] δεν μπορούν
να έχουν πρόσβαση στη Wikipedia, κάτι το οποίο ελπίζουμε ότι θα δώσει
γρηγότερο detection και incentives σε network operators.

Πριν το launch είχαμε instrumentation για αρκετούς μήνες στο οποίο
μετρούσαμε τα page hits από invalid[1] prefixes. Το ποσοστό ήταν περίπου
στο 0.005% κατά μέσο όρο, και δεν ξεπέρασε ποτέ το 0.01%.

Από τις 16/1 έχουμε λάβει μόνο ένα report, το οποίο και διορθώθηκε
άμεσα.

Φ.

1: Για την ακρίβεια, αναφερόμαστε εδώ σε "invalid unreachable", δηλαδή
σε δίκτυα τα οποία είναι invalid και για τα οποία δεν υπάρχει κάποιο
εναλλακτικό prefix (supernet ή subnet) που να είναι valid.

On Thu, Jan 30, 2020 at 10:38:10AM +0200, Tassos Chatzithomaoglou wrote:
> Καλημέρα σε όλους,
> 
> Θα ήθελα να ενημερώσω ότι εδώ και αρκετές μέρες η Forthnet έχει αρχίσει
> δοκιμαστικά να κάνει drop τα invalid prefixes σε όλες τις
> peering/transit διασυνδέσεις με το εξωτερικό, όπως και σε όλα τα
> peerings με ελληνικούς παρόχους.
> 
> Έχοντας παρακολουθήσει για αρκετούς μήνες την κίνηση των invalid
> prefixes και κάνοντας διάφορους πειραματισμούς με την δρομολόγηση αυτών,
> αποφασίσαμε (αφού έχουμε και τη δυνατότητα άμεσης διόρθωσης πιθανών
> προβλημάτων), ότι έφτασε η στιγμή να μεταβούμε στο επόμενο στάδιο,
> δηλαδή να μπλοκάρουμε εντός δικτύου Forthnet την ανακοίνωση/δρομολόγηση
> των prefixes που έχουν χαρακτηριστεί σαν invalid στο οικοσύστημα του RPKI.
> 
> Επίσης στα πλαίσια των παραπάνω ενεργειών παρατηρήσαμε ότι τον τελευταίο
> καιρό έχουν αρχίσει να αυξάνονται τα invalid prefixes για λόγους testing
> (ο κάθε πάροχος φτιάχνει και από ένα?), κάτι που ενδέχεται να
> δημιουργήσει εσφαλμένα συμπεράσματα στο μέλλον. Ίσως τα συγκεκριμένα θα
> έπρεπε να έχουν κάποιο ακόμα χαρακτηριστικό.
> 
> Και τώρα περιμένουμε κάποιος επιτήδειος να εκμεταλλευτεί το όλο σύστημα
> του RPKI και να "δημιουργήσει" τεχνητά invalids, έτσι ώστε να πέσει
> μέρος του internet ή ακόμα και ολόκληρο το internet. 8-):-P 
> 
> --
> Τάσος
>

More information about the grnog-members mailing list