[grnog] RPKI: Forthnet started dropping invalids

Fri Jan 31 14:22:29 CET 2020

Καλησπέρα Δημήτρη,

Dimitris Kalogeras wrote on 31/1/2020 12:08:
> Καλημέρα Τάσο,
>
>
> Υπάρχει κάτι σαν AS aggregation (per Destination AS) της invalid
> κίνησης αλλα netflowv8;
>

Δεν έχω κάτι υπόψην. Ποιο πιθανό όμως το βλέπω κάποια στιγμή να
προσθέσουν κάτι στο IPFIX.
Πάντως pmacct & kentik υποστηρίζουν μετρήσεις για το RPKI status.

> Χαιρετισμούς
> Δημήτρης
>>> On a side note, εκτιμώ πως σύντομα θα έχουμε
>>> νεότερα για το συγκεκριμένο και για
>>> τους route servers του GR-IX.
>>>
>>> Χαιρετισμούς,
>>> Μιχάλης
>>
>> Ξεκινήσαμε με περίπου 1% (της συνολικής
>> κίνησης) πριν από ένα χρόνο, αλλά τους
>> τελευταίους μήνες αυτό το νούμερο
>> είχε πέσει στο 0,2% (με κάποια peaks στο 0,4%).
>>
>> Antonios Chariton (daknob) wrote on 30/1/20 11:13:
>>
>>> Συγχαρητήρια, και ελπίζω να πάει
>>> καλά το όλο εγχείρημα! Αν υπάρχουν
>>> ιστορίες και προβλήματα με το πως τα
>>> λύσατε, θα ήταν ένα ενδιαφέρον post εδώ,
>>> ή μια ομιλία στο GRNOG.. Αν κατάλαβα καλά
>>> βέβαια δεν το κάνετε σε πελάτες σας
>>> ακόμα, που εκεί υπάρχουν συνήθως τα
>>> περισσότερα προβλήματα, σωστά;
>>
>> Σε πελάτες δεν το κάνουμε για την ώρα,
>> αλλά γιατί να υπάρχουν εκεί τα
>> περισσότερα προβλήματα; Βλέπω ένα
>> technical challenge για τα blackholing /32, αλλά
>> εξετάζουμε και εκεί εναλλακτικές.
>> Πάντως δεν είναι αυτή η προτεραιότητά
>> μας, γιατί γενικά σε πελάτες
>> εφαρμόζεται πολύ πιο αυστηρό filtering,
>> οπότε η χρησιμότητα του origin validation
>> μειώνεται.
>>
>>>> On 30 Jan 2020, at 10:38, Tassos Chatzithomaoglou
>>>> <achatz at forthnet.gr> wrote:
>>>
>>>>  Καλημέρα σε όλους,
>>>>
>>>> Θα ήθελα να ενημερώσω ότι εδώ και
>>>> αρκετές μέρες η Forthnet έχει αρχίσει
>>>> δοκιμαστικά να κάνει drop τα invalid prefixes
>>>> σε όλες τις peering/transit διασυνδέσεις με
>>>> το εξωτερικό, όπως και σε όλα τα peerings
>>>> με ελληνικούς παρόχους.
>>>>
>>>> Έχοντας παρακολουθήσει για
>>>> αρκετούς μήνες την κίνηση των invalid
>>>> prefixes και κάνοντας διάφορους
>>>> πειραματισμούς με την δρομολόγηση
>>>> αυτών, αποφασίσαμε (αφού έχουμε και
>>>> τη δυνατότητα άμεσης διόρθωσης
>>>> πιθανών προβλημάτων), ότι έφτασε η
>>>> στιγμή να μεταβούμε στο επόμενο
>>>> στάδιο, δηλαδή να μπλοκάρουμε εντός
>>>> δικτύου Forthnet την
>>>> ανακοίνωση/δρομολόγηση των prefixes που
>>>> έχουν χαρακτηριστεί σαν invalid στο
>>>> οικοσύστημα του RPKI.
>>>>
>>>> Επίσης στα πλαίσια των παραπάνω
>>>> ενεργειών παρατηρήσαμε ότι τον
>>>> τελευταίο καιρό έχουν αρχίσει να
>>>> αυξάνονται τα invalid prefixes για λόγους
>>>> testing (ο κάθε πάροχος φτιάχνει και από
>>>> ένα?), κάτι που ενδέχεται να
>>>> δημιουργήσει εσφαλμένα
>>>> συμπεράσματα στο μέλλον. Ίσως τα
>>>> συγκεκριμένα θα έπρεπε να έχουν
>>>> κάποιο ακόμα χαρακτηριστικό.
>>>>
>>>> Και τώρα περιμένουμε κάποιος
>>>> επιτήδειος να εκμεταλλευτεί το όλο
>>>> σύστημα του RPKI και να "δημιουργήσει"
>>>> τεχνητά invalids, έτσι ώστε να πέσει
>>>> μέρος του internet ή ακόμα και ολόκληρο
>>>> το internet. 8-):-P
>>>
>>> Καταλάβατε το σατανικό μου σχέδιο.. :P
>>>
>>>> -- 
>>>> Τάσος
>