The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Утечка BGP-маршрутов привела к массовому нарушению связности в интернете

25.06.2019 09:41

Компания Cloudflare опубликовала отчёт о вчерашнем инциденте, в результате которого на протяжении трёх часов с 13:34 до 16:26 (MSK) наблюдались проблемы с доступом ко многим ресурсам в глобальной сети, включая инфраструктуру Cloudflare, Facebook, Akamai, Apple, Linode и Amazon AWS. Проблемы в инфраструктуре Cloudflare, которая предоставляет CDN для 16 млн сайтов, наблюдались с 14:02 до 16:02 (MSK). По оценке Cloudflare во время сбоя фиксировалась потеря приблизительно 15% глобального трафика.

Проблема была вызвана утечкой маршрутов через BGP, в ходе которой около 20 тысяч префиксов для 2400 сетей были некорректно перенаправлены. Источником утечки был провайдер DQE Communications, который использовал ПО BGP Optimizer для оптимизации маршрутизации. BGP Optimizer разбивает IP-префиксы на более мелкие, например, разделяет 104.20.0.0/20 на 104.20.0.0/21 и 104.20.8.0/21, и, как следствие, DQE Communications держал на своей стороне большое число специфичных маршрутов, переопределяющих более общие маршруты (т.е. вместо общих маршрутов к Cloudflare использовались более гранулированные маршруты к конкретным подсетям Cloudflare).

Данные точечные маршруты были анонсированы одному из клиентов (Allegheny Technologies, AS396531), который также имел подключение через ещё одного провайдера. Allegheny Technologies транслировал полученные маршруты другому транзитному провайдеру (Verizon, AS701). Из-за отсутствия надлежащей фильтрации BGP-анонсов и ограничения на число префиксов, Verizon подхватил данный анонс и транслировал полученные 20 тысяч префиксов для остального интернета. Некорректные префиксы из-за своей гранулированности были восприняты как более приоритетные так как конкретный маршрут имеет более высокий приоритет, чем общий.

В итоге, трафик для многих крупных сетей стал направляться через Verizon к мелкому провайдеру DQE Communications, не способному обработать нахлынувший поток, что привело к коллапсу (эффект сравним с тем, как если бы часть нагруженной автострады заменили на просёлочную дорогу).

Для предотвращения возникновение подобных инцидентов в будущем рекомендовано:

  • Использовать верификацию анонсов на основе RPKI (BGP Origin Validation, разрешает приём анонсов только от владельцев сети);
  • Ограничить максимальное число принимаемых префиксов для всех сеансов EBGP (настройка maximum-prefix помогла бы сразу отбросить передачу 20 тысяч префиксов в рамках одного сеанса);
  • Применять фильтрацию на основе реестра IRR (Internet Routing Registry, определяет AS через которые допустима маршрутизация заданных префиксов);
  • Использовать на маршрутизаторах рекомендуемые в RFC 8212 настройки для блокировки по умолчанию ('default deny');
  • Прекратить необдуманное использование оптимизаторов BGP.


  1. Главная ссылка к новости (https://blog.cloudflare.com/ho...)
  2. OpenNews: Ошибочный BGP-анонс на 74 минуты нарушил связность сетей Google и Cloudflare
  3. OpenNews: Фишинг-атака на платёжную систему Trezor, вероятно проведённая с использованием BGP
  4. OpenNews: Зафиксирована попытка использования BGP для захвата трафика IP 1.1.1.1
  5. OpenNews: Для атаки на MyEtherWallet использовался захват DNS-сервиса Amazon при помощи BGP
  6. OpenNews: BGPsec получил статус предложенного стандарта
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: bgp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (93) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:24, 25/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Уже не первый раз улучшаторы запускают
     
     
  • 2.17, Поле Name (?), 11:20, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +32 +/
    One-click BGP Optimizer
     
     
  • 3.39, Аноним (39), 13:12, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Это который без СМС и регистраций?
     
     
  • 4.79, ПетровичЪ (?), 22:30, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет, этот из состава интсрументов ccleanera. Одмины чистили реестр на серваке, а потом решили за одно и БГП заоптимизировать. Но что-то пошло немного не так. После оптимизации сервак едва не разорвало напором снаружи.
     
  • 2.60, Аноним (60), 16:46, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Непонятно только, почему они три часа разбирались.

    1. Узнали, что откуда-то есть проблемы с доступом (например, в мониторинге упал трафик из определенных сетей),
    2. пустили trace с обоих концов,
    3. увидели какой-то DQE по пути (или что где-то там теряется trace),
    4. посмотрели на своем конце и в Looking Glass на другом маршруты,
    5. увидели /21 вместо /20 в анонсах,
    6. убрали анонсы в DQE (пусть сначала разберутся со своей черной магией, в результате которой связность теряется).
    7. profit!!!

     
     
  • 3.65, dAnonym (?), 17:10, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Судя по твоим уверенным инструкциям, ты очень большой специалистЪ.
    Наверняка работаешь в очень крупной компании главным техническим директором.
    Правда, жалко, что не в Гугль и не в Клаудфларе, иначе ты бы им быстро всё починил, ни кто б и глазом моргнуть не успел.
    Наверное, ты в Фейсбуке или Майкрософте? Или в Алибабе?
     
     
  • 4.72, macfaq (?), 19:54, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Сейчас бы компетентность должностями в Крупных (тм) Компаниях мерять.
     
  • 4.84, RHEL Fan (?), 09:08, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Судя по тому, что Verizon анонсы не фильтрует, в крупных компаниях еще те "специалисты" работают.
     
  • 3.77, ad3pt (ok), 22:22, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    У них в посту есть, что они долго пытались достучаться и до Verizon (так и не достучались), и до DQE Communications (эти ответили довольнро быстро). В целом, их вывод - не будб как Verizon
     
  • 3.91, Аноним (91), 02:11, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это только задним числом всё просто.
     

  • 1.2, Groosha (?), 10:25, 25/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Умные люди, расскажите кратко (или киньте ссылки), почему несмотря на проблемы BGP, ничего лучше ещё не используется?
     
     
  • 2.6, Аноним (6), 10:42, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так исторически сложилось
     
  • 2.7, пох. (?), 10:47, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    потому что вы не написали, и не напишете.

    А "проблемы в bgp" не стоят выеденного яйца - просто админам веризона (если еще они админы - веризона, а не индийского аутсорсер-ашрама) не принято платить денег - зачем, их же кормят раз в неделю, и даже бьют не очень сильно.

    поэтому им вовсе необязательно уметь настраивать bgp, а даже если и умеют - заморачиваться какими-то сложностями.

     
     
  • 3.52, Аноним (52), 16:20, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > потому что вы не написали, и не напишете.

    То есть мы должны писать, чтобы крупные корпорации потом на этом деньги делали?

    > <...> дальше идёт какой-то бред не по теме

     
  • 2.25, Аноним (25), 11:51, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Ты когда-нибудь занимался выпиливанием какого-нибудь легаси барахла? Вот представь себе то же самое в планетарных масштабах. Никто даже не берётся, потому что это нереально. Можно только добавить костылей, чтобы стало чуть-чуть надёжнее, и то растянется на десятилетия.
     
     
  • 3.46, JL2001 (ok), 15:04, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Ты когда-нибудь занимался выпиливанием какого-нибудь легаси барахла? Вот представь себе
    > то же самое в планетарных масштабах. Никто даже не берётся, потому
    > что это нереально. Можно только добавить костылей, чтобы стало чуть-чуть надёжнее,
    > и то растянется на десятилетия.

    //оффтоп
    эх, а коммунизм в ссср выпилили моментально
    может просто нужно чтоб кому-то было нужно выпилить легаси?

     
     
  • 4.51, Аноним (25), 16:11, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > коммунизм в ссср выпилили моментально

    Как можно было выпилить то, чего не было? Даже формально то, что было, именовалось социализмом.

     
     
  • 5.63, Аноним (63), 16:54, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Формально, открываем учебник истории 5-й класс. Находим тему "первобытно-общинный строй". Ищем слово "община" в словаре любого языка, производного от латыни. Бинго.
     
     
  • 6.66, ананим.orig (?), 17:48, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    О-о-о, батенька, вам из пещер ещё долго надо будет выбираться.
     
     
  • 7.86, Аноним (63), 09:15, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    — Змей Горыныч, выходи! Биться будем!
    — Биться, так биться! Только зачем в ухо орать?
     
     
  • 8.88, Аноним (88), 12:55, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не в ухо, а в задницу ... текст свёрнут, показать
     
     
  • 9.93, Аноним (63), 12:49, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Каждому своё ... текст свёрнут, показать
     
  • 4.81, gsdh (?), 23:47, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ссср никто не выпиливал, его форкнули и разделили, а потом долго-долго, очень долго переписывали, и 20 лет прошло и так и не переписали до конца, ни нормативку ничего.
     
     
  • 5.104, Jh (?), 13:30, 01/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    вполне переписали. то что раньше было для народа, сейчас для правящего класса - олигархов+чиновников. отлично видно по судебной практике - украл мешок картошки - реальный срок, украл миллиард - условка.
     
  • 3.47, Григорий Федорович Конин (?), 15:08, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    С init.d получилось же :)
     
     
  • 4.49, Andrey Mitrofanov_N0 (??), 15:21, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > С init.d получилось же :)

    Поцтеринга -- в кандидаты ^W в Сискоу!?
    Пусть сделает вам-нам BGP-NG.

    Ох, айбием такого специалиста не отпустит.  Придётся вам мучаться со http://esr.ibiblio.org/?p=8383
    старпёрами...  или кто там в сискоу.

     
     
  • 5.90, InuYasha (?), 22:20, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    МучИться.
    Твой ГН.
     
  • 4.50, Аноним (25), 16:08, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > С init.d получилось же

    Ну-ка, покажи свой ls /etc/init.d

     
     
  • 5.59, анонн (?), 16:45, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> С init.d получилось же
    > Ну-ка, покажи свой ls /etc/init.d

    % ls /etc/init.d                                                                
    ls: /etc/init.d: No such file or directory

    *ля, мужики, неужели ко мне поттеринг залез и все потер, а я и не заметил! 8-O

     
  • 4.53, Аноним (52), 16:23, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    $ ls /etc/init.d/
    agetty ...

    Не получилось. Да и uselessd до сих пор портянками пользуется для чего-то более сложного, чем запустить нормально написаный (тобишь по стандартам) демон. Но любители костылей до сих пор пишут портянки, вместо того, чтобы написать по стандартам и спать спокойно. Благо писать можно не только на баше, хоть на Си напиши.

     
  • 3.85, RHEL Fan (?), 09:13, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да, вот IPv4 полным ходом выпиливают...
     
  • 2.26, zanswer CCNA RS and S (?), 11:54, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    BGPv4/MP-BGP не имеет фатальных архитектурных проблем, чтобы возникла необходимость его упразднить и создать новый EGP.

    Проблема отчасти вызвана текущей архитектурой сети Интернет, отчасти непониманием принципов глобальной маршрутизации и traffic engineering, а иногда, и раздолбайством.

    Есть множество Best Current Practice о том, как принимать и объявлять информацию о достижимости префиксов, что фильтровать и почему. Какие настройки по умолчанию использовать, а какие избегать во избежание негативного влияния на глобальную маршрутизацию. Но кто бы их читал, эти IETF BCP, картинок то там нет. :)

     
     
  • 3.33, Fyjybv755 (?), 12:44, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Проблема отчасти вызвана текущей архитектурой сети Интернет

    Эта архитектура очень многих устраивает, потому что позволяет придерживать "врагов светлого будущего" клещами за яики. И при любой попытке что-то изменить начинаются вопли "изоляция, изоляция, чебурнет!!!1". И именно по этой же причине тот же Verizon никогда не будет фильтровать префиксы. Hijacking and blackholing - важные инструменты международной политики.

     
     
  • 4.67, ананим.orig (?), 17:51, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да ладно, акромя дойки эту корову никто никак не юзает
    http://www.cnews.ru/news/top/2019-06-24_v_rossii_navechno_zablokirovana_krupn
     
  • 4.87, Онанимус (?), 11:03, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Эта архитектура очень многих устраивает

    Дальше влажные фантазии.

     
  • 3.96, Аноним (96), 15:53, 28/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Сам факт наличия множества "Best Current Practice" говорит о наличии проблем.
    Если бы они содержали одну и ту же информацию, то множества просто бы не было.
     
     
  • 4.103, zanswer CCNA RS and S (?), 06:49, 30/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Наличие BCP указывает только на то, что сеть Интернет непрерывно развивается и B... текст свёрнут, показать
     
  • 2.29, YetAnotherOnanym (ok), 12:30, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    "Проблемы BGP" - в кривых руках админов и/или нежелании манагеров платить деньги. У тебя есть возможность в рабочее время что-нибудь читать для самообразования? А на семинар или курсы повышения квалификации тебя когда в последний раз отпукали? Я даже не говорю "направляли за деньги фирмы" - просто за свой счёт чему-то поучиться? Воооот. И "проблемы BGP" тут не при чём.
     
     
  • 3.42, пох. (?), 13:47, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > У тебя есть возможность в рабочее время что-нибудь читать для самообразования?

    погоди, он же ж написал в резюме - "отлично знаю BGP, OSPF, LSD и много других аббревиатур!"

    > А на семинар или курсы повышения квалификации тебя когда в последний
    > раз отпукали? Я даже не говорю "направляли за деньги фирмы" -

    а еще и деньги за это платить?

    > просто за свой счёт чему-то поучиться? Воооот. И "проблемы BGP" тут
    > не при чём.

    причем тут - таки нежелание работодателя платить нормальным специалистам (а не доучивающимся на курсах повышения квалификации прямо в процессе работы) и организовывать их работу как надо, а не как получится.

    А зачем? Клиенты веризоны от нее все равно никуда не денутся.


     
     
  • 4.62, Аноним (60), 16:49, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > погоди, он же ж написал в резюме - "отлично знаю BGP, OSPF, LSD и много других аббревиатур!"

    Знаешь анекдот про "Нееее, так ты слона не продашь!"

     
  • 4.100, Рамзес Ашотович (?), 02:06, 29/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А манагеры тоже много сказок в описании вакансии пишут
     
  • 3.57, mickvav (?), 16:39, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Тут скорее так - человечество многообразно и весьма свободно устроено (вцелом). Как следствие, даже если тебя отправляли учиться и у тебя везде подстелены самые что ни на есть, best practices, нет более-менее никакой гарантии, что у твоих контрагентов все настолько же идеально. Результат - то же самое, что с ПДД. Как бы хорошо ты водителей не учил и как бы идеально не строил дороги - все равно люди будут биться. Лучшее, что можно с этим сделать - уменьшить вероятность.
    Так и живем...
     
     
  • 4.73, Аноним (73), 20:38, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Верить в наше время нельзя никому, включая контрагентов, это ещё папаша Мюллер говаривал.
     
  • 4.74, Аноним (74), 20:40, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Результат - то же самое, что с ПДД. Как бы хорошо ты водителей не
    > учил и как бы идеально не строил дороги - все равно люди будут биться.

    Однако некоторая (раз так в 5-8) закономерность между количеством (и жертвами) ДТП и возможностью "купить права" и "откупиться" за нарушение у гаишника - прослеживается.

     
  • 2.38, Аноним (38), 13:04, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Та же причина, что и с ipv6
     
     
  • 3.71, Y (??), 19:53, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Немного более IRL примеры: несмотря на то, что всем будет удобнее, никто глобально не перестраивается на лево/правосторонее движение, и не переводит электросети на 50/60 Гц.
     
  • 2.68, anonymous (??), 18:06, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    За 40 лет использования IP столько косяков и узких мест повылазило, что давно уже пора протокол сменить полностью, и архитектуру, и реализацию. Да только мечты это. Слишком большой объём накопленных устройств. Переделать весь интернет никто не потянет.
     
  • 2.101, Олег (??), 17:23, 29/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > почему несмотря на проблемы BGP, ничего лучше ещё не используется?

    Аха. И какие проблемы у BGP в свете данной новости, поведуйте нам? Ну, кроме кривых рук тех, кто его использует.

    Давайте перепишем apache, nginx, sshd и ещё кучу всего, чего можно криво настроить.

     
  • 2.102, Олег (??), 17:29, 29/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > почему несмотря на проблемы BGP, ничего лучше ещё не используется?

    Потому, что у нет проблем, которые ты придумал.

    Невозможно изобрести молоток,  который бы был прост и удобен в использовании, выполняя свою основную задачу, и при этом по пальцам не попадал.

     

  • 1.3, эксперт по всему (?), 10:27, 25/06/2019 Скрыто [﹢﹢﹢] [ · · · ]
  • –23 +/
     
     
  • 2.5, Алексе (?), 10:33, 25/06/2019 Скрыто
  • –4 +/
     
     
  • 3.9, Аноним (9), 10:50, 25/06/2019 Скрыто
  • +6 +/
     
  • 2.8, iCat (ok), 10:50, 25/06/2019 Скрыто
  • –1 +/
     
     
  • 3.15, тоже Аноним (ok), 11:05, 25/06/2019 Скрыто
  • +10 +/
     
  • 3.20, ананим.orig (?), 11:33, 25/06/2019 Скрыто
  • +1 +/
     
  • 2.11, mickvav (?), 10:56, 25/06/2019 Скрыто
  • +1 +/
     
     
  • 3.21, ананим.orig (?), 11:37, 25/06/2019 Скрыто
  • +/
     
  • 2.14, РосКомНадзор (?), 11:04, 25/06/2019 Скрыто
  • +1 +/
     

     ....нить свёрнута, показать (8)

  • 1.4, Аноним (4), 10:29, 25/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вчера столкнулись с этим. Из РФ ресурсы были доступны, но из-под aws уже нет. Облакам немного поплохело.
     
  • 1.10, Аноним (10), 10:51, 25/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    DQE - Decontamination Quick And Easy - "быстрая дезактивация"
     
  • 1.12, Нанобот (ok), 10:58, 25/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Для предотвращения возникновение подобных инцидентов в будущем рекомендовано

    иными словами, никто ничего делать не будет

     
  • 1.13, IdeaFix (ok), 10:59, 25/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    А помните, как говорили что интернет очень крепкий?:) Что если вырубить все корневые ДНС, то никто не заметит пару суток ничего. Что всё резервируется и всё такое.

    По факту же, когда коллапс случается хоть на уровне города миллионника, хоть на уровне провайдера миллиардника, этффект один.

     
     
  • 2.18, адмирал третьего флота очевидно (?), 11:25, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    20% допустимые потери..
     
     
  • 3.19, Andrey Mitrofanov_N0 (??), 11:26, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > 20% допустимые потери..

    Проверено коллегой Жаровым?

     
  • 2.23, Аноним (23), 11:47, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    По факту ты пишешь про DNS в теме про BGP и тебе почему-то не стыдно.
     
     
  • 3.27, IbeaFlx (?), 11:55, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да какая разница, какие там три буквы?
     
  • 3.30, Fyjybv755 (?), 12:36, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > По факту ты пишешь про DNS в теме про BGP и тебе почему-то не стыдно.

    Вы каким местом его читали? Он вообще-то про теоретическую возможность отключения интернета независимо от используемого протокола.

     
     
  • 4.48, Аноним (48), 15:14, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А вы ловко увязали "теоретическую возможность отключения" и криво настроенное оборудование.
     
     
  • 5.75, Michael Shigorin (ok), 21:59, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И где он неправ?
     
  • 5.78, Аноним (78), 22:23, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А вы ловко увязали "теоретическую возможность
    >отключения" и криво настроенное оборудование.

    Нет, это просто враги тренируются уже отключить нам интернеты!

     
  • 2.54, Аноним (52), 16:25, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не знаю как там у кого, а у меня ничего не было. Всё работало. Хотя пользователи жаловались вчера на недоступность, но я ничего поделать не мог.
     

  • 1.16, Аноним (16), 11:12, 25/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    это точно :)
    Для предотвращения возникновение подобных инцидентов в будущем рекомендовано:
        Прекратить необдуманное использование оптимизаторов BGP.
     
     
  • 2.58, mickvav (?), 16:42, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Обдуманное тоже прекратить. На всякий пожарный ;)
     
  • 2.76, Michael Shigorin (ok), 22:00, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, прям так и читается сквозь эту последнюю строчку что-то неполиткорректно-BOFH-овское насчёт ламеров :]
     

  • 1.22, Андрей (??), 11:42, 25/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Недавно что-то такое было. Трафик некоторое время шёл через... Китай. И этот hijacking уже не в первый раз.

    https://arstechnica.com/information-technology/2019/06/bgp-mishap-sends-europe

     
     
  • 2.24, Аноним (23), 11:51, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Недавно что-то такое было.

    Вася Пупкин ошибся с настройкой маршрутизации на маршрутизаторе, удивительно!

     
     
  • 3.34, Fyjybv755 (?), 12:47, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если бы он шел через Америку или любую из стран АМЛАГа - да. А вот через Китай... очевидно, что узкоглазые нелюди что-то замышляют! Хотят весь мир посадить за свой фаервол! И подглядывать, что _ты_ делал в ванной, Аноним!
     
     
  • 4.55, Аноним (52), 16:27, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я хоть и частично согласен, всё же спешу разочаровать. Один конкретный человек никому не интересен. Толпа людей это уже информация. И её ещё как используют (и продают), иначе бы всякие Гуглы не были такими успешными.
     

  • 1.28, Айран (?), 12:19, 25/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    я не могу найти время почитать и понять что такое ipv6  и как оно работает, а тут какая-то суета вокруг [s]дивана[/s] BGP. Шаманские технологии
     
  • 1.31, Fyjybv755 (?), 12:38, 25/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > Для предотвращения возникновение подобных инцидентов в будущем рекомендовано:
    > Использовать верификацию анонсов на основе RPKI (BGP Origin Validation, разрешает приём анонсов только от владельцев сети);

    Этого точно делать никто не будет (по крайней мере, провайдеры западных стран). Иначе пропадает возможность kill switch для неугодных стран, типа Китая и России.

     
     
  • 2.64, mickvav (?), 16:56, 25/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    kill switch этот весьма мнимый. Ну представьте, вы - какая-нибудь Telia, вас поставили ФБР-овцы к стенке и вы начали анонсировать more specific prefixes для чужих AS. Ну, к примеру, российских.
    Что дальше будет? На какое-то время российский трафик польется через вас и ФБР сможет в него посмотреть или вы можете его подропать. В этом месте у вас забются каналы и стыки со всем на свете и финансовые показатели шустро так пойдут вниз (с клиентами-то у вас SLA, и резервировать десятикратно все стыки вам инвесторы не дадут).
    Ну ок, пусть у вас хватило дырок, дальше что? Каналы зарубеж у провайдеров в РФ дорогие и не резиновые (сюрприз!) и где-то через полдня это-вот-все будут решать уже более-менее все сетевые инженеры, которых менеджмент большой тройки и примкнувшего к ним ростелика сможет разбудить. Весьма вероятно, что ответом будет анонс /24 префиксов их хозяевами. Выхлоп - весь внутрироссийский трафик обратно замкнется на внутрироссийских IX-ах, общий full view загажен тоннами /24, ваши финансовые показатели в ...., эффект не достигнут.

    Друго дело, что прецизионные чудеса - слить конкретный узкий префикс под конкретную задачу - гораздо более вероятная конспирологическая теория, и ребята из qrator labs регулярно ловят такого рода фокусы в исполнении разнообразных, гхм, операторов.

     
  • 2.89, минона (?), 19:27, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    www.manrs.org
     

  • 1.32, Аноним (32), 12:44, 25/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Никогда такого не было, и вот опять
     
  • 1.40, arisu (ok), 13:36, 25/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    забыли ещё одну необходимую меру: «…прекратить использование cloudflare».
     
  • 1.69, grsec (ok), 19:07, 25/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Из-за отсутствия надлежащей фильтрации BGP-анонсов и ограничения на число префиксов, Verizon подхватил данный анонс и транслировал полученные 20 тысяч префиксов для остального интернета.

    А остальной интернет из-за отстутствия всё той же фильтрации подхватил...

     
  • 1.82, Аноним (82), 01:18, 26/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    IPv6 по всей видимости никогда не придет в этот мир.
     
     
  • 2.97, Аноним (96), 15:57, 28/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Авторам Serial Experiments Lain это было очевидно ещё до внедрения IPv6.
     

  • 1.83, vantoo (ok), 04:57, 26/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зачем платить квалифицированному админу, если можно купить BGP Optimizer и управлять BGP всего несколькими кликами мыши через вебку?
     
     
  • 2.92, Анимайзер (?), 12:49, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > можно купить BGP Optimizer и управлять BGP всего несколькими кликами мыши через вебку

    Купи BGP Ddoser, клик, клик и почувствуй себя блекхэт хакером мирового уровня! А тут ещё некоторые говорят, что BGP супер протокол и альтернативы не нужны, никто не сможет написать, дорого, долго внедрять...Ну-ну, ждите дальше, пока опять не выстрелит...

     
     
  • 3.95, zanswer CCNA RS and S (?), 11:13, 28/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что по вашему мнению необходимо изменить в новом EGP, что не возможно реализовать в рамках BGP?
     

  • 1.94, FSA (??), 18:24, 27/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так вот ты какой суверенный защищённый интернет!!!
     
     
  • 2.99, Аноним (-), 01:55, 29/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В защищенном СОРМ в каждом провайдере с удаленкой с Лубянки
     

  • 1.98, Аноним (-), 01:54, 29/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Провайдером не толстый очкастый узбек владеет?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру