Сервис BGPMon зафиксировал (https://bgpstream.com/event/138295) попытку подстановки фиктивного BGP-маршрута для перенаправления трафика подсети 1.1.1.0/24, в которой находится созданный компанией Cloudflare общедоступный DNS-сервер с поддержкой "DNS over TLS". Трафик был направлен в автономную систему 58879 (https://bgpview.io/asn/55994), анонсировавшую префикс 1.1.1.0/24 для своей сети.
Сеть принадлежит китайскому провайдеру AnchNet (Shanghai Anchang Network Security Technology Co.,Ltd.).
Судя по сведениям (https://news.ycombinator.com/item?id=17179484) одного из клиентов AnchNet, данная компания прокомментировала инцидент ошибкой при тестировании оборудования - администраторы использовали 1.1.1.0/24 в качестве тестового префикса, не предполагая, что эта подсеть принадлежит CloudFlare и используется для одного из крупнейших публичных DNS-сервисов.
Некоторые участники обсуждения не верят (https://news.ycombinator.com/item?id=17179561) подобному объяснению (маловероятно, чтобы администратор крупного ISP совершил столь грубую ошибку при выборе адреса для тестирования) и считают, что инцидент является следствием оплошности при попытке организации перехвата трафика 1.1.1.1 на территории Китая в рамках деятельности "Великого китайского файрвола (https://ru.wikipedia.org/wiki/%D0%97%D0%....URL: https://news.ycombinator.com/item?id=17178905
Новость: https://www.opennet.me/opennews/art.shtml?num=48679
Сделано в китайцами, или взроблено, версия с рукой тоже
> автономную систему 58879, анонсировавшую префикс 1.1.1.0/24 для своей сети. Сеть принадлежит китайскому провайдеру AnchNet (Shanghai Anchang Network Security Technology Co.,Ltd.).Отобрать AS теперь надо у этих китайцев, чтоб другим неповадно было. Экспериментаторы, блин.
AS58879
Country: CN
Registration Date: 2013-03-22
Registrar: apnic
Owner: ANCHNET Shanghai Anchang Network Security Technology Co.,Ltd., CNДа, пожалуй лишить на год-другой, пусть за натом посидят. Лучше учиться будут.
Лушче бы отобрать у тех, кто BGP-анонсы не фильтрует. Но тогда в мире 3,5 AS останется, остальные за NAT поедут.
Не знали, а проверить?
Сделано в Китае, сделано с умом )
>администраторы использовали 1.1.1.0/24 в качестве тестового префикса, не предполагая, что эта подсеть принадлежит CloudFlare и используется для одного из крупнейших публичных DNS-сервисов.вся суть эникейщиков, нанятых из-за кошмарного кадрового голода
увы, нет в этой области никакого "кадрового голода", есть стойкое нежелание работодателей платить нормальные зарплаты инженерам.Нате вам, реальность, данная нам в виде документа: компания очень-плохая-дорога ищет в default city (нет, не Пекин) инженера уровня CCIE/HCIE _со_знанием_китайского_языка_ (на уровне "как-то уметь понять разговорную речь", а не кое-как прочесть документацию). На жестко фиксированную зарплату, 80000 не долларов (спасибо что не йен)
Как думаете, найдет?
Вот и мне кажется, что человек с разговорным китайским и умом и талантом, позволяющим претендовать на ccie, найдет себе работу раз в десять более высокооплачиваемую - но, вероятно, ему придется искать ее в смежных отраслях, а настраивать маршрутизаторы он в этой жизни уже не будет.
Не преувеличивай, ccie и прочие собачкины медальки это всего лишь знания, которые наживаются тем или иным способом, а решить, что анонсировать что попало в бгп можно только будучи слабоумным, просто зазубрив ответы для экзамена. Кстати, вся история может быть жалкой выдумкой для прикрытия неведомой нам операции китайского рейхскомпозора.
> Не преувеличивай, ccie и прочие собачкины медальки это всего лишь знания, которые наживаются
> тем или иным способомнет. Это умения (+теоретические знания, но это отдельно и там можно зазубрить). Восемь часов наедине со сложной сетью, в которой есть пачка проблем (найти причины и точное место - твоя задача), и другая пачка, побольше - "надо сделать", чеклист в руках, вперед. Сеть реальная, из настоящего железа. А, да - гугль во время тестов недоступен.
Желаю тебе успехов тут что-то "просто зазубрить".Циска вот утверждает, что сдать может только человек с реальным опытом строительства/эксплуатации аналогичных сложных сетей - и не обязательно с первой попытки. Многие (с реальным опытом) фейлят и вторую тоже. Нынче уже $1,600 USD per attempt, между прочим.
отличный промежуточный шажок к "стабильной зарплате" в восемьдесят килорублей, не правда ли (если ты еще умеешь сносно говорить по-кошачьи)?
Это, для непонявших, ведущая китайская компания на рынке телекоммуникационного железа такое на полном серьезе предлагает, видимо, расстраиваясь, что никак не попадается адекватный кандидат. Угадаешь, что там происходит в самом китае и у третьесортного китайтелекома?
Впрочем, китай в этом плане ничем от эрефиии не отличается, полагаю, что изрядная часть штатовских сетей уже тоже давно обслуживается индусскими "специалистами", с умением "грамотно подать резюме".
Never attribute to malice that which is adequately explained by stupidity.
>[оверквотинг удален]
> нет. Это умения (+теоретические знания, но это отдельно и там можно зазубрить).
> Восемь часов наедине со сложной сетью, в которой есть пачка проблем
> (найти причины и точное место - твоя задача), и другая пачка,
> побольше - "надо сделать", чеклист в руках, вперед. Сеть реальная, из
> настоящего железа. А, да - гугль во время тестов недоступен.
> Желаю тебе успехов тут что-то "просто зазубрить".
> Циска вот утверждает, что сдать может только человек с реальным опытом строительства/эксплуатации
> аналогичных сложных сетей - и не обязательно с первой попытки. Многие
> (с реальным опытом) фейлят и вторую тоже. Нынче уже $1,600 USD
> per attempt, между прочим.Цискины экзамены большая часть людей сдаёт по дампам. Практический экзамен тоже дампится, только иначе (узнаются все варианты лабы и отрабатываются до посинения). Для меня давно CCIE значит примерно ничего - у всех знакомых пресейлов, даже путающих IGP и EGP он есть. Из экзаменов реально котируется JNCIE, на него дампы найти куда сложнее и там обычно люди всерьёз готовятся.
В Нидерланды они тоже с дампами ездили?
> В Нидерланды они тоже с дампами ездили?Сами дампы никуда везти не надо, из зазубривают до экзамена и сдают без понимания. Как и лабу, поскольку их обычно всего 3-4 варианта и их сливают.
> А, да - гугль во время тестов недоступен.А компутер дадут? Или только А4 из вторсырья? А на круглый люк посадят? А со сферическим конём переговариваться можно будет по рации?
>> А, да - гугль во время тестов недоступен.
> А компутер дадут? Или только А4 из вторсырья? А на круглый люкдадут ("только A4" будет перед этим, written test - этот просто чтоб не тратить на тебя электричество, если заведомо ничего не можешь), но там сеть только та самая - которую тебе настраивать надо (точнее, даже не она, а доступ к ее консолям). Мобилы, ноуты - оставляешь дома, "камера хранения не предусмотрена", деньги не возвращают.
раньше давали еще "univer cd" (без поиска ;-) но, в виду его феерической бесполезности в XXI веке, сейчас, похоже, и этого не дают. '?' в cli доступен, поскольку железки-то настоящие, но надо ж знать, чего '?'... Да и времени, на самом деле, не будет.
> посадят? А со сферическим конём переговариваться можно будет по рации?
как на любом экзамене - поймают - досвидос без права апелляции.
Какой ты нахрен "эксперт", если без гугля и рации сеть настроить не можешь? :-)А что, захотелось попробовать? ;-) Там все честно - никакого "сдайте сперва экзамен на младшего помощника старшего протиральщика полок, потом поапгрейдите до второго заместителя" и т д на десять лет, нужны только бабки.
Индусы сдают. Ну, не все, и даже не каждый пятый, и не с первого раза.
Пользы вот только на нынешнем рынке труда от этого - никакой.
да лана, всюду видеть злой умысел. Китайцу досталась цискина методичка первого издания. Что в ней означают буквы и цифры, он своим изможденным разгадыванием графических ребусов мозгом ниасилил, тупо скопировал текст со страницы, надеясь, что волшебным образом это настроит ему bgp.Еще лет семь назад, помнится, кто-то из 1st tier публиковал статистику (тогда - не используемых и не анонсируемых никем) потоков мусора на 1.1.1.1 и 2.2.2.2 - выглядело довольно смешно.
цискины индусы, кстати, по сей день не научились использовать в своей документации example network или хотя бы private диапазоны по назначению.
Подтверждаю. Из-за некоторого железа, включая циски, 1.1.1.1 до сих пор у некоторых не работает по всему миру, т.к. там captive portal и прочая фигня. Остаётся только второй вариант, 1.0.0.1.
то есть вопрос не к профессионализму китайца, а к профессионализму желающих всех осчастливить "dns-over-shitls".Любой человек, листавший когда-то на заре карьеры книжку Халлаби, должен был немедленно дать по рукам изобретателю этой идеи с "красивым адресом". (в Гугле, кстати, таких человек есть - furry там далеко не единственная, а она эту книжку точно читала, поэтому они и выбрали себе адреса, никем и никогда не использовавшиеся не по назначению)
С куяли по рукам автору идеи с красивым адресом? Это в цисковских книжонках использовали адреса которые не имели право использовать. Это авторов этих цисковских книжонок нужно бить по яйцам.
> С куяли по рукам автору идеи с красивым адресом?потому что дурак - он. Мир не устроен идеально, и отличие "я щас все найду в гугле" от грамотного инженера как раз в том, что инженер должен знать/соображать, на личном опыте, чего делать нельзя, хотя это нигде не написано. Но, как уже говорено, инженерам сейчас модно платить три копейки, поэтому имеем вот таких. Одни копипастят без понимания, другие не в курсе о том, что копипастят первые и что это явление стало массовым.
> Это в цисковских книжонках использовали адреса которые не имели право использовать.
я имею право писать на (своем, заметим, собственном) заборе абсолютно любые адреса, даже из трех букв. Что ты примешь это как руководство к действию - я могу и не предвидеть.
> Это авторов этих цисковских книжонок нужно бить по яйцам.
а, ню-ню...
Сила китайцев! а это они еще даже не злые...
> Сила китайцев! а это они еще даже не злые...Им можно. Они кстати еще переодически сканируют весь инет (причем все порты) на наличие vpn серверов. Не знаю, в курсе ли педиковатые админы, но бородатые кто предоставляет vpn службы за деньги про это точно знать должны.
У них "Золотой щит", думай, зачем сканируют.
Ну так же ж есть поддержка "DNS over TLS". Вот и нужно ее использовать
По дефалту на клиенте и без лишних заморочек, но как?
не нужно использовать паблик днс, как все супер мега админы делают, забивая 8.8.8.8/1.1.1.1 везде где попало, настройте свой днс второго уровня смотрящий в корневые зоны, с верификацией если потдерживаетса.
Не нужно думать, что OpenDNS не взломают и вас не начнут наебывать
> настройте свой днс второго уровня смотрящий в корневые зоны, с верификацией если потдерживаетса.Конгениально. Как же все до этого раньше не додумались.
(вообще-то "нет", запросы на корневые могут, блин, обслудиваться много дольше, чем выбор правильных серверов для forward-инга)
Да плевать - у тебя закэшируются. Зато будешь использовать нормальную отработанную схему, а не работать подопытным кроликом не понять у кого.
> Да плевать - у тебя закэшируются.Да это-то понятно.
Но вообще, It's depend. Я делал и так, и эдак. И переключал тоже.
В одном случе лучше так, в другом - через правильно выбранных форвардеров.
И от внешних каналов зависит, и от многих других факторов.
>> Да плевать - у тебя закэшируются.
> Да это-то понятно.
> Но вообще, It's depend. Я делал и так, и эдак. И переключалПравильно будет «It depends».
> тоже.
> В одном случе лучше так, в другом - через правильно выбранных форвардеров.
> И от внешних каналов зависит, и от многих других факторов.Зависит от прямоты рук. Форвардер работает так быстро потому, что уже всё закэшировал, а не потому, что у него какие-то волшебные каналы.
> Правильно будет «It depends».Да, это я лажанулся. Это, как оказалось, часто встречающаяся ошибка.
> Зависит от прямоты рук.Да руки-то тут причём. И то, и другое настраивается в пол тыка.
> Форвардер работает так быстро потому, что уже всё закэшировал, а не потому, что у него какие-то волшебные каналы.Ну это-то нифига не однозначно. Разные форвардеры ведь бывают.
А скорость ответов можно сравнить и на несуществующих доменах.
берём dnscrypt, настраиваем три экземпляра с рандомной ротацией (желательно — сервера из разных пулов), проверяем совпадение ответов. более-менее защитит от ошибок конфигурирования пулов, а больше с централизованой системой всё равно не сделаешь.
Может был расчёт на то что браузер не ругается на плохой сертификат в днс?
Это какой браузер по умолчанию подписанный ДНС использует?
Страдать ещё лет 10, как до сих пор страдают хомячки с telnet по умолчанию на железках
Кто покупает роутеры с алиэкспреса сами в этом виноваты. В нормальном оборудовании telnet не светит своей жопой в интернет.
Достаточно если он светит своей жопой браузеру, который работает изнутре и лазает наружу, остальное дело техники.
Смотря о чём вы. Вообще в браузерах сейчас поддержки нет, кроме лисы (где пока надо вручную включать, в 60 ещё с багами, в 61 уже нормально). И в этом случае днс дело ОСи.
Из ОСей движуха пока слышна только в новом андроиде.Ответить могу по поводу лисы. Она не будет ругаться на сертификат, подобно сайту, конечно, но и работать митм-днс не будет, проверки там есть (иначе нафиг такое бесполезное шифрование?). В зависимости от выбранного режима, либо вообще днс не будет работать, со стандартной ошибкой, либо откатится на легаси-днс.
Я тоже раньше использовал адрес 1.1.1.1 для тестов, как адрес, который никогда не отвечает...Так что в злой умысел не верю
Почему не используете рекомендованые адреса для тестов каких точно нет в интернете?
потому что "рекомендации" iana были совершенно невнятны в этом месте - и не содержали ни четких объяснений, чьи это "тесты", ни гарантий, что их таки нет и никогда не будет в интернете (я вот предпочитал читать их как "это тесты - самой iana, и их могут поанонсить с тестовыми целями, использовать нельзя никому и ни для чего")
а вот 1.1.1.1/2.2.2.2 были во-первых точно известно что никому не принадлежащими, во-вторых, одобрены циской (вообразить себе идиота, платящего миллионы чтобы заполучить такой адрес, еще лет десять назад было невозможно)
> а вот 1.1.1.1/2.2.2.2 были во-первых точно известно что никому не принадлежащимиТочно никому не принадлежат только локальные адреса, а эти находятся в сегменте глобальных адресов. Если они не отвечают, не значит что они никому не принадлежат.
а для теста, сюрпрайз, иногда нужны нелокальные. Потому что далеко не всегда локальные дадут то, что нужно для тестирования бордера (где может быть acl, который исказит картину).правда, для моих тестов обычно достаточно просто routable - пофиг, отвечающих или нет, но у других инженеров могли быть и другие идеи.
Печально известный пример, более понятный местной публике, явно далекой от сетей - чудесный сайт www.ru, принимающий мегатонны icmp и high-port udp траффика. Феерически бесполезный для своих владельцев (попробуй всунуть рекламу - в icmp ;-) и обходящийся настолько дорого, что первоначальный его владелец даже продать не сумел, отдал тем, кто вообще согласился забрать.
Можно сколько угодно рассказывать, что он не предназначен для тестирования. Но если ты его купишь в надежде озолотиться (или размещать сведения государственной важности, или нечто общественно полезное там сделать) - ты такой же точно дурак, как "авторы" идеи с 1.1.1.1
Проще набирать на клавиатуре
Да тут вообще шах и мат. Либо КНР беспредельствует с BGP и им это сходит с рук. Либо их отключают от инета, а им только этого и надо: "это не наше правительство вас отключило, а зарубежные партнёры-варвары".BGP же особо и не заменишь: оно специально сделано на взаимодоверии и без него там никак, систему оперативно менять не получится, даже если переделать bgp на протокол с криптой, всё равно в доверие и злоупотребление им упрёмся.
Короче, самый оптимальный вариант - отключить контроллируемые КНР компании от интернета, а поставку инета в кнр возложить на компании вне юрисдикции КНР через спутник.
Завтра Украина с подачи США то же для рунета предложит. И будем жить двумя системами, ага, СССР-2.
> Да тут вообще шах и мат. Либо КНР беспредельствует с BGP иТакое происходит каждый день по всему миру — какие-то люди шлют каким-то другим людям чужие префиксы, богоны, 0/0 и тому подобное. Масштаб не тот, поэтому ты про это не слышишь никогда, да оно и понятно — кому интересны приключения /24 ISP c 3½ клиентами?
> BGP же особо и не заменишь: оно специально сделано на взаимодоверии и
> без него там никак, систему оперативно менять не получится, даже если
> переделать bgp на протокол с криптой, всё равно в доверие и
> злоупотребление им упрёмся.Нет. RFC8205.
> Короче, самый оптимальный вариант - отключить контроллируемые КНР компании от интернета,
> а поставку инета в кнр возложить на компании вне юрисдикции КНР
> через спутник.Самый оптимальный вариант — не нести чушь на опеннет.
> Такое происходит каждый день по всему миру — какие-то люди шлют каким-то другим
> людям чужие префиксы, богоны, 0/0 и тому подобное. Масштаб не тот,самое смешное, что хрен с ними, чужими префиксами - но ведь и 0/0 умудряются не только принять, но и дальше раздать. Или сотенку тыщ /32
Сейчас вот еще стало модно полный список роснадзоровых блокировок поанонсить от себя ;-)> Нет. RFC8205.
феерически мертворожденный.
Позаимствовали текст новости на хабре без указания источника https://habr.com/post/412659/
> Позаимствовали текст новости на хабре без указания источника https://habr.com/post/412659/К сожалению на хабре появление подобных статей не редкость. Это рерайт, а не голый копипаст, т.е. взяли статью с opennet, поменяли некоторые фразы в первых двух абзацах (на третий абзац видимо сил не хватило и оставили как есть) и добавили немного отсебятины под видом мнения эксперта. Пытаться добиться указания источника для таких переработок бесполезно, формально текст немного другой.
Было:"Судя по сведениям одного из клиентов AnchNet, данная компания прокомментировала инцидент ошибкой при тестировании оборудования - администраторы использовали 1.1.1.0/24 в качестве тестового префикса, не предполагая, что эта подсеть принадлежит CloudFlare и используется для одного из крупнейших публичных DNS-сервисов."
Стало:
"Один из AnchNet поделился информацией, что компания-провайдер объяснила инцидент ошибкой при тестировании оборудования — по их версии, администраторы использовали префикс 1.1.1.0/24 в качестве тестового, не предполагая, что эта подсеть принадлежит CloudFlare и используется для публичного DNS-сервисов."
Видомо успели отредактировать до полного удаления статьи. У меня было полное совпадение:"Некоторые участники обсуждения не верят подобному объяснению (маловероятно, чтобы администратор крупного ISP совершил столь грубую ошибку при выборе адреса для тестирования) и считают, что инцидент является следствием оплошности при попытке организации перехвата трафика 1.1.1.1 на территории Китая в рамках деятельности "Великого китайского файрвола"."
Кто знает практикуется ли контролируемый анонс одной и той же си в разных частях мира. Для благих целей?
https://ru.wikipedia.org/wiki/Anycast