Маршрутизация к нескольким миллионам IP-адресов Google вчера была нарушена (https://blog.thousandeyes.com/internet-vulnerability-takes-d.../) в результате ошибочного BGP-анонса, отправленного небольшим провайдером MainOne из Нигерии (AS 37282 (https://bgpview.io/asn/37282)). Данный провайдер анонсировал для своей автономной системы 212 префиксов (https://portal.bgpmon.net/data/google-leak-nov2018.txt) подсетей Google, после чего новый маршрут подхватил крупнейший китайский провайдер China Telecom (AS 4809 (https://bgpview.io/asn/4809)) и ретранслировал его для своих пиров, среди которых изменение приняли Транстелеком, NTT и многие другие транзитные провайдеры первого уровня (Tier 1).
В результате инцидента во многих регионах подсети Google оказались (https://twitter.com/bgpmon/status/1062130855072546816) недоступны в течение 74 минут. Проблема затронула IP-адреса большинства сервисов и облачной сети Google, а также коснулось многих сторонних сайтов, использующих Google Cloud Platform, в том числе Spotify. Инцидент также нарушил работоспособность внутренней сети Google, так как среди перенаправленных подсетей также фигурировали корпоративные IP-адреса и Google VPN.В этот же день следом за префиксами Google тот же нигерийский провайдер анонсировал (https://twitter.com/bgpmon/status/1062145172773818368) префиксы сетей Cloudflare, которые также были приняты China Telecom и переданы по цепочке пирам. Поступающий в результате ошибочного анонса трафик блокировался на одном из пограничных машрутизаторов China Telecom.
Представители Google и Cloudflare считают, что BGP-анонс был вызван ошибкой, а не злым умыслом или вредоносной активностью. Разбор показал, что после завершившейся несколько недель назад конференции провайдеров Нигерии, была предпринята попытка модернизации инфраструктуры и усиления прямой связности нигерийских провайдеров. Google и Cloudflare являются единственными крупными сетями, подключившимися к точке обмена трафиком нигерийских провайдеров (IXPN (http://ixp.net.ng/)). В процессе настройки прямого подключения к данной точке обмена трафиком мелким провайдером MainOne были допущены ошибки и некорректные данные о маршрутизации утекли в China Telecom, который, в свою очередь, анонсировал их своим пирам.
Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно (https://bgpmon.net/) и будут продолжаться, пока не будут внедрены методы авторизации (https://www.opennet.me/opennews/art.shtml?num=47303) BGP-анонсов. В вышеописанном инциденте часть вины лежит на провайдере China Telecom, который не используется в своей инфраструктуре какую-либо фильтрацию маршрутов и доверяет всем BGP-анонсам.На днях был опубликован отчёт (https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1...), в котором озвучены сведения о прошлых перенаправлениях трафика с использованием BGP, наблюдаемых в China Telecom с 2014 года. В том числе, один из похожих инцидентов, произошедший в 2015 году,
подтвердила (https://internetintel.oracle.com/blog-single.html?id=China+T...) компания Oracle.
Тем временем, компанией Cisco в Иране зафиксирована (https://blog.talosintelligence.com/2018/11/persian-stalker.html) попытка перехвата трафика Telegram и Instagram с использованием BGP. По данным исследователей попытки перехвата наблюдаются с 2017 года и направлены против приблизительно 40 млн иранских пользователей, которые продолжают пользоваться мессенджером Telegram, несмотря на его запрет в Иране. В ходе атаки для получения контроля за учётными записями пользователям выводились фиктивные страницы входа. Также выявлены попытки распространения вредоносного клона приложения Telegram, размещаемого на в официальных репозиториях, таких как Google Play.
URL: https://arstechnica.com/information-technology/2018/11/major.../
Новость: https://www.opennet.me/opennews/art.shtml?num=49603
Фильтров нету анонси что попало
ответственности нету, а не фильтров. При том что никаких "неизвестных хакеров" в bgp быть не может, и крайний всегда известен совершенно точно.если за такие фокусы нигры будут пол-года без интернета - они мгновенно и навсегда обучатся не подпускать рукожопов к оборудованию.
а фильтры "всего интернета" сводят весь смысл от bgp к #@ю.
Смотри,как бы омерика не осталась без интернетов(хотя ваши реднеки и не заметят). А гугль без пользователей.
Да,надутый сноб пох,давно потерявший профессиональную хватку,если омерика попытается нарушить межбанковские операции её экономику свернут в бараний рог.П.с Слышу от тебя очень много болтовни как все всё неправильно делают и ни одного совета как делать правильно(попытка потребовать за совет денег будет рассматриваться как -дство)
я извиняюсьлюдям, которые фантазируют про гугель без пользователей, "омереку" без интернета и со свернутой в бараний рог экономикой
давать советы
даже за деньги
даже за большие деньгиэто сочетание неприятного с бесполезным
Махнатка,не серчай,дай слово молвить.За нарушение межбанковского обмена правтельство омерики покарают собственно корпорации в ней и зарегистрированные.Хотя и европка подтянуться собирается.
> Махнатка,не серчай,дай слово молвить.За нарушение межбанковского обмена правтельство
> омерики покарают собственно корпорации в ней и зарегистрированные.Хотя и европка подтянуться
> собирается.передайте родителям, чтобы лучше следили за вашей посещаемостью в школе.
если б вы политинформацию в понедельник не прогуляли, вы бы знали, что неделю назад США именно что нарушили межбанковский обмен с Ираном, например, сделав SWIFT предложение, от которого они не смогли отказаться.
С ираном ничего не сделается,махнатка.За ним стоит Китай.И Франция собирается встать.Если бы у тебя не было телевизора,то ты бы это уже знал.П.с. Откуда у тебя такое неприятие и пренебрежение к школе и школьникам?Травили тебя там,или оценки плохие получал?
Гы... урок Пакистанской чёрной дыры для Ютьюба не всем пошёл впрок.
Да, со вчера на сегодня по Москве гугл лежал полностью: поиск, почта, ютуб
может это и к лучшему?
Ох уж эти нигерийцы. Вначале просто слали спам, теперь портят интернет.
В этом деле(испоганивании интернета)им до гугля далеко.
больше всего поганят Интернет боты продажные!
Ты в гугле работаешь? Если дато ты вообще конченый человек.Хотя скорее всего пострадал твой долбобизнес,мудро завязанный а гугль.
При чём тут нигерийцы? Просто в ООНе кто-то самый умный решил всех принудительно заинтернетить, а кадров нема, вот издержки и пошли...
Всего лишь один пакет вырубил Google на 74 минуты. Вот она -- крутизна! :)
Завидуешь?)
> мелким провайдером MainOneЛол. Какой маленький, но гордый провайдер со скромным и совсем не амбициозным названием.
у него ipv6-префиксов больше, чем у всех провайдеров моего города, вместе взятых. не такой он и маленький
Они что не знают, что ipv6 не взлетел?
> Они что не знают, что ipv6 не взлетел?Не взлетел, серьёзно? Ты статистику давно видел? :/
https://www.google.com/intl/en/ipv6/statistics.html
На графике равномерная ёлочка, подозрительное увеличение.
Не взлетел в Рашке? Да и то, чтобы лишний раз не нарываться на нагибы РКНа.
Он просто ненужен.айпив6 мертворожденное нечто.
Между прочим, в маленькой Нигерии населление выше, чем во всей РФ.
Россию "Нигерией в снегах" не просто так назвали. Примерно схожие показатели.
Маленький,но гордый.Поэтому кого хочет,того и выключает)
> крупнейший китайский провайдер China Telecom
> ошибочный анонсorly? /0
Подскажите несведущему, что мешает мне скрафтить BGP-пакет, подменив src, и отправить его в тот же China Telecom?
твоя несведущесть помешает тебе.сведущему помешает то, что подменить вообще крайне сложно без физического доступа к кабелю, да еще и сессионные пароли в bgp вполне себе бывают.
а в новости совсем даже обошлось без подмены - нигра вполне настоящий анонс получила, и вполне честно его проанонсила. Не будь у китайца ненужно-файрвола при отсутствии нужно-фильтра в комплекте - пакеты для гугля на самом деле поехали бы в бантустан, где у нигры бы лопнул линк, на этом анонсы бы тоже кончились, и никто бы ничего не заметил. Ну или не лопнул бы, что маловероятно, и нигра бы оплатила терабайты траффика.
> сведущему помешает то, что подменить вообще крайне сложно без физического доступа к
> кабелю, да еще и сессионные пароли в bgp вполне себе бывают.Так "фишка" же в другом - мало-мало кто фильтрует (или как корректнее выразиться) прилетающие анонсы от своих пиров, а честно их учитывает и отправляет дальше.
Лямин уже лет 5 об этом страшилки всяческие рассказывает.
> Подскажите несведущему, что мешает мне скрафтить BGP-пакет, подменив src, и отправить его
> в тот же China Telecom?скрафтить и отправить - ничего не мешает. просто на другом конце его проигнорируют
Создать BGP UPDATE вам будет и правда не сложно, да и TCP segment, в придачу с IP пакетом. Только вот есть одна проблема, вы не знаете не Initial Sequence Number, не текущий Sequence Number, не даже размер TCP Window. А значит шансы вклиниться в TCP сессию между China Telecom и MainOne у вас чуть более, чем полностью отсутствуют. Иными словами BGP инстанс на той большой Cisco/Juniper/Huawei даже не узнает о том, что его BGP peer MainOne якобы объявил новые NLRI.
Вы хотите сказать что BGP пакеты вот так просто бегают вместе с публичным трафиком по каналам? Я думал последняя миля как минимум обмазывается разными слоями энкапсуляции типа MPLS и не может пересекаться с BGP трафиком на L3.
Да, именно так и есть. BGP вместе с остальным трафиком летает.
Верно, не какой _специальной_ инкапсуляции на стыке двух операторов нет. Для обеспечения безопасности пиров в BGPv4 предусмотрена возможность аутентификации передаваемых пакетов путём использования MD5 или того, что поддерживает ваш маршрутизатор.
Фильтры на даунлинков?
Не, не слыхали.
дружище, вот China Telecom и ТрансТелеком - кто кому "даунлинк" и кто тут, собственно, даун?
TTK — плохой пример, IMHO.
А так, кто платит — тот и даунлинк.
Если факты не подтверждают теорию, тем хуже для фактов.
Ясен фильтры верхнего провайдера MainOne на него же.
а, ти в этом смисле. Ну да, могли бы быть (я у себя ставил для потенциально-одаренных клиентов, будь они хоть десять лет LIR - но мы-то были далеко не 1st tier, что, кстати, увеличивает шансы на особую одаренность) - но опять же, сильно зависит от размера этого верхнего. С какого-то момента становится проще и дешевле реагировать на такие фокусы по факту, чем держать на все сотни тыщ клиентов правильные фильтры на всех железках.
> С какого-то момента становится проще и дешевле реагировать на такие фокусы по факту, чем держать на все сотни тыщ клиентов правильные фильтры на всех железках.Фигня. Это и есть то за что админам деньги платят. А железки автоматизируются.
BGP и кривые руки раскатают Инет быстрее, чем просто кривые руки.
> Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов.Как считает многоуважаемый All — не связаны ли на самом деле такие инциденты с возникновением так называемых CDN-ов?
>> Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов.
> Как считает многоуважаемый All — не связаны ли на самом деле такие инциденты с
> возникновением так называемых CDN-ов?Скорее уж это следствие роста кол-ва AS`ок (автономных систем), что выводится как неизбежное из термодинамики (рост энтропии и вот это всё).
;)
> неизбежное из термодинамики (рост энтропии и вот это всё).Тут уж возразить и нечего, да. :)
В то время как люди строят реакторы на быстрых нейтронах, британские учёные всё ищут Демона Максвелла.
Где живут нигерийцы?
Фак. Только в европе апстримы сношают фильтрами клиентов, блин?.. Нигерийцы клали походу.
и даже в европе - не все апстримы.
потому что бессмысленное занятие, а расхлебывать образовавшиеся из-за этих фильтров проблемы гораздо сложнее, чем раз в пять лет удушить одного нигерийца.но тут, заметьте, дело не только в отсутствии фильтров анонсов, а еще и в наличии фильтров по ip у чайна-телекома- иначе бы оно уехало туда, откуда проанонсилось, и виновник праздника огребся бы мгновенно - а такое бывает - только у китайцев и еще одной соседней с ними страны и ее сателлитов.
> бессмысленное занятиеНе могу согласиться.
> расхлебывать образовавшиеся из-за этих фильтров проблемы гораздо сложнее, чем раз в пять лет удушить одного нигерийца.
Если стабильность работы для провайдера на первом месте, то проблемы с фильтрами надо решать.
Я ещё вижу возможный гемор, если твои клиенты транзитёры сами, но если они тупиковые, то никаких проблем с фильтрами, кроме необходимости их грамотного создания, быть не может.
>в наличии фильтров по ip у чайна-телекома- иначе бы оно уехало туда, откуда проанонсилось
При наличии нормальных фильтров аннонсов, не вижу смысла в фильтрах по ip. По мне так это как раз и будет гемор добавлять. Разве нет?
> Если стабильность работы для провайдера на первом месте, то проблемы с фильтрами надо решать.сносом фильтров. Большая часть 1st tier давно так и сделала.
потому что во-первых нет надежных источников информации для этих фильтров, во-вторых, никто спасибо не скажет.
> Я ещё вижу возможный гемор, если твои клиенты транзитёры сами, но если они тупиковые,
если они тупиковые, и не анонсят ничего кроме своей единственной /24, то можно, конечно, копаться с фильтрами, а буде захотят поанонсить еще одну - пусть через менеджера получат обобрям, мы через неделю разрешим.
но таким обычно необходимо и достаточно ограничить число префиксов единицами штук - оно тебе пригодится, когда от такого индивидуя приедет full-view через второго апстрима полученный (а он приедет, не сегодня, так завтра), и сложить сессию гораздо эффективнее, чем фильтровать - в том числе и потому, что дятел получает по рукам сразу, и, скорее всего, сообразит, что его собственные действия вызвали этот обрыв.
А в данном случае нигга-чейто-там-клиент и анонсил не /24, и на IX местной был представлен (то есть он нифига не мелочь деревенская, у которой и второй апстрим-то фейковый), и скорее всего и собственных пиров/даунстримов имел.
>если они тупиковые, и не анонсят ничего кроме своей единственной /24, то можно, конечно, копаться с фильтрами, а буде захотят поанонсить еще одну - пусть через менеджера получат обобрям, мы через неделю разрешим.Что значит копаться :-)? Там делов на 2 минуты прописать фильтр. А по поводу менеджеров - это как организуешь. У нас это быстро делается.
Я конечно не tier1, но и транзитёры есть даунлинками и на всех фильтры, ибо страшно как-то без фильтров. Никакого гемора не ощущаю.
> Что значит копаться :-)? Там делов на 2 минуты прописать фильтр.для админа локалхоста всегда любая задача - "делов на 2 минуты", только потом либо не работает, потому что не подумано, либо работает неправильно, но он об этом так и остается в блаженном неведении.
судя по тому что ты еще и вручную их "прописываешь", там именно локалхост.
А теперь подумай, на секундочку, как выглядят сети покрупнее твоей, сколько там разных мест с _разными_ фильтрами и сколько в час ты будешь получать "мы началали/перестали анонсить префикс ..../.. " от своего менеджера, и по ночам тоже, если будешь иметь глупость все делать вот так.
И теперь сюрприз на закусочку: от Калининграда до Новгорода у Ростелекома нормальный инженер - _один_. Так что не надейся, что эту бессмысленную работу удастся поделить на отдел из пятидесяти человек - даже если ты в China Telecom устроишься.
>для админа локалхоста всегда любая задача - "делов на 2 минуты", только потом либо не работает, потому что не подумано, либо работает неправильно, но он об этом так и остается в блаженном неведении.Да нет. Сколько лет уже работает, проблем нет. Потому, что один раз подумано, что бы потом за 2 минуты добавлять. Но любителям костылей это неведомо.
>судя по тому что ты еще и вручную их "прописываешь", там именно локалхост.
Ага. Ведь куда на локалхосте без bgp в наше время.
>А теперь подумай, на секундочку, как выглядят сети покрупнее твоей, сколько там разных мест с _разными_ фильтрами и сколько в час ты будешь получать "мы началали/перестали анонсить префикс ..../.. " от своего менеджера, и по ночам тоже, если будешь иметь глупость все делать вот так.
Я что-то с трудом представляю магистрала, у которого настолько много клиентов, что у него движуха с новыми анонсами несколько раз в час.
И какая нафиг ночь? Среди ночи кто-то решил новую сеть анонсить? Что за бред.
И ещё, если это крупная сеть, то опять же найдутся деньги на обезьянку, задача которой будет проверить с помощью подручного скрипта и ripe db, что всё норм.
>И теперь сюрприз на закусочку: от Калининграда до Новгорода у Ростелекома нормальный инженер - _один_. Так что не надейся, что эту бессмысленную работу удастся поделить на отдел из пятидесяти человек - даже если ты в China Telecom устроишься.
Если ты знаком с провайдингом не по рассказам друга, то тебе должно быть известно на собственном опыте, что Ростелеком это не пример в подобной ситуации :-). Ростелеком это анекдот у сетевиков.
> Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсовСпасёт ли авторизация от кривых рук, которые так же всё и подпишут?
> Спасёт ли авторизация от кривых рук, которые так же всё и подпишут?Как вы себе представляйте ситуацию, когда инженер Google подписывает анонс мелкого нигерийского ISP?