Március 13-án 22 percre sikerült eltéríteni a Google publikus névszerverét a BGPmon szerint. Területileg Brazília és Venezuela volt érintett.
- 5659 megtekintés
Hozzászólások
Akkor már értem, hogy miért jött akkor olyan nagy UDP flood a gépemre. Sorry, még csak tanulom a BGP-t.
--
zsebHUP-ot használok!
- A hozzászóláshoz be kell jelentkezni
:)
- A hozzászóláshoz be kell jelentkezni
LOL
- A hozzászóláshoz be kell jelentkezni
Ez nagyon nagy volt. :)
- A hozzászóláshoz be kell jelentkezni
Ilyen gyenge lábakon áll az internet architektúrája? Nincs erre védelem, vagy van, csak nem használják?
- A hozzászóláshoz be kell jelentkezni
he?
1) mi köze van az internet architektúrájának a google által adott ingyenes DNS szolgáltatáshoz?
2) ha jól tudom, Google geologialilag elosztja a terhelést. Azaz földrészenként/országonként más-más géppark szolgálja ki az adott ipcímet.
- A hozzászóláshoz be kell jelentkezni
A cikk szerint valami BGP trükkel eltérítettek egy IP tartományt. Ez szerintem az internet architektúráját érintő dolog.
- A hozzászóláshoz be kell jelentkezni
szerintem szó nincsen itt trükkről.
a BGP peer-ek előre megállapodnak arról, hogy milyen AS-eket és prefixeket fogadnak el egymástól.
És/vagy alapon erre lehet használni még a "routing registry"-t is, amiben authentikálva vagyon, hogy milyen prefix-nek melyik AS az elfogadott origin. Ha elfogadsz egy prefixet egy másik AS-től (mint source AS), akkor az nem a BGP implementációs hibája, hanem a saját hülyeséged. De fixme, ha valaki máshogy gondolja.
- A hozzászóláshoz be kell jelentkezni
Nem gondolom máshogy, meg sehogyan sem, mert nem értek hozzá. Ezek szerint elég sok olyan router létezik, aki elfogad tetszőleges adatokat BGP-n, és vannak olyanok, akik véletlenül vagy direkt fals adatokat küldözgetnek ezeknek. Azt nem mondtam, hogy ez a BGP hibája lenne, hanem azt, hogy az internet architekturális problémája. Fenntartom, hogy ha ilyen előfordulhat, akkor az globális probléma szerintem. Nem lehet egy legyintéssel elintézni, hogy ja hát az az 1-2 router hülye, mert lehet mögöttük 1-2 millió ember akár. Bele kellene építeni a protokollba, hogy ez ne fordulhasson elő. Vagy akkor én, mint rendes ember, úgy állítom be a saját routeremet, hogy ne kommunikáljon azokkal, akiké rosszul van beállítva és elfogadják a hamis adatokat is. Persze ezt csak laikusként írom, biztosan bonyolult ügy, és igenis globális probléma.
- A hozzászóláshoz be kell jelentkezni
nézd, Te mint végfelhasználó SEMMIT nem tudsz tenni az ügy érdekében, hiszen azt sem látod, hogy adott prefix milyen AS-en át érhető el tőled.
Ha mindenki (ill. legalább a komolyabb tranzit AS-ek) használnák realtime használnák a routing registry-ben lévő filtereket, akkor más lenne a világ.
1) biztonságosabb
2) megfontoltabb
utóbbi pont azért fontos, mert a routing registry átfutási ideje nem 5 perc, és erőforrást is használt. No meg az általuk létrehozott szabályok is zabálnák az erőforrásokat rendesen. Mivel relatív ritkán (évente 1-2 alkalommal) fordulnak elő ilyen problémák, amit relatív rövid (1-2 óra) átfutási idővel javítanak, vélhetően mindenki úgy gondolkodik, hogy inkább ilyenkor szívjanak egy kicsit a manuális beavatkozással, mint folyamatosan az erőforrás zabálással.
Analógia: évente egyszer bemegy a kertedbe Gazsi dézsmálni egy kis barackot (mondjuk 2-10kg-t lenyúl, párezer forint értékben), nem éri meg betonfalat, riasztót kiépíteni evégett.
- A hozzászóláshoz be kell jelentkezni
Az eroforrasok ingyen vannak (felteve, hogy nem kell hozza emberi ero) - a nagy cegek, mint a Google, sokkal kevesbe ertekes dolgokra is oriasi kapacitasokat aldoznak, igy nem itt van a problema elrejtve. A problema az, hogy egyreszt normalis routing policy nincs sehol publikalva (nem, meg RIPE regioban se), a masik meg, hogy ha ezt az adatot egy kozponti helyrol, automatan updatelve hasznalnak, akkor ez a kozponti hely gyakorlatilag teljes hatalommal rendelkezne az internet felett, igy potencialisan megnagyobb karokat okozva. Mindenesetre van mar mozgolodas ebben az iranyban, lasd RPKI.
- A hozzászóláshoz be kell jelentkezni