https://www.opennet.dev/openforum/vsluhforumID3/43535.html На конференции DefCon Тони Капела (Tony Kapela) и Алекс Пилосов (Alex Pilosov) представили доклад (https://www.defcon.org/images/defcon-16/dc16-presentations/defcon-16-pilosov-kapela.pdf) о проблемах безопасности протокола BGP, которые можно использовать для нарушения связности пограничных маршрутизаторов в сети и организации атак по перехвату трафика в глобальном масштабе (например, переправить трафик на подставной шлюз, на котором модифицировать определенные IP пакеты и отправлять далее ничего не подозревающему получателю пакета). <br><br><br>Уязвимость использует слабость архитектуры BGP, проявляющуюся в излишне доверительных отношениях между участниками межсетевого взаимодействия. Рассчитывая наиболее оптимальный маршрут, BGP маршрутизатор целиком доверяет информации о пути, полученной от других маршрутизаторов. Внешний BGP маршрутизатор, подконтрольный злоумышленнику, может отправить фиктивные сведения о длине маршрута до определенной автономной системы и инициировать транзит трафика чер...<br><br>URL: http://blog.wi https://www.opennet.dev/openforum/vsluhforumID3/43535.html#24 Mon, 01 Sep 2008 12:50:50 GMT А через несколько годов, когда на IPv6 подсядут как следует и всерьез, какой-то дятл с помпой расскажет о его проблемах безопасности, коих у него дофига и больше :).Хотя их все обсуждали уже несколько лет назад, воз и ныне там а вот попиариться можно качественно и с помпой :)<br> https://www.opennet.dev/openforum/vsluhforumID3/43535.html#23 Sun, 31 Aug 2008 02:39:41 GMT Да на этом форуме тоже идет обсуждение этой темы, интересно!<br> https://www.opennet.dev/openforum/vsluhforumID3/43535.html#22 Fri, 29 Aug 2008 14:16:10 GMT Мля, никто в тему не вник.<br><br>Комментарии:<br><br>а) Читайте презентацию или статью в Wired. Мы (не королевское мы, а авторы етой презентации) не говорили что открыли новую дырку - мы указали как просто скрыто експлуатировать ее для мониторинга любого трафика.<br><br>б) Нащет ттк: Ессно *все* фильтруют. Как минимум по as-path. Что на самом деле довольно минимально и отчень плохо - т.е. можно очень много поломать, тк можешь анонсировать *все* что угодно. Но для вышеуказаного експлойта ето не подойдет. Если фильтруют по IRR - то очень просто, регистрируешь свой раут в одной из баз IRR которые всеми используются и не фильтруются (напр ARIN или ALTDB), и все твои апстримы берут твой роут.<br><br>в) Нащет по наглой рыжей морде: Поверьте, никто не заметил. На NANOG мы анонсировали 1/8 и 0/8 и подобные вещи, и хоть бы что :)<br><br>-александр пилосов<br> https://www.opennet.dev/openforum/vsluhforumID3/43535.html#21 Fri, 29 Aug 2008 07:34:02 GMT С чего вы взяли? Буквально неделю назад подключались к ним в тестовом режиме - все как и положено отфильтровали по RIPE<br> https://www.opennet.dev/openforum/vsluhforumID3/43535.html#20 Fri, 29 Aug 2008 06:34:12 GMT Мне не мало, мне хочется узнать, а есть ли ещё что-нибудь?<br> https://www.opennet.dev/openforum/vsluhforumID3/43535.html#19 Fri, 29 Aug 2008 02:51:54 GMT &gt;Подскажите, а что есть кроме bgpq для автоматического построения фильтров? И кроме <br>&gt;IRR-Tollset? <br><br>А тебе что этого мало? bgpq практически все умеет :)<br> https://www.opennet.dev/openforum/vsluhforumID3/43535.html#18 Thu, 28 Aug 2008 19:03:46 GMT Подскажите, а что есть кроме bgpq для автоматического построения фильтров? И кроме IRR-Tollset?<br> https://www.opennet.dev/openforum/vsluhforumID3/43535.html#17 Thu, 28 Aug 2008 17:14:22 GMT От кастомеров КТТК как раз фильтрует, правда по AS-PATH, а не по префиксам.<br> https://www.opennet.dev/openforum/vsluhforumID3/43535.html#16 Thu, 28 Aug 2008 16:32:09 GMT &gt;Об этой "дыре" знают все, кто хоть раз прочёл Халаби.<br><br>Можно поподробнее что и где почитать ?<br>