The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Зафиксирована попытка использования BGP для захвата трафика ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от opennews (??) on 29-Май-18, 19:17 
Сервис BGPMon зафиксировал (https://bgpstream.com/event/138295) попытку подстановки фиктивного BGP-маршрута для перенаправления трафика подсети 1.1.1.0/24, в которой находится созданный компанией Cloudflare общедоступный DNS-сервер с поддержкой  "DNS over TLS". Трафик был направлен в автономную систему 58879 (https://bgpview.io/asn/55994), анонсировавшую префикс 1.1.1.0/24 для своей сети.
Сеть принадлежит китайскому провайдеру AnchNet (Shanghai Anchang Network Security Technology Co.,Ltd.).


Судя по сведениям (https://news.ycombinator.com/item?id=17179484) одного из клиентов AnchNet, данная компания прокомментировала инцидент ошибкой при тестировании оборудования - администраторы использовали 1.1.1.0/24 в качестве тестового префикса, не предполагая, что эта подсеть принадлежит CloudFlare и используется для одного из крупнейших публичных DNS-сервисов.


Некоторые участники обсуждения не верят (https://news.ycombinator.com/item?id=17179561) подобному объяснению (маловероятно, чтобы администратор крупного ISP совершил столь грубую ошибку при выборе адреса для тестирования) и считают, что инцидент является следствием оплошности при попытке организации перехвата трафика 1.1.1.1  на территории Китая в рамках деятельности "Великого китайского файрвола (https://ru.wikipedia.org/wiki/%D0%97%D0%...)".

URL: https://news.ycombinator.com/item?id=17178905
Новость: https://www.opennet.me/opennews/art.shtml?num=48679

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Зафиксирована попытка использования BGP для захвата трафика ..."  –15 +/
Сообщение от Аноним (??) on 29-Май-18, 19:17 
Сделано в китайцами, или взроблено, версия с рукой тоже
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Зафиксирована попытка использования BGP для захвата трафика ..."  +11 +/
Сообщение от Аноним (??) on 29-Май-18, 19:21 
> автономную систему 58879, анонсировавшую префикс 1.1.1.0/24 для своей сети. Сеть принадлежит китайскому провайдеру AnchNet (Shanghai Anchang Network Security Technology Co.,Ltd.).

Отобрать AS теперь надо у этих китайцев, чтоб другим неповадно было. Экспериментаторы, блин.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Зафиксирована попытка использования BGP для захвата трафика ..."  +3 +/
Сообщение от metakeks email on 29-Май-18, 22:53 
AS58879
Country:  CN
Registration Date:  2013-03-22
Registrar:  apnic
Owner:  ANCHNET Shanghai Anchang Network Security Technology Co.,Ltd., CN

Да, пожалуй лишить на год-другой, пусть за натом посидят. Лучше учиться будут.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

44. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 30-Май-18, 16:48 
Лушче бы отобрать у тех, кто BGP-анонсы не фильтрует. Но тогда в мире 3,5 AS останется, остальные за NAT поедут.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от An (??) on 29-Май-18, 19:37 
Не знали, а проверить?
Сделано в Китае, сделано с умом )    
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Зафиксирована попытка использования BGP для захвата трафика ..."  –2 +/
Сообщение от Аноним (??) on 29-Май-18, 19:52 
>администраторы использовали 1.1.1.0/24 в качестве тестового префикса, не предполагая, что эта подсеть принадлежит CloudFlare и используется для одного из крупнейших публичных DNS-сервисов.

вся суть эникейщиков, нанятых из-за кошмарного кадрового голода

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Зафиксирована попытка использования BGP для захвата трафика ..."  +7 +/
Сообщение от пох on 29-Май-18, 21:44 
увы, нет в этой области никакого "кадрового голода", есть стойкое нежелание работодателей платить нормальные зарплаты инженерам.

Нате вам, реальность, данная нам в виде документа: компания очень-плохая-дорога ищет в default city (нет, не Пекин) инженера уровня CCIE/HCIE _со_знанием_китайского_языка_ (на уровне "как-то уметь понять разговорную речь", а не кое-как прочесть документацию). На жестко фиксированную зарплату, 80000 не долларов (спасибо что не йен)

Как думаете, найдет?

Вот и мне кажется, что человек с разговорным китайским и умом и талантом, позволяющим претендовать на ccie, найдет себе работу раз в десять более высокооплачиваемую - но, вероятно, ему придется искать ее в смежных отраслях, а настраивать маршрутизаторы он в этой жизни уже не будет.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

23. "Зафиксирована попытка использования BGP для захвата трафика ..."  +5 +/
Сообщение от Аноним (??) on 29-Май-18, 22:30 
Не преувеличивай, ccie и прочие собачкины медальки это всего лишь знания, которые наживаются тем или иным способом, а решить, что анонсировать что попало в бгп можно только будучи слабоумным, просто зазубрив ответы для экзамена. Кстати, вся история может быть жалкой выдумкой для прикрытия неведомой нам операции китайского рейхскомпозора.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

28. "Зафиксирована попытка использования BGP для захвата трафика ..."  +4 +/
Сообщение от пох on 30-Май-18, 00:29 
> Не преувеличивай, ccie и прочие собачкины медальки это всего лишь знания, которые наживаются
> тем или иным способом

нет. Это умения (+теоретические знания, но это отдельно и там можно зазубрить). Восемь часов наедине со сложной сетью, в которой есть пачка проблем (найти причины и точное место - твоя задача), и другая пачка, побольше - "надо сделать", чеклист в руках, вперед. Сеть реальная, из настоящего железа. А, да - гугль во время тестов недоступен.
Желаю тебе успехов тут что-то "просто зазубрить".

Циска вот утверждает, что сдать может только человек с реальным опытом строительства/эксплуатации аналогичных сложных сетей - и не обязательно с первой попытки. Многие (с реальным опытом) фейлят и вторую тоже. Нынче уже $1,600 USD per attempt, между прочим.

отличный промежуточный шажок к "стабильной зарплате" в восемьдесят килорублей, не правда ли (если ты еще умеешь сносно говорить по-кошачьи)?

Это, для непонявших, ведущая китайская компания на рынке телекоммуникационного железа такое на полном серьезе предлагает, видимо, расстраиваясь, что никак не попадается адекватный кандидат. Угадаешь, что там происходит в самом китае и у третьесортного китайтелекома?

Впрочем, китай в этом плане ничем от эрефиии не отличается, полагаю, что изрядная часть штатовских сетей уже тоже давно обслуживается индусскими "специалистами", с умением "грамотно подать резюме".

Never attribute to malice that which is adequately explained by stupidity.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

35. "Зафиксирована попытка использования BGP для захвата трафика ..."  +2 +/
Сообщение от anonymous (??) on 30-Май-18, 11:07 
>[оверквотинг удален]
> нет. Это умения (+теоретические знания, но это отдельно и там можно зазубрить).
> Восемь часов наедине со сложной сетью, в которой есть пачка проблем
> (найти причины и точное место - твоя задача), и другая пачка,
> побольше - "надо сделать", чеклист в руках, вперед. Сеть реальная, из
> настоящего железа. А, да - гугль во время тестов недоступен.
> Желаю тебе успехов тут что-то "просто зазубрить".
> Циска вот утверждает, что сдать может только человек с реальным опытом строительства/эксплуатации
> аналогичных сложных сетей - и не обязательно с первой попытки. Многие
> (с реальным опытом) фейлят и вторую тоже. Нынче уже $1,600 USD
> per attempt, между прочим.

Цискины экзамены большая часть людей сдаёт по дампам. Практический экзамен тоже дампится, только иначе (узнаются все варианты лабы и отрабатываются до посинения). Для меня давно CCIE значит примерно ничего - у всех знакомых пресейлов, даже путающих IGP и EGP он есть. Из экзаменов реально котируется JNCIE, на него дампы найти куда сложнее и там обычно люди всерьёз готовятся.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

36. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 30-Май-18, 11:44 
В Нидерланды они тоже с дампами ездили?
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от anonymous (??) on 30-Май-18, 12:46 
> В Нидерланды они тоже с дампами ездили?

Сами дампы никуда везти не надо, из зазубривают до экзамена и сдают без понимания. Как и лабу, поскольку их обычно всего 3-4 варианта и их сливают.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

41. "Зафиксирована попытка использования BGP для захвата трафика ..."  –1 +/
Сообщение от mumu (ok) on 30-Май-18, 15:28 
> А, да - гугль во время тестов недоступен.

А компутер дадут? Или только А4 из вторсырья? А на круглый люк посадят? А со сферическим конём переговариваться можно будет по рации?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

50. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от пох on 30-Май-18, 21:51 
>> А, да - гугль во время тестов недоступен.
> А компутер дадут? Или только А4 из вторсырья? А на круглый люк

дадут ("только A4" будет перед этим, written test - этот просто чтоб не тратить на тебя электричество, если заведомо ничего не можешь), но там сеть только та самая - которую тебе настраивать надо (точнее, даже не она, а доступ к ее консолям). Мобилы, ноуты - оставляешь дома, "камера хранения не предусмотрена", деньги не возвращают.

раньше давали еще "univer cd" (без поиска ;-) но, в виду его феерической бесполезности в XXI веке, сейчас, похоже, и этого не дают. '?' в cli доступен, поскольку железки-то настоящие, но надо ж знать, чего '?'... Да и времени, на самом деле, не будет.

> посадят? А со сферическим конём переговариваться можно будет по рации?

как на любом экзамене - поймают - досвидос без права апелляции.
Какой ты нахрен "эксперт", если без гугля и рации сеть настроить не можешь? :-)

А что, захотелось попробовать? ;-) Там все честно - никакого "сдайте сперва экзамен на младшего помощника старшего протиральщика полок, потом поапгрейдите до второго заместителя" и т д на десять лет, нужны только бабки.


Индусы сдают. Ну, не все, и даже не каждый пятый, и не с первого раза.
Пользы вот только на нынешнем рынке труда от этого - никакой.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

5. "Зафиксирована попытка использования BGP для захвата трафика ..."  +2 +/
Сообщение от Аноним (??) on 29-Май-18, 19:56 
да лана, всюду видеть злой умысел. Китайцу досталась цискина методичка первого издания. Что в ней означают буквы и цифры, он своим изможденным разгадыванием графических ребусов мозгом ниасилил, тупо скопировал текст со страницы, надеясь, что волшебным образом это настроит ему bgp.

Еще лет семь назад, помнится, кто-то из 1st tier публиковал статистику (тогда - не используемых и не анонсируемых никем) потоков мусора на 1.1.1.1 и 2.2.2.2 - выглядело довольно смешно.

цискины индусы, кстати, по сей день не научились использовать в своей документации example network или хотя бы private диапазоны по назначению.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Зафиксирована попытка использования BGP для захвата трафика ..."  +2 +/
Сообщение от Аноним (??) on 29-Май-18, 20:32 
Подтверждаю. Из-за некоторого железа, включая циски, 1.1.1.1 до сих пор у некоторых не работает по всему миру, т.к. там captive portal и прочая фигня. Остаётся только второй вариант, 1.0.0.1.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

18. "Зафиксирована попытка использования BGP для захвата трафика ..."  –5 +/
Сообщение от пох on 29-Май-18, 21:09 
то есть вопрос не к профессионализму китайца, а к профессионализму желающих всех осчастливить "dns-over-shitls".

Любой человек, листавший когда-то на заре карьеры книжку Халлаби, должен был немедленно дать по рукам изобретателю этой идеи с "красивым адресом". (в Гугле, кстати, таких человек есть - furry там далеко не единственная, а она эту книжку точно читала, поэтому они и выбрали себе адреса, никем и никогда не использовавшиеся не по назначению)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

31. "Зафиксирована попытка использования BGP для захвата трафика ..."  +4 +/
Сообщение от Аноним (??) on 30-Май-18, 03:45 
С куяли по рукам автору идеи с красивым адресом? Это в цисковских книжонках использовали адреса которые не имели право использовать. Это авторов этих цисковских книжонок нужно бить по яйцам.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

49. "Зафиксирована попытка использования BGP для захвата трафика ..."  +1 +/
Сообщение от пох on 30-Май-18, 21:33 
> С куяли по рукам автору идеи с красивым адресом?

потому что дурак - он. Мир не устроен идеально, и отличие "я щас все найду в гугле" от грамотного инженера как раз в том, что инженер должен знать/соображать, на личном опыте, чего делать нельзя, хотя это нигде не написано. Но, как уже говорено, инженерам сейчас модно платить три копейки, поэтому имеем вот таких. Одни копипастят без понимания, другие не в курсе о том, что копипастят первые и что это явление стало массовым.

> Это в цисковских книжонках использовали адреса которые не имели право использовать.

я имею право писать на (своем, заметим, собственном) заборе абсолютно любые адреса, даже из трех букв. Что ты примешь это как руководство к действию - я могу и не предвидеть.

> Это авторов этих цисковских книжонок нужно бить по яйцам.

а, ню-ню...

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

6. "Зафиксирована попытка использования BGP для захвата трафика ..."  –1 +/
Сообщение от Аноним (??) on 29-Май-18, 20:03 
Сила китайцев! а это они еще даже не злые...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Зафиксирована попытка использования BGP для захвата трафика ..."  –1 +/
Сообщение от Аноним (??) on 29-Май-18, 23:51 
> Сила китайцев! а это они еще даже не злые...

Им можно. Они кстати еще переодически сканируют весь инет (причем все порты) на наличие vpn серверов. Не знаю, в курсе ли педиковатые админы, но бородатые кто предоставляет vpn службы за деньги про это точно знать должны.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

32. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 30-Май-18, 06:03 
У них "Золотой щит", думай, зачем сканируют.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

7. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 29-Май-18, 20:11 
Ну так же ж есть поддержка "DNS over TLS". Вот и нужно ее использовать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 29-Май-18, 20:30 
По дефалту на клиенте и без лишних заморочек, но как?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

20. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от loolz on 29-Май-18, 21:57 
не нужно использовать паблик днс, как все супер мега админы делают, забивая 8.8.8.8/1.1.1.1  везде где попало, настройте свой днс второго уровня смотрящий в корневые зоны, с верификацией если потдерживаетса.


Не нужно думать, что OpenDNS не взломают и вас не начнут наебывать

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

25. "Зафиксирована попытка использования BGP для захвата трафика ..."  –1 +/
Сообщение от Аноним (??) on 29-Май-18, 23:19 
> настройте свой днс второго уровня смотрящий в корневые зоны, с верификацией если потдерживаетса.

Конгениально. Как же все до этого раньше не додумались.

(вообще-то "нет", запросы на корневые могут, блин, обслудиваться много дольше, чем выбор правильных серверов для forward-инга)

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

29. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Crazy Alex (ok) on 30-Май-18, 01:35 
Да плевать - у тебя закэшируются. Зато будешь использовать нормальную отработанную схему, а не работать подопытным кроликом не понять у кого.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

42. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 30-Май-18, 16:32 
> Да плевать - у тебя закэшируются.

Да это-то понятно.
Но вообще, It's depend. Я делал и так, и эдак. И переключал тоже.
В одном случе лучше так, в другом - через правильно выбранных форвардеров.
И от внешних каналов зависит, и от многих других факторов.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

45. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 30-Май-18, 17:06 
>> Да плевать - у тебя закэшируются.
> Да это-то понятно.
> Но вообще, It's depend. Я делал и так, и эдак. И переключал

Правильно будет «It depends».

> тоже.
> В одном случе лучше так, в другом - через правильно выбранных форвардеров.
> И от внешних каналов зависит, и от многих других факторов.

Зависит от прямоты рук. Форвардер работает так быстро потому, что уже всё закэшировал, а не потому, что у него какие-то волшебные каналы.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

53. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Anonymous_ on 31-Май-18, 02:55 
> Правильно будет «It depends».

Да, это я лажанулся. Это, как оказалось, часто встречающаяся ошибка.
> Зависит от прямоты рук.

Да руки-то тут причём. И то, и другое настраивается в пол тыка.
> Форвардер работает так быстро потому, что уже всё закэшировал, а не потому, что у него какие-то волшебные каналы.

Ну это-то нифига не однозначно. Разные форвардеры ведь бывают.
А скорость ответов можно сравнить и на несуществующих доменах.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

30. "Зафиксирована попытка использования BGP для захвата..."  +/
Сообщение от arisu (ok) on 30-Май-18, 02:44 
берём dnscrypt, настраиваем три экземпляра с рандомной ротацией (желательно — сервера из разных пулов), проверяем совпадение ответов. более-менее защитит от ошибок конфигурирования пулов, а больше с централизованой системой всё равно не сделаешь.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

8. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 29-Май-18, 20:15 
Может был расчёт на то что браузер не ругается на плохой сертификат в днс?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от IB on 29-Май-18, 20:26 
Это какой браузер по умолчанию подписанный ДНС использует?
Страдать ещё лет 10, как до сих пор страдают хомячки с telnet по умолчанию на железках
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 29-Май-18, 20:47 
Кто покупает роутеры с алиэкспреса сами в этом виноваты. В нормальном оборудовании telnet не светит своей жопой в интернет.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

34. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от КО on 30-Май-18, 09:32 
Достаточно если он светит своей жопой браузеру, который работает изнутре и лазает наружу, остальное дело техники.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

13. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 29-Май-18, 20:38 
Смотря о чём вы. Вообще в браузерах сейчас поддержки нет, кроме лисы (где пока надо вручную включать, в 60 ещё с багами, в 61 уже нормально). И в этом случае днс дело ОСи.
Из ОСей движуха пока слышна только в новом андроиде.

Ответить могу по поводу лисы. Она не будет ругаться на сертификат, подобно сайту, конечно, но и работать митм-днс не будет, проверки там есть (иначе нафиг такое бесполезное шифрование?). В зависимости от выбранного режима, либо вообще днс не будет работать, со стандартной ошибкой, либо откатится на легаси-днс.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Зафиксирована попытка использования BGP для захвата трафика ..."  –3 +/
Сообщение от Нанобот (ok) on 29-Май-18, 20:33 
Я тоже раньше использовал адрес 1.1.1.1 для тестов, как адрес, который никогда не отвечает...Так что в злой умысел не верю
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 29-Май-18, 20:52 
Почему не используете рекомендованые адреса для тестов каких точно нет в интернете?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

22. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от пох on 29-Май-18, 22:11 
потому что "рекомендации" iana были совершенно невнятны в этом месте - и не содержали ни четких объяснений, чьи это "тесты", ни гарантий, что их таки нет и никогда не будет в интернете (я вот предпочитал читать их как "это тесты - самой iana, и их могут поанонсить с тестовыми целями, использовать нельзя никому и ни для чего")
а вот 1.1.1.1/2.2.2.2 были во-первых точно известно что никому не принадлежащими, во-вторых, одобрены циской (вообразить себе идиота, платящего миллионы чтобы заполучить такой адрес, еще лет десять назад было невозможно)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

33. "Зафиксирована попытка использования BGP для захвата трафика ..."  +1 +/
Сообщение от Аноним (??) on 30-Май-18, 08:11 
> а вот 1.1.1.1/2.2.2.2 были во-первых точно известно что никому не принадлежащими

Точно никому не принадлежат только локальные адреса, а эти находятся в сегменте глобальных адресов. Если они не отвечают, не значит что они никому не принадлежат.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

48. "Зафиксирована попытка использования BGP для захвата трафика ..."  +1 +/
Сообщение от пох on 30-Май-18, 21:28 
а для теста, сюрпрайз, иногда нужны нелокальные. Потому что далеко не всегда локальные дадут то, что нужно для тестирования бордера (где может быть acl, который исказит картину).

правда, для моих тестов обычно достаточно просто routable - пофиг, отвечающих или нет, но у других инженеров могли быть и другие идеи.

Печально известный пример, более понятный местной публике, явно далекой от сетей - чудесный сайт www.ru, принимающий мегатонны icmp и high-port udp траффика. Феерически бесполезный для своих владельцев (попробуй всунуть рекламу - в icmp ;-) и обходящийся настолько дорого, что первоначальный его владелец даже продать не сумел, отдал тем, кто вообще согласился забрать.

Можно сколько угодно рассказывать, что он не предназначен для тестирования. Но если ты его купишь в надежде озолотиться (или размещать сведения государственной важности, или нечто общественно полезное там сделать) - ты такой же точно дурак, как "авторы" идеи с 1.1.1.1

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

47. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Нанобот (ok) on 30-Май-18, 20:01 
Проще набирать на клавиатуре
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

14. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 29-Май-18, 20:38 
Да тут вообще шах и мат. Либо КНР беспредельствует с BGP и им это сходит с рук. Либо их отключают от инета, а им только этого и надо: "это не наше правительство вас отключило, а зарубежные партнёры-варвары".

BGP же особо и не заменишь: оно специально сделано на взаимодоверии и без него там никак, систему оперативно менять не получится, даже если переделать bgp на протокол с криптой, всё равно в доверие и злоупотребление им упрёмся.

Короче, самый оптимальный вариант - отключить контроллируемые КНР компании от интернета, а поставку инета в кнр возложить на компании вне юрисдикции КНР через спутник.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Зафиксирована попытка использования BGP для захвата трафика ..."  –2 +/
Сообщение от F on 30-Май-18, 16:34 
Завтра Украина с подачи США то же для рунета предложит. И будем жить двумя системами, ага, СССР-2.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

46. "Зафиксирована попытка использования BGP для захвата трафика ..."  +2 +/
Сообщение от Аноним (??) on 30-Май-18, 17:14 
> Да тут вообще шах и мат. Либо КНР беспредельствует с BGP и

Такое происходит каждый день по всему миру — какие-то люди шлют каким-то другим людям чужие префиксы, богоны, 0/0 и тому подобное. Масштаб не тот, поэтому ты про это не слышишь никогда, да оно и понятно — кому интересны приключения /24 ISP c 3½ клиентами?

> BGP же особо и не заменишь: оно специально сделано на взаимодоверии и
> без него там никак, систему оперативно менять не получится, даже если
> переделать bgp на протокол с криптой, всё равно в доверие и
> злоупотребление им упрёмся.

Нет. RFC8205.


> Короче, самый оптимальный вариант - отключить контроллируемые КНР компании от интернета,
> а поставку инета в кнр возложить на компании вне юрисдикции КНР
> через спутник.

Самый оптимальный вариант — не нести чушь на опеннет.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

51. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от пох on 30-Май-18, 21:57 
> Такое происходит каждый день по всему миру — какие-то люди шлют каким-то другим
> людям чужие префиксы, богоны, 0/0 и тому подобное. Масштаб не тот,

самое смешное, что хрен с ними, чужими префиксами - но ведь и 0/0 умудряются не только принять, но и дальше раздать. Или сотенку тыщ /32
Сейчас вот еще стало модно полный список роснадзоровых блокировок поанонсить от себя ;-)

> Нет. RFC8205.

феерически мертворожденный.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

38. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 30-Май-18, 12:56 
Позаимствовали текст новости на хабре без указания источника https://habr.com/post/412659/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Зафиксирована попытка использования BGP для захвата трафика ..."  +3 +/
Сообщение от Аноним (??) on 30-Май-18, 13:51 
> Позаимствовали текст новости на хабре без указания источника https://habr.com/post/412659/

К сожалению на хабре появление подобных статей не редкость.  Это рерайт, а не голый копипаст, т.е. взяли статью с opennet, поменяли некоторые фразы в первых двух абзацах (на третий абзац видимо сил не хватило и оставили как есть) и добавили немного отсебятины под видом мнения эксперта. Пытаться добиться указания источника для таких переработок бесполезно, формально текст немного другой.


Было:

"Судя по сведениям одного из клиентов AnchNet, данная компания прокомментировала инцидент ошибкой при тестировании оборудования - администраторы использовали 1.1.1.0/24 в качестве тестового префикса, не предполагая, что эта подсеть принадлежит CloudFlare и используется для одного из крупнейших публичных DNS-сервисов."

Стало:

"Один из AnchNet поделился информацией, что компания-провайдер объяснила инцидент ошибкой при тестировании оборудования — по их версии, администраторы использовали префикс 1.1.1.0/24 в качестве тестового, не предполагая, что эта подсеть принадлежит CloudFlare и используется для публичного DNS-сервисов."

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 30-Май-18, 14:46 
Видомо успели отредактировать до полного удаления статьи. У меня было полное совпадение:

"Некоторые участники обсуждения не верят подобному объяснению (маловероятно, чтобы администратор крупного ISP совершил столь грубую ошибку при выборе адреса для тестирования) и считают, что инцидент является следствием оплошности при попытке организации перехвата трафика 1.1.1.1 на территории Китая в рамках деятельности "Великого китайского файрвола"."

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

52. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 30-Май-18, 23:20 
Кто знает практикуется ли контролируемый анонс одной и той же си в разных частях мира. Для благих целей?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Зафиксирована попытка использования BGP для захвата трафика ..."  +/
Сообщение от Аноним (??) on 31-Май-18, 18:41 
https://ru.wikipedia.org/wiki/Anycast
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру