Комментарии 35
Почему до сих пор не сажают за настройку BGP в пьяном виде? (с)
Удивительная история. Маршрутизация в сети держится на честном слове. Полная анархия. Договорённости не соблюдаются, или соблюдаются абы как…
Если взять отдельно стоящего админа в организации и спросить, согласен ли он надельить всех пользователей такими же админскими правами и доверить им самоорганизацию сети, то в абсолютном большинстве, вам админ покрутит у виска. Но, когда речь касается всемирной паутины, то тут почему-то всех одолевает слабоумие… Не первый же случай с BGP…
Если взять отдельно стоящего админа в организации и спросить, согласен ли он надельить всех пользователей такими же админскими правами и доверить им самоорганизацию сети, то в абсолютном большинстве, вам админ покрутит у виска. Но, когда речь касается всемирной паутины, то тут почему-то всех одолевает слабоумие… Не первый же случай с BGP…
Пример полностью распределенной системы=) Хотите жесткую руку — заставят всех брать интернет от «мегаоператора» с жестким регулированием на анонсы.
А вы верите, что смерч сможет собрать боинг?.. Полноценный, настоящий боинг, который будет летать, с сидячими местами, всеми системами?..
Я конечно утрировал сейчас. Но большинство проблем в сети от отсутствия контроля (только рекомендации).
Знаете, если мне не будут флудить на интерфейсы внешние, если мне не будут спамить безмерно в почту, уж я как-нибудь смирюсь с контролем…
А так-то мы все сидим на «мегаоператорах» (магистральных операторах) и rutracker мне успешно блокируют… А вот сор прочи, что-то, как-то не очень…
Я конечно утрировал сейчас. Но большинство проблем в сети от отсутствия контроля (только рекомендации).
Знаете, если мне не будут флудить на интерфейсы внешние, если мне не будут спамить безмерно в почту, уж я как-нибудь смирюсь с контролем…
А так-то мы все сидим на «мегаоператорах» (магистральных операторах) и rutracker мне успешно блокируют… А вот сор прочи, что-то, как-то не очень…
А можно ведь посмотреть иначе — бардак, анархия и на этом бардаке и анархии — ДЕРЖИТСЯ. При всех минусах, это рабочая схема и это подтверждено практикой. (С мееелкими косяками, но если б не этот пост — я б и не узнал про эту проблему). Ютуб ютубит, вк контачит, телеграм телеграмит. Екоммерс всякий работает. То, что при полном порядке маршрутизация должна работать хорошо — это лишь теоретическое предположение (далеко не очевидное. Что если мы на самом деле расстреляем всех горе-админов без черного пояса по BGP, и выяснится, что нам нужно 5000 BGP админов, а их всего 100? Что если придется утверждать центральный орган надзора и контроля (роскомпозор), который будет сам плохо работать?).
Примерно как шахид-такси «дорогу покажешь?» несомненно уступает в классе настоящему таксисту с кожаной фуражкой, который знает все дома в городе, но шахид-такси решают транспортную проблему мегаполисов, а кожаные таксисты возят полтора человека в день.
Примерно как шахид-такси «дорогу покажешь?» несомненно уступает в классе настоящему таксисту с кожаной фуражкой, который знает все дома в городе, но шахид-такси решают транспортную проблему мегаполисов, а кожаные таксисты возят полтора человека в день.
Зачем далеко ходить, глюки не в таких масштабах конечно, но в рамках Петербурга вполне регулярны (раз в несколько дней) с BGP — провайдер для корпоративщиков ЗАО «Радион». Причем по жалобам, похоже, переключают в ручной режим — всё работает какое-то время, затем похоже самостоятельно уходит снова в автоматический и всё по-новой начинает глючить. Как вообще корпоративщики его терпят.
А у корпоративщиков, видимо, и выбора-то нет. Вот вопрос, куда смотрит какой-то-там-связь-надзор — это куда правильнее вопрос.
Конечно, БД начинают петь про эксклюзив, и формально тут не придраться — пока не появится что-то вроде закона либо иной регуляции про равный доступ к сетевым услугам. Грубо говоря, отмазки БД сейчас выглядят как «наша территория, как хотим, так и доим», и напоминают «моя земля — выращиваю наркоту как хочу» — пока закон не скажет обратного.
Конечно, БД начинают петь про эксклюзив, и формально тут не придраться — пока не появится что-то вроде закона либо иной регуляции про равный доступ к сетевым услугам. Грубо говоря, отмазки БД сейчас выглядят как «наша территория, как хотим, так и доим», и напоминают «моя земля — выращиваю наркоту как хочу» — пока закон не скажет обратного.
Что происходит с AS31133 и так всем видно. Это нормальное состояние «умирания». Аналогично было и с AS3216 (когда их купил AS16345) — просто не осталось сотрудников, которые бы могли сделать эту работу.
Некоторые транзитные операторы не могут убедить своих клиентов создать корректные route объекты. Так как клиент платит деньги за услугу, некоторые интернет-провайдеры не считают обязательным накладывать строгие фильтры, и в результате мы имеем исключения.
Это смотря что за услуга. Вообще говоря, они вроде как обещались передавать в мир анонсы этого оператора, но есть, очевидно, границы такого рода услуги — как раз передавать анонсы AS клиента, а не любые, которые он надумает сгенерировать.
Просто потому, что такое больно ударит в первую очередь по самому транзитному оператору.
https://bgpmon.net/popular-destinations-rerouted-to-russia/
Мои эстоноязычные коллеги считают что это был "хитрый план кровавой гебни" наловить иностранного трафика и пытать анализировать его в своих застенках (сделайте поправку на массово раздуваемую местным правительством милитаристическую параною).
Насколько такой вариант реалистичен вообще?
Более чем. Многократно уже были такие инцеденты, причём трафик дальше роутили без вопросов, то есть типовой MitM.
А с практической точки зрения? Это же огромная куча https, будто с пакета яровой у гебни в застенках мало шифрованного трафика? Или есть какой-то прогрессивный метод дешифровки базирующийся на поисках закономерностей в бигдате?
Я, правда, сам склоняюсь к идее "понабрали студентов за 20к рублей в месяц" и прочим шедеврам оптимизации затрат в провайдере вызвавшем такой рероут.
Сегодня — нет, завтра — есть. Несколько десятков терабайт данных, которые, возможно, потом удастся прочитать, включая миллионы кук, паролей и т.д.
Кроме того, аккуратный перехват куска чужой АС позволяет увидеть проходящий трафик. Не содержимое, а метаданные. Которые, сами по себе довольно интересная информация.
Плюс это отличная тренировка на «переключение всего трафика» на случай очередной суверенитизации интернета.
Кроме того, аккуратный перехват куска чужой АС позволяет увидеть проходящий трафик. Не содержимое, а метаданные. Которые, сами по себе довольно интересная информация.
Плюс это отличная тренировка на «переключение всего трафика» на случай очередной суверенитизации интернета.
Уже где-то писал в комментах к https-пиарной статье, напишу тут. Сделав mitm сетевого уровня к нужному https-сайту, можно без проблем за пару секунд получить DV-сертификат к нему от let's encrypt, и дальше уже делать mitm внутри https. В обычных условиях для этого достаточно быть сетевым провайдером атакуемого сайта. Если же учесть BGP-перехваты, то достаточно быть любым из множества тех, кто может их организовать. Хотя в данном случае это уже не выйдет незаметно, в отличие от первого.
Справедливости ради, некоторые особо крупные сайты вроде Google не подвержены такой атаке из-за certificate pinning.
НЛО прилетело и опубликовало эту надпись здесь
Вы хотите сказать что все желающие перехватить BGP поголовно располагаются в России?
Да и вообще, всё немного сложнее чем вы представляете.
Если the most specific приходит из России от американской компании, в этом нет ничего странного. Например, условный Фуугл, который располагается в штатах, решает поднять CDN в России. Фуугл анонсирует свою /16 из штатов, а одну /24 — из России, потому что там её CDN-сервера для России.
Глазами можно удивиться и подумать, но на сетевом уровне — это совершенно легитимная ситуация.
Более того, даже если рядом Фуугл анонсирует /23, содержащую эту /24 из другой локации в РФ, то /24 победит (the most specific), и это тоже не удивительно для сетевого оборудования или CA — такие выкрутасы в маршрутизации — норма.
Глазами можно удивиться и подумать, но на сетевом уровне — это совершенно легитимная ситуация.
Более того, даже если рядом Фуугл анонсирует /23, содержащую эту /24 из другой локации в РФ, то /24 победит (the most specific), и это тоже не удивительно для сетевого оборудования или CA — такие выкрутасы в маршрутизации — норма.
Я понял идею. Страшно.
А что Let's encrypt и другие CA говорят по этому вопросу?
А что Let's encrypt и другие CA говорят по этому вопросу?
Нашим недостаточно паранодальным соотечественникам:
petsymposium.org/2017/papers/hotpets/bgp-bogus-tls.pdf
petsymposium.org/2017/papers/hotpets/bgp-bogus-tls.pdf
Нашим прибалтийским коллегам:
You can’t measure «suspiciousness» and qualify intent in terms of BGP. But if we take a look at the set of the hijacked prefixes, they belong to both Russian and International content providers such as Google, Facebook, Microsoft, Mail.ru, Vkontakte and many more. For most ISPs this services generate most part of their traffic, and it’s common to have specified routing policy for such prefixes. Leaks of static routes in BGP is a very common mistake in this case.
You can’t measure «suspiciousness» and qualify intent in terms of BGP. But if we take a look at the set of the hijacked prefixes, they belong to both Russian and International content providers such as Google, Facebook, Microsoft, Mail.ru, Vkontakte and many more. For most ISPs this services generate most part of their traffic, and it’s common to have specified routing policy for such prefixes. Leaks of static routes in BGP is a very common mistake in this case.
вы не учитываете то что есть много желающих купить данные из этого трафика для маркетингового анализа
Технически — реалистичен вполне. Но, зная как идут дела в Мегафоне и связанных с ним операторах — я бы поставил на то, что конкретно этот инцидент является следствием кривых рук.
Почему не фильтровали магистралы ясно — сильно дорого налаживать систему фильтрации на огромной системе маршрутизаторов. Больше рисков поймать глюк с умной фильтровалкой, чем профита от фильтрации. Почему не фильтровал мегафон — загадка, вот ему то сам бог велел следить за теми, кому он выдаёт доступ в BGP роутинг. Собственно дискоммуникация и принуждение ходить через 3-го провайдера, который возьмёт на себя наведение порядка в анонсах мегафона за мзду великую должно по идее прочистить мозги кому попало и расширить бюджеты где следует…
Какие-то прямо теории заговора, получить трафик до гугла и прослушать его, мы все под колпаком. Правда в том, что у оператора есть cdn на попсовые ресурсы, на него прописаны маршруты статикой, и, бац, админ (или даже не админ, а какой-нибудь робот) косякнул и начал анонсировать их в мир. При полноценно функционирующем конечном операторре такое чинится за неделю. Ни один провайдер не фильтрует подключаемых к нему операторов по префиксам, только по as-set.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Рожденный перехватывать трафик