The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Ошибочный BGP-анонс на 74 минуты нарушил связность сетей Google и Cloudflare

13.11.2018 17:01

Маршрутизация к нескольким миллионам IP-адресов Google вчера была нарушена в результате ошибочного BGP-анонса, отправленного небольшим провайдером MainOne из Нигерии (AS 37282). Данный провайдер анонсировал для своей автономной системы 212 префиксов подсетей Google, после чего новый маршрут подхватил крупнейший китайский провайдер China Telecom (AS 4809) и ретранслировал его для своих пиров, среди которых изменение приняли Транстелеком, NTT и многие другие транзитные провайдеры первого уровня (Tier 1).

В результате инцидента во многих регионах подсети Google оказались недоступны в течение 74 минут. Проблема затронула IP-адреса большинства сервисов и облачной сети Google, а также коснулось многих сторонних сайтов, использующих Google Cloud Platform, в том числе ‎Spotify. Инцидент также нарушил работоспособность внутренней сети Google, так как среди перенаправленных подсетей также фигурировали корпоративные IP-адреса и Google VPN.

В этот же день следом за префиксами Google тот же нигерийский провайдер анонсировал префиксы сетей Cloudflare, которые также были приняты China Telecom и переданы по цепочке пирам. Поступающий в результате ошибочного анонса трафик блокировался на одном из пограничных машрутизаторов China Telecom.

Представители Google и Cloudflare считают, что BGP-анонс был вызван ошибкой, а не злым умыслом или вредоносной активностью. Разбор показал, что после завершившейся несколько недель назад конференции провайдеров Нигерии, была предпринята попытка модернизации инфраструктуры и усиления прямой связности нигерийских провайдеров. Google и Cloudflare являются единственными крупными сетями, подключившимися к точке обмена трафиком нигерийских провайдеров (IXPN). В процессе настройки прямого подключения к данной точке обмена трафиком мелким провайдером MainOne были допущены ошибки и некорректные данные о маршрутизации утекли в China Telecom, который, в свою очередь, анонсировал их своим пирам.

Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов. В вышеописанном инциденте часть вины лежит на провайдере China Telecom, который не использует в своей инфраструктуре какую-либо фильтрацию маршрутов и доверяет всем BGP-анонсам. На днях был опубликован отчёт, в котором озвучены сведения о прошлых перенаправлениях трафика с использованием BGP, наблюдаемых в China Telecom с 2014 года. В том числе, один из похожих инцидентов, произошедший в 2015 году, подтвердила компания Oracle.

Тем временем, компанией Cisco в Иране зафиксирована попытка перехвата трафика Telegram и Instagram с использованием BGP. По данным исследователей попытки перехвата наблюдаются с 2017 года и направлены против приблизительно 40 млн иранских пользователей, которые продолжают пользоваться мессенджером Telegram, несмотря на его запрет в Иране. В ходе атаки для получения контроля за учётными записями пользователям выводились фиктивные страницы входа. Также выявлены попытки распространения вредоносного клона приложения Telegram, размещаемого в официальных репозиториях, таких как Google Play.

  1. Главная ссылка к новости (https://arstechnica.com/inform...)
  2. OpenNews: Фишинг-атака на платёжную систему Trezor, вероятно проведённая с использованием BGP
  3. OpenNews: Зафиксирована попытка использования BGP для захвата трафика IP 1.1.1.1
  4. OpenNews: Для атаки на MyEtherWallet использовался захват DNS-сервиса Amazon при помощи BGP
  5. OpenNews: BGPsec получил статус предложенного стандарта
  6. OpenNews: Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49603-bgp
Ключевые слова: bgp, google, cloudflare
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (59) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 17:41, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Фильтров нету анонси что попало
     
     
  • 2.6, пох (?), 18:01, 13/11/2018 [^] [^^] [^^^] [ответить]  
  • –8 +/
    ответственности нету, а не фильтров. При том что никаких "неизвестных хакеров" в bgp быть не может, и крайний всегда известен совершенно точно.

    если за такие фокусы нигры будут пол-года без интернета - они мгновенно и навсегда обучатся не подпускать рукожопов к оборудованию.

    а фильтры "всего интернета" сводят весь смысл от bgp к #@ю.

     
     
  • 3.35, псевдонимус (?), 23:07, 13/11/2018 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Смотри,как бы омерика не осталась без интернетов(хотя ваши реднеки и не заметят). А гугль без пользователей.
     
  • 3.39, псевдонимус (?), 00:57, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Да,надутый сноб пох,давно потерявший профессиональную хватку,если омерика попытается нарушить межбанковские операции её экономику свернут в бараний рог.

    П.с Слышу от тебя очень много болтовни как все всё неправильно делают и ни одного совета как делать правильно(попытка потребовать за совет денег будет рассматриваться как -дство)

     
     
  • 4.62, Михрютка (ok), 17:38, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    я извиняюсь

    людям, которые фантазируют про гугель без пользователей, "омереку" без интернета и со свернутой в бараний рог экономикой

    давать советы
    даже за деньги
    даже за большие деньги

    это сочетание неприятного с бесполезным

     
     
  • 5.63, псевдонимус (?), 19:09, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Махнатка,не серчай,дай слово молвить.За нарушение межбанковского обмена правтельство омерики покарают собственно корпорации в ней и зарегистрированные.Хотя и европка подтянуться собирается.
     
     
  • 6.65, Михрютка (ok), 21:15, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Махнатка,не серчай,дай слово молвить.За нарушение межбанковского обмена правтельство
    > омерики покарают собственно корпорации в ней и зарегистрированные.Хотя и европка подтянуться
    > собирается.

    передайте родителям, чтобы лучше следили за вашей посещаемостью в школе.

    если б вы политинформацию в понедельник не прогуляли, вы бы знали, что неделю назад США именно что нарушили межбанковский обмен с Ираном, например, сделав SWIFT предложение, от которого они не смогли отказаться.

     
     
  • 7.66, псевдонимус (?), 22:13, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С ираном ничего не сделается,махнатка.За ним стоит Китай.И Франция собирается встать.Если бы у тебя не было телевизора,то ты бы это уже знал.

    П.с. Откуда у тебя такое  неприятие и пренебрежение к школе и школьникам?Травили тебя там,или оценки плохие получал?

     

  • 1.2, Аноним (2), 17:44, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Гы... урок Пакистанской чёрной дыры для Ютьюба не всем пошёл впрок.
     
  • 1.3, OpenZFS (?), 17:46, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да, со вчера на сегодня по Москве гугл лежал полностью: поиск, почта, ютуб
     
     
  • 2.5, Анонимус_б6_выпуск_3 (?), 17:47, 13/11/2018 [^] [^^] [^^^] [ответить]  
  • +20 +/
    может это и к лучшему?
     

  • 1.9, Аноним (9), 18:19, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Ох уж эти нигерийцы. Вначале просто слали спам, теперь портят интернет.
     
     
  • 2.32, псевдонимус (?), 22:50, 13/11/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    В этом деле(испоганивании интернета)им до гугля далеко.
     
     
  • 3.48, DmA (??), 09:07, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    больше всего поганят Интернет боты продажные!
     
     
  • 4.54, псевдонимус (?), 14:18, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ты в гугле работаешь? Если дато ты вообще конченый человек.Хотя скорее всего пострадал твой долбобизнес,мудро завязанный а гугль.
     
  • 2.45, Аноним (45), 07:29, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    При чём тут нигерийцы? Просто в ООНе кто-то самый умный решил всех принудительно заинтернетить, а кадров нема, вот издержки и пошли...
     

  • 1.10, freehck (ok), 18:36, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Всего лишь один пакет вырубил Google на 74 минуты. Вот она -- крутизна! :)
     
     
  • 2.40, псевдонимус (?), 01:25, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Завидуешь?)
     

  • 1.13, Аноним (13), 19:20, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > мелким провайдером MainOne

    Лол. Какой маленький, но гордый провайдер со скромным и совсем не амбициозным названием.

     
     
  • 2.16, Нанобот (ok), 19:57, 13/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    у него ipv6-префиксов больше, чем у всех провайдеров моего города, вместе взятых. не такой он и маленький
     
     
  • 3.41, cutlass (?), 03:54, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Они что не знают, что ipv6 не взлетел?
     
     
  • 4.50, freehck (ok), 09:33, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Они что не знают, что ipv6 не взлетел?

    Не взлетел, серьёзно? Ты статистику давно видел? :/
    https://www.google.com/intl/en/ipv6/statistics.html

     
     
  • 5.57, Аноним (57), 15:33, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На графике равномерная ёлочка, подозрительное увеличение.
     
  • 4.52, Аноним (52), 10:57, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Не взлетел в Рашке? Да и то, чтобы лишний раз не нарываться на нагибы РКНа.
     
     
  • 5.58, псевдонимус (?), 16:41, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Он просто ненужен.айпив6 мертворожденное нечто.
     
  • 2.30, ползкрокодил (?), 22:44, 13/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Между прочим, в маленькой Нигерии населление выше, чем во всей РФ.
     
     
  • 3.49, Антон (??), 09:14, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Россию "Нигерией в снегах" не просто так назвали. Примерно схожие показатели.
     
  • 2.34, псевдонимус (?), 22:52, 13/11/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Маленький,но гордый.Поэтому кого хочет,того и выключает)
     

  • 1.17, Аноним (17), 20:09, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > крупнейший китайский провайдер China Telecom
    > ошибочный анонс

    orly? /0

     
  • 1.18, Аноним (18), 20:52, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите несведущему, что мешает мне скрафтить BGP-пакет, подменив src, и отправить его в тот же China Telecom?
     
     
  • 2.21, КО (?), 21:24, 13/11/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    твоя несведущесть помешает тебе.

    сведущему помешает то, что подменить вообще крайне сложно без физического доступа к кабелю, да еще и сессионные пароли в bgp вполне себе бывают.

    а в новости совсем даже обошлось без подмены - нигра вполне настоящий анонс получила, и вполне честно его проанонсила. Не будь у китайца ненужно-файрвола при отсутствии нужно-фильтра в комплекте - пакеты для гугля на самом деле поехали бы в бантустан, где у нигры бы лопнул линк, на этом анонсы бы тоже кончились, и никто бы ничего не заметил. Ну или не лопнул бы, что маловероятно, и нигра бы оплатила терабайты траффика.

     
     
  • 3.23, erthink (ok), 21:32, 13/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > сведущему помешает то, что подменить вообще крайне сложно без физического доступа к
    > кабелю, да еще и сессионные пароли в bgp вполне себе бывают.

    Так "фишка" же в другом - мало-мало кто фильтрует (или как корректнее выразиться) прилетающие анонсы от своих пиров, а честно их учитывает и отправляет дальше.

    Лямин уже лет 5 об этом страшилки всяческие рассказывает.

     
  • 2.51, Нанобот (ok), 10:12, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Подскажите несведущему, что мешает мне скрафтить BGP-пакет, подменив src, и отправить его
    > в тот же China Telecom?

    скрафтить и отправить - ничего не мешает. просто на другом конце его проигнорируют

     
  • 2.53, zanswer CCNA RS and S (?), 12:26, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Создать BGP UPDATE вам будет и правда не сложно, да и TCP segment, в придачу с IP пакетом. Только вот есть одна проблема, вы не знаете не Initial Sequence Number, не текущий Sequence Number, не даже размер TCP Window. А значит шансы вклиниться в TCP сессию между China Telecom и MainOne у вас чуть более, чем полностью отсутствуют. Иными словами BGP инстанс на той большой Cisco/Juniper/Huawei даже не узнает о том, что его BGP peer MainOne якобы объявил новые NLRI.
     
     
  • 3.56, Сергей (??), 15:21, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вы хотите сказать что BGP пакеты вот так просто бегают вместе с публичным трафиком по каналам? Я думал последняя миля как минимум обмазывается разными слоями энкапсуляции типа MPLS и не может пересекаться с BGP трафиком на L3.
     
     
  • 4.59, Dmitriy (??), 16:58, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да, именно так и есть. BGP вместе с остальным трафиком летает.
     
  • 4.61, zanswer CCNA RS S (?), 17:30, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Верно, не какой _специальной_ инкапсуляции на стыке двух операторов нет. Для обеспечения безопасности пиров в BGPv4 предусмотрена возможность аутентификации передаваемых пакетов путём использования MD5 или того, что поддерживает ваш маршрутизатор.
     

  • 1.19, Аноним 80_уровня (ok), 20:54, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Фильтры на даунлинков?
    Не, не слыхали.
     
     
  • 2.22, КО (?), 21:26, 13/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    дружище, вот China Telecom и ТрансТелеком - кто кому "даунлинк" и кто тут, собственно, даун?

     
     
  • 3.36, Аноним 80_уровня (ok), 23:34, 13/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    TTK — плохой пример, IMHO.
    А так, кто платит — тот и даунлинк.
     
     
  • 4.42, cutlass (?), 03:58, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если факты не подтверждают теорию, тем хуже для фактов.
     
  • 3.46, Олег (??), 08:40, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ясен фильтры верхнего провайдера MainOne на него же.
     
     
  • 4.55, КО (?), 15:20, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а, ти в этом смисле. Ну да, могли бы быть (я у себя ставил для потенциально-одаренных клиентов, будь они хоть десять лет LIR - но мы-то были далеко не 1st tier, что, кстати, увеличивает шансы на особую одаренность) - но опять же, сильно зависит от размера этого верхнего. С какого-то момента становится проще и дешевле реагировать на такие фокусы по факту, чем держать на все сотни тыщ клиентов правильные фильтры на всех железках.

     
     
  • 5.70, Олег (??), 00:01, 17/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > С какого-то момента становится проще и дешевле реагировать на такие фокусы по факту, чем держать на все сотни тыщ клиентов правильные фильтры на всех железках.

    Фигня. Это и есть то за что админам деньги платят. А железки автоматизируются.

     

  • 1.20, erthink (ok), 20:55, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    BGP и кривые руки раскатают Инет быстрее, чем просто кривые руки.
     
  • 1.24, КГБ СССР (?), 21:43, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов.

    Как считает многоуважаемый All — не связаны ли на самом деле такие инциденты с возникновением так называемых CDN-ов?

     
     
  • 2.25, erthink (ok), 21:52, 13/11/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов.
    > Как считает многоуважаемый All — не связаны ли на самом деле такие инциденты с
    > возникновением так называемых CDN-ов?

    Скорее уж это следствие роста кол-ва AS'ок (автономных систем), что выводится как неизбежное из термодинамики (рост энтропии и вот это всё).

    ;)

     
     
  • 3.29, КГБ СССР (?), 22:29, 13/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > неизбежное из термодинамики (рост энтропии и вот это всё).

    Тут уж возразить и нечего, да. :)

     
     
  • 4.43, Акакжев (?), 05:56, 14/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В то время как люди строят реакторы на быстрых нейтронах, британские учёные всё ищут Демона Максвелла.
     

  • 1.44, Дуплик (ok), 07:12, 14/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Где живут нигерийцы?
     
  • 1.47, Олег (??), 08:42, 14/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Фак. Только в европе апстримы сношают фильтрами клиентов, блин?.. Нигерийцы клали походу.
     
     
  • 2.69, пох (?), 16:13, 15/11/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    и даже в европе - не все апстримы.
    потому что бессмысленное занятие, а расхлебывать образовавшиеся из-за этих фильтров проблемы гораздо сложнее, чем раз в пять лет удушить одного нигерийца.

    но тут, заметьте, дело не только в отсутствии фильтров анонсов, а еще и в наличии фильтров по ip у чайна-телекома-  иначе бы оно уехало туда, откуда проанонсилось, и виновник праздника огребся бы мгновенно - а такое бывает - только у китайцев и еще одной соседней с ними страны и ее сателлитов.

     
     
  • 3.71, Олег (??), 09:01, 17/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > бессмысленное занятие

    Не могу согласиться.

    > расхлебывать образовавшиеся из-за этих фильтров проблемы гораздо сложнее, чем раз в пять лет удушить одного нигерийца.

    Если стабильность работы для провайдера на первом месте, то проблемы с фильтрами надо решать.

    Я ещё вижу возможный гемор, если твои клиенты транзитёры сами, но если они тупиковые, то  никаких проблем с фильтрами, кроме необходимости их грамотного создания, быть не может.

    >в наличии фильтров по ip у чайна-телекома-  иначе бы оно уехало туда, откуда проанонсилось

    При наличии нормальных фильтров аннонсов, не вижу смысла в фильтрах по ip. По мне так это как раз и будет гемор добавлять. Разве нет?

     
     
  • 4.72, пох (?), 18:41, 18/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Если стабильность работы для провайдера на первом месте, то проблемы с фильтрами надо решать.

    сносом фильтров. Большая часть 1st tier давно так и сделала.

    потому что во-первых нет надежных источников информации для этих фильтров, во-вторых, никто спасибо не скажет.

    > Я ещё вижу возможный гемор, если твои клиенты транзитёры сами, но если они тупиковые,

    если они тупиковые, и не анонсят ничего кроме своей единственной /24, то можно, конечно, копаться с фильтрами, а буде захотят поанонсить еще одну - пусть через менеджера получат обобрям, мы через неделю разрешим.

    но таким обычно необходимо и достаточно ограничить число префиксов единицами штук - оно тебе пригодится, когда от такого индивидуя приедет full-view через второго апстрима полученный (а он приедет, не сегодня, так завтра), и сложить сессию гораздо эффективнее, чем фильтровать - в том числе и потому, что дятел получает по рукам сразу, и, скорее всего, сообразит, что его собственные действия вызвали этот обрыв.

    А в данном случае нигга-чейто-там-клиент и анонсил не /24, и на IX местной был представлен (то есть он нифига не мелочь деревенская, у которой и второй апстрим-то фейковый), и скорее всего и собственных пиров/даунстримов имел.

     
     
  • 5.73, Олег (??), 23:26, 18/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >если они тупиковые, и не анонсят ничего кроме своей единственной /24, то можно, конечно, копаться с фильтрами, а буде захотят поанонсить еще одну - пусть через менеджера получат обобрям, мы через неделю разрешим.

    Что значит копаться :-)? Там делов на 2 минуты прописать фильтр. А по поводу менеджеров - это как организуешь. У нас это быстро делается.

    Я конечно не tier1, но и транзитёры есть даунлинками и на всех фильтры, ибо страшно как-то без фильтров. Никакого гемора не ощущаю.

     
     
  • 6.74, пох (?), 07:23, 19/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Что значит копаться :-)? Там делов на 2 минуты прописать фильтр.

    для админа локалхоста всегда любая задача - "делов на 2 минуты", только потом либо не работает, потому что не подумано, либо работает неправильно, но он об этом так и остается в блаженном неведении.

    судя по тому что ты еще и вручную их "прописываешь", там именно локалхост.

    А теперь подумай, на секундочку, как выглядят сети покрупнее твоей, сколько там разных мест с _разными_ фильтрами и сколько в час ты будешь получать "мы началали/перестали анонсить префикс ..../.. " от своего менеджера, и по ночам тоже, если будешь иметь глупость все делать вот так.

    И теперь сюрприз на закусочку: от Калининграда до Новгорода у Ростелекома нормальный инженер - _один_. Так что не надейся, что эту бессмысленную работу удастся поделить на отдел из пятидесяти человек - даже если ты в China Telecom устроишься.

     
     
  • 7.75, Олег (??), 01:07, 21/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >для админа локалхоста всегда любая задача - "делов на 2 минуты", только потом либо не работает, потому что не подумано, либо работает неправильно, но он об этом так и остается в блаженном неведении.

    Да нет. Сколько лет уже работает, проблем нет. Потому, что один раз подумано, что бы потом за 2 минуты добавлять. Но любителям костылей это неведомо.

    >судя по тому что ты еще и вручную их "прописываешь", там именно локалхост.

    Ага. Ведь куда на локалхосте без bgp в наше время.

    >А теперь подумай, на секундочку, как выглядят сети покрупнее твоей, сколько там разных мест с _разными_ фильтрами и сколько в час ты будешь получать "мы началали/перестали анонсить префикс ..../.. " от своего менеджера, и по ночам тоже, если будешь иметь глупость все делать вот так.

    Я что-то с трудом представляю магистрала, у которого настолько много клиентов, что у него движуха с новыми анонсами несколько раз в час.

    И какая нафиг ночь? Среди ночи кто-то решил новую сеть анонсить? Что за бред.

    И ещё, если это крупная сеть, то опять же найдутся деньги на обезьянку, задача которой будет проверить с помощью подручного скрипта и ripe db, что всё норм.

    >И теперь сюрприз на закусочку: от Калининграда до Новгорода у Ростелекома нормальный инженер - _один_. Так что не надейся, что эту бессмысленную работу удастся поделить на отдел из пятидесяти человек - даже если ты в China Telecom устроишься.

    Если ты знаком с провайдингом не по рассказам друга, то тебе должно быть известно на собственном опыте, что Ростелеком это не пример в подобной ситуации :-). Ростелеком это анекдот у сетевиков.

     

  • 1.60, IZh. (?), 17:19, 14/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов

    Спасёт ли авторизация от кривых рук, которые так же всё и подпишут?

     
     
  • 2.68, Аноним (68), 08:45, 15/11/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Спасёт ли авторизация от кривых рук, которые так же всё и подпишут?

    Как вы себе представляйте ситуацию, когда инженер Google подписывает анонс мелкого нигерийского ISP?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру