-
1. Data: 2008-02-29 18:50:56
Temat: Pożyczyć youtube...
Od: Pawel Damian <pawel@USUN_sz-ek.pl>
http://www.ripe.net/news/study-youtube-hijacking.htm
l
Jak widać wcale nie tak trudno ;)
pozdr.Paweł
-
2. Data: 2008-02-29 22:47:44
Temat: Re: Pożyczyć youtube...
Od: Lukasz Trabinski <l...@t...nospam.net>
Pawel Damian <pawel@usun_sz-ek.pl> wrote:
> http://www.ripe.net/news/study-youtube-hijacking.htm
l
>
> Jak widać wcale nie tak trudno ;)
Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_
--
ŁT
-
3. Data: 2008-02-29 23:19:35
Temat: Re: Pożyczyć youtube...
Od: wer <b...@n...pl>
Pawel Damian pisze:
> http://www.ripe.net/news/study-youtube-hijacking.htm
l
>
> Jak widać wcale nie tak trudno ;)
>
Gorzej, że w ten sposób można zakłócić pracę całego Internetu. Prosty
skrypt generujący wszystkie prefixy /24 i rozgłoszenie tego. Część tras
zostanie zatrutych. Jeśli by zrobiono to z kilku AS rozrzuconych po
świecie to już mogą być większe numery. Wystarczy włamanie na
kilkanaście routerów i Internet przez jakiś czas przestaje być używalny.
wer
-
4. Data: 2008-02-29 23:28:39
Temat: Re: Pożyczyć youtube...
Od: konrad rzentarzewski <k...@r...net>
Art from [ l...@t...nospam.net ] ...
:> http://www.ripe.net/news/study-youtube-hijacking.htm
l
:> Jak widać wcale nie tak trudno ;)
: Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_
nie tak dawno temu 31372 rozgłaszał 193.219.28.0/24, a jeden z dużych
operatorów to radośnie forwardował. no ale polski sunsite to nie youtube
:)
(fakt że uwinęli się z tym trochę szybciej niż PCCW, ale też nie była to
niedziela)
--
:|[ kondi.net ]|:::::::::::::::::::::::::::::::::::|[ 2:480/1...@f...org ]|:
-
5. Data: 2008-03-01 00:28:44
Temat: Re: Pożyczyć youtube...
Od: Tomasz Paszkowski <s...@g...com>
Dnia 29.02.2008 Lukasz Trabinski <l...@t...nospam.net> napisał/a:
> Pawel Damian <pawel@usun_sz-ek.pl> wrote:
>> http://www.ripe.net/news/study-youtube-hijacking.htm
l
>>
>> Jak widać wcale nie tak trudno ;)
>
> Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_
Kolejnym problemem do rozwiazania jest autoryzacja w as-set-ach.
--
Tomasz Paszkowski
SS7, Asterisk, IPTV, GPON
-
6. Data: 2008-03-02 13:22:22
Temat: Re: Pożyczyć youtube...
Od: rj <r...@r...org.pl>
On 5768-06-23 23:47:44 +0100, Lukasz Trabinski
<l...@t...nospam.net> said:
> Pawel Damian <pawel@usun_sz-ek.pl> wrote:
>> http://www.ripe.net/news/study-youtube-hijacking.htm
l
>>
>> Jak widać wcale nie tak trudno ;)
>
> Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_
schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
tysiecy as'ow ?
pozdr.
-
7. Data: 2008-03-02 22:01:31
Temat: Re: Pożyczyć youtube...
Od: Lukasz Trabinski <l...@t...nospam.net>
rj <r...@r...org.pl> wrote:
> schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
> pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
> tysiecy as'ow ?
Są tacy, co to robią, więc się da.
--
ŁT
-
8. Data: 2008-03-03 01:27:45
Temat: Re: Pożyczyć youtube...
Od: Łukasz Bromirski <f...@t...arms>
rj wrote:
>> Pawel Damian <pawel@usun_sz-ek.pl> wrote:
>>> http://www.ripe.net/news/study-youtube-hijacking.htm
l
>>> Jak widać wcale nie tak trudno ;)
>> Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_
> schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
> pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
> tysiecy as'ow ?
Po pierwsze można (jak pisał już Łukasz)[1].
Po drugie to wszystko kwestia dobrych praktyk - panowie z Pakistanu
próbowali zablokować ruch do youtube ze swojej sieci ale najwyraźniej
nie zrozumieli do końca blackholingu. Panowie z PCCW Global z kolei
zapomnieli napisać odpowiednie filtry, które uniemożliwiłyby AS17557
rozgłaszanie nie swojej przestrzeni adresowej.
Są to rzeczy tak proste, powtarzane aż do znudzenia, ale to nic
nie daje - jak z hasłami, uRPFem itp.
Żeby nie było że post nie w temacie grupy jednak - jeden z polskich
operatorów, prefix-lista konstrukcji jak poniżej wycina dokładnie
10781 prefiksów...
seq 10 deny 10.0.0.0/8 le 32
seq 15 deny 172.16.0.0/12 le 32
seq 20 deny 192.168.0.0/16 le 32
seq 25 deny 224.0.0.0/4 le 32
seq 26 deny 240.0.0.0/4 le 32
seq 30 deny 127.0.0.0/8 le 32
seq 35 deny 169.254.0.0/16 le 32
seq 40 deny 192.0.2.0/24 le 32
seq 45 deny 192.42.172.0/24 le 32
seq 50 deny 198.18.0.0/15 le 32
Trudno w takiej sytuacji uważać, że na naszym podwórku wszystkie
problemy zostały już rozwiązane...
[1]. http://sourceforge.net/projects/irrpt/
--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net
-
9. Data: 2008-03-03 23:29:29
Temat: Re: Pożyczyć youtube...
Od: rj <r...@r...org.pl>
On 5768-06-25 23:01:31 +0100, Lukasz Trabinski
<l...@t...nospam.net> said:
>> schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
>> pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
>> tysiecy as'ow ?
> Są tacy, co to robią, więc się da.
wiem łukaszu, wiem ;P sam przekonywałem do tego niektórych... jednakże
dla pewnych wartości ilości wpisów należy zaprzestać takiegoż
filtrowania...
pozdr.
-
10. Data: 2008-03-03 23:41:56
Temat: Re: Pożyczyć youtube...
Od: rj <r...@r...org.pl>
On 5768-06-26 02:27:45 +0100, Łukasz Bromirski <f...@t...arms> said:
>>>> http://www.ripe.net/news/study-youtube-hijacking.htm
l
>>>> Jak widać wcale nie tak trudno ;)
>>> Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_
>> schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
>> pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
>> tysiecy as'ow ?
>
> Po pierwsze można (jak pisał już Łukasz)[1].
wiem, że można. coś w podobie napisałem dawno temu w pewnej firmie...
> Po drugie to wszystko kwestia dobrych praktyk - panowie z Pakistanu
> próbowali zablokować ruch do youtube ze swojej sieci ale najwyraźniej
> nie zrozumieli do końca blackholingu. Panowie z PCCW Global z kolei
> zapomnieli napisać odpowiednie filtry, które uniemożliwiłyby AS17557
> rozgłaszanie nie swojej przestrzeni adresowej.
to kwestia zaufania... Panowie z PCCW musieli by zrobić filtr na
AS17557 i ich klientów - co być może jest sporą ilością
wpisów/AS'ów/itp.... no, chyba że zaufać AS17557 i ufać, że Panowie z
Pakistanu poprawnie filtrują swoich klientów...
przy pewnej wielkości tej "własnej przestrzeni adresowej" po prostu się
zaczyna ufać sąsiadowi...
> Żeby nie było że post nie w temacie grupy jednak - jeden z polskich
> operatorów, prefix-lista konstrukcji jak poniżej wycina dokładnie
> 10781 prefiksów...
[...]
> Trudno w takiej sytuacji uważać, że na naszym podwórku wszystkie
> problemy zostały już rozwiązane...
trudno jednakże zmusić, nawet dużych do poprawnego tworzenia obiektów
route, ba... w niektórych przypadkach trudno zmusić do zrobienia
poprawnego i aktualnego as-set'a... choć kilka firm wymusza to na
swoich klientach.
pozdr.