http://www.ripe.net/news/study-youtube-hijacking.htm
l

Jak widać wcale nie tak trudno ;)

pozdr.Paweł

do góry

Pawel Damian <pawel@usun_sz-ek.pl> wrote:
> http://www.ripe.net/news/study-youtube-hijacking.htm
l
>
> Jak widać wcale nie tak trudno ;)

Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_

--
ŁT

do góry

Pawel Damian pisze:
> http://www.ripe.net/news/study-youtube-hijacking.htm
l
>
> Jak widać wcale nie tak trudno ;)
>

Gorzej, że w ten sposób można zakłócić pracę całego Internetu. Prosty
skrypt generujący wszystkie prefixy /24 i rozgłoszenie tego. Część tras
zostanie zatrutych. Jeśli by zrobiono to z kilku AS rozrzuconych po
świecie to już mogą być większe numery. Wystarczy włamanie na
kilkanaście routerów i Internet przez jakiś czas przestaje być używalny.

wer

do góry

Art from [ l...@t...nospam.net ] ...

:> http://www.ripe.net/news/study-youtube-hijacking.htm
l
:> Jak widać wcale nie tak trudno ;)
: Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_

nie tak dawno temu 31372 rozgłaszał 193.219.28.0/24, a jeden z dużych
operatorów to radośnie forwardował. no ale polski sunsite to nie youtube
:)

(fakt że uwinęli się z tym trochę szybciej niż PCCW, ale też nie była to
niedziela)

--
:|[ kondi.net ]|:::::::::::::::::::::::::::::::::::|[ 2:480/1...@f...org ]|:

do góry

Dnia 29.02.2008 Lukasz Trabinski <l...@t...nospam.net> napisał/a:
> Pawel Damian <pawel@usun_sz-ek.pl> wrote:
>> http://www.ripe.net/news/study-youtube-hijacking.htm
l
>>
>> Jak widać wcale nie tak trudno ;)
>
> Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_

Kolejnym problemem do rozwiazania jest autoryzacja w as-set-ach.


--
Tomasz Paszkowski
SS7, Asterisk, IPTV, GPON

do góry

On 5768-06-23 23:47:44 +0100, Lukasz Trabinski
<l...@t...nospam.net> said:

> Pawel Damian <pawel@usun_sz-ek.pl> wrote:
>> http://www.ripe.net/news/study-youtube-hijacking.htm
l
>>
>> Jak widać wcale nie tak trudno ;)
>
> Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_

schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
tysiecy as'ow ?

pozdr.

do góry

rj <r...@r...org.pl> wrote:
> schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
> pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
> tysiecy as'ow ?

Są tacy, co to robią, więc się da.

--
ŁT

do góry

rj wrote:

>> Pawel Damian <pawel@usun_sz-ek.pl> wrote:
>>> http://www.ripe.net/news/study-youtube-hijacking.htm
l
>>> Jak widać wcale nie tak trudno ;)
>> Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_
> schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
> pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
> tysiecy as'ow ?

Po pierwsze można (jak pisał już Łukasz)[1].

Po drugie to wszystko kwestia dobrych praktyk - panowie z Pakistanu
próbowali zablokować ruch do youtube ze swojej sieci ale najwyraźniej
nie zrozumieli do końca blackholingu. Panowie z PCCW Global z kolei
zapomnieli napisać odpowiednie filtry, które uniemożliwiłyby AS17557
rozgłaszanie nie swojej przestrzeni adresowej.

Są to rzeczy tak proste, powtarzane aż do znudzenia, ale to nic
nie daje - jak z hasłami, uRPFem itp.

Żeby nie było że post nie w temacie grupy jednak - jeden z polskich
operatorów, prefix-lista konstrukcji jak poniżej wycina dokładnie
10781 prefiksów...

seq 10 deny 10.0.0.0/8 le 32
seq 15 deny 172.16.0.0/12 le 32
seq 20 deny 192.168.0.0/16 le 32
seq 25 deny 224.0.0.0/4 le 32
seq 26 deny 240.0.0.0/4 le 32
seq 30 deny 127.0.0.0/8 le 32
seq 35 deny 169.254.0.0/16 le 32
seq 40 deny 192.0.2.0/24 le 32
seq 45 deny 192.42.172.0/24 le 32
seq 50 deny 198.18.0.0/15 le 32

Trudno w takiej sytuacji uważać, że na naszym podwórku wszystkie
problemy zostały już rozwiązane...

[1]. http://sourceforge.net/projects/irrpt/

--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net

do góry

On 5768-06-25 23:01:31 +0100, Lukasz Trabinski
<l...@t...nospam.net> said:

>> schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
>> pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
>> tysiecy as'ow ?
> Są tacy, co to robią, więc się da.

wiem łukaszu, wiem ;P sam przekonywałem do tego niektórych... jednakże
dla pewnych wartości ilości wpisów należy zaprzestać takiegoż
filtrowania...

pozdr.

do góry

On 5768-06-26 02:27:45 +0100, Łukasz Bromirski <f...@t...arms> said:

>>>> http://www.ripe.net/news/study-youtube-hijacking.htm
l
>>>> Jak widać wcale nie tak trudno ;)
>>> Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_
>> schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
>> pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
>> tysiecy as'ow ?
>
> Po pierwsze można (jak pisał już Łukasz)[1].

wiem, że można. coś w podobie napisałem dawno temu w pewnej firmie...

> Po drugie to wszystko kwestia dobrych praktyk - panowie z Pakistanu
> próbowali zablokować ruch do youtube ze swojej sieci ale najwyraźniej
> nie zrozumieli do końca blackholingu. Panowie z PCCW Global z kolei
> zapomnieli napisać odpowiednie filtry, które uniemożliwiłyby AS17557
> rozgłaszanie nie swojej przestrzeni adresowej.

to kwestia zaufania... Panowie z PCCW musieli by zrobić filtr na
AS17557 i ich klientów - co być może jest sporą ilością
wpisów/AS'ów/itp.... no, chyba że zaufać AS17557 i ufać, że Panowie z
Pakistanu poprawnie filtrują swoich klientów...

przy pewnej wielkości tej "własnej przestrzeni adresowej" po prostu się
zaczyna ufać sąsiadowi...

> Żeby nie było że post nie w temacie grupy jednak - jeden z polskich
> operatorów, prefix-lista konstrukcji jak poniżej wycina dokładnie
> 10781 prefiksów...

[...]

> Trudno w takiej sytuacji uważać, że na naszym podwórku wszystkie
> problemy zostały już rozwiązane...

trudno jednakże zmusić, nawet dużych do poprawnego tworzenia obiektów
route, ba... w niektórych przypadkach trudno zmusić do zrobienia
poprawnego i aktualnego as-set'a... choć kilka firm wymusza to na
swoich klientach.

pozdr.

do góry