Pożyczyć youtube...
| 2008-02-29 19:50:56 |
Pożyczyć youtube... |
Pawel Damian |
http://www.ripe.net/news/study-youtube-hijacking.html
Jak widać wcale nie tak trudno ;)
pozdr.Paweł |
| 2008-02-29 23:47:44 |
Re: Pożyczyć youtube... |
Lukasz Trabinski |
Pawel Damian wrote:
> http://www.ripe.net/news/study-youtube-hijacking.html
>
> Jak widać wcale nie tak trudno ;)
Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_
--
ŁT
|
| 2008-03-01 00:19:35 |
Re: Pożyczyć youtube... |
wer |
Pawel Damian pisze:
> http://www.ripe.net/news/study-youtube-hijacking.html
>
> Jak widać wcale nie tak trudno ;)
>
Gorzej, że w ten sposób można zakłócić pracę całego Internetu. Prosty
skrypt generujący wszystkie prefixy /24 i rozgłoszenie tego. Część tras
zostanie zatrutych. Jeśli by zrobiono to z kilku AS rozrzuconych po
świecie to już mogą być większe numery. Wystarczy włamanie na
kilkanaście routerów i Internet przez jakiś czas przestaje być używalny.
wer |
| 2008-03-01 00:28:39 |
Re: Pożyczyć youtube... |
konrad rzentarzewski |
Art from [ lukasz@trabinski.nospam.net ] ...
:> http://www.ripe.net/news/study-youtube-hijacking.html
:> Jak widać wcale nie tak trudno ;)
: Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_
nie tak dawno temu 31372 rozgłaszał 193.219.28.0/24, a jeden z dużych
operatorów to radośnie forwardował. no ale polski sunsite to nie youtube
:)
(fakt że uwinęli się z tym trochę szybciej niż PCCW, ale też nie była to
niedziela)
--
:|[ kondi.net ]|:::::::::::::::::::::::::::::::::::|[ 2:480/133@fidonet.org ]|: |
| 2008-03-01 01:28:44 |
Re: Pożyczyć youtube... |
Tomasz Paszkowski |
Dnia 29.02.2008 Lukasz Trabinski napisał/a:
> Pawel Damian wrote:
>> http://www.ripe.net/news/study-youtube-hijacking.html
>>
>> Jak widać wcale nie tak trudno ;)
>
> Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_
Kolejnym problemem do rozwiazania jest autoryzacja w as-set-ach.
--
Tomasz Paszkowski
SS7, Asterisk, IPTV, GPON |
| 2008-03-02 14:22:22 |
Re: Pożyczyć youtube... |
rj |
On 5768-06-23 23:47:44 +0100, Lukasz Trabinski
said:
> Pawel Damian wrote:
>> http://www.ripe.net/news/study-youtube-hijacking.html
>>
>> Jak widać wcale nie tak trudno ;)
>
> Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_
schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
tysiecy as'ow ?
pozdr.
|
| 2008-03-02 23:01:31 |
Re: Pożyczyć youtube... |
Lukasz Trabinski |
rj wrote:
> schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
> pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
> tysiecy as'ow ?
Są tacy, co to robią, więc się da.
--
ŁT
|
| 2008-03-03 02:27:45 |
Re: Pożyczyć youtube... |
Łukasz_Bromirski |
rj wrote:
>> Pawel Damian wrote:
>>> http://www.ripe.net/news/study-youtube-hijacking.html
>>> Jak widać wcale nie tak trudno ;)
>> Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_
> schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
> pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
> tysiecy as'ow ?
Po pierwsze można (jak pisał już Łukasz)[1].
Po drugie to wszystko kwestia dobrych praktyk - panowie z Pakistanu
próbowali zablokować ruch do youtube ze swojej sieci ale najwyraźniej
nie zrozumieli do końca blackholingu. Panowie z PCCW Global z kolei
zapomnieli napisać odpowiednie filtry, które uniemożliwiłyby AS17557
rozgłaszanie nie swojej przestrzeni adresowej.
Są to rzeczy tak proste, powtarzane aż do znudzenia, ale to nic
nie daje - jak z hasłami, uRPFem itp.
Żeby nie było że post nie w temacie grupy jednak - jeden z polskich
operatorów, prefix-lista konstrukcji jak poniżej wycina dokładnie
10781 prefiksów...
seq 10 deny 10.0.0.0/8 le 32
seq 15 deny 172.16.0.0/12 le 32
seq 20 deny 192.168.0.0/16 le 32
seq 25 deny 224.0.0.0/4 le 32
seq 26 deny 240.0.0.0/4 le 32
seq 30 deny 127.0.0.0/8 le 32
seq 35 deny 169.254.0.0/16 le 32
seq 40 deny 192.0.2.0/24 le 32
seq 45 deny 192.42.172.0/24 le 32
seq 50 deny 198.18.0.0/15 le 32
Trudno w takiej sytuacji uważać, że na naszym podwórku wszystkie
problemy zostały już rozwiązane...
[1]. http://sourceforge.net/projects/irrpt/
--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net |
| 2008-03-04 00:29:29 |
Re: Pożyczyć youtube... |
rj |
On 5768-06-25 23:01:31 +0100, Lukasz Trabinski
said:
>> schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
>> pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
>> tysiecy as'ow ?
> Są tacy, co to robią, więc się da.
wiem łukaszu, wiem ;P sam przekonywałem do tego niektórych... jednakże
dla pewnych wartości ilości wpisów należy zaprzestać takiegoż
filtrowania...
pozdr.
|
| 2008-03-04 00:41:56 |
Re: Pożyczyć youtube... |
rj |
On 5768-06-26 02:27:45 +0100, Łukasz Bromirski said:
>>>> http://www.ripe.net/news/study-youtube-hijacking.html
>>>> Jak widać wcale nie tak trudno ;)
>>> Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_
>> schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
>> pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
>> tysiecy as'ow ?
>
> Po pierwsze można (jak pisał już Łukasz)[1].
wiem, że można. coś w podobie napisałem dawno temu w pewnej firmie...
> Po drugie to wszystko kwestia dobrych praktyk - panowie z Pakistanu
> próbowali zablokować ruch do youtube ze swojej sieci ale najwyraźniej
> nie zrozumieli do końca blackholingu. Panowie z PCCW Global z kolei
> zapomnieli napisać odpowiednie filtry, które uniemożliwiłyby AS17557
> rozgłaszanie nie swojej przestrzeni adresowej.
to kwestia zaufania... Panowie z PCCW musieli by zrobić filtr na
AS17557 i ich klientów - co być może jest sporą ilością
wpisów/AS'ów/itp.... no, chyba że zaufać AS17557 i ufać, że Panowie z
Pakistanu poprawnie filtrują swoich klientów...
przy pewnej wielkości tej "własnej przestrzeni adresowej" po prostu się
zaczyna ufać sąsiadowi...
> Żeby nie było że post nie w temacie grupy jednak - jeden z polskich
> operatorów, prefix-lista konstrukcji jak poniżej wycina dokładnie
> 10781 prefiksów...
[...]
> Trudno w takiej sytuacji uważać, że na naszym podwórku wszystkie
> problemy zostały już rozwiązane...
trudno jednakże zmusić, nawet dużych do poprawnego tworzenia obiektów
route, ba... w niektórych przypadkach trudno zmusić do zrobienia
poprawnego i aktualnego as-set'a... choć kilka firm wymusza to na
swoich klientach.
pozdr.
|
| 2008-03-04 09:30:07 |
Re: Pożyczyć youtube... |
Lukasz Trabinski |
rj wrote:
> przy pewnej wielkości tej "własnej przestrzeni adresowej" po prostu się
> zaczyna ufać sąsiadowi...
Widać, nie koniecznie wszyscy ufają - nie mówię tu nawet o PL, ale o
największych ISP np. w USA czy sytuacji w największych IXach.
--
ŁT
|
| 2008-03-04 11:29:16 |
Re: Pożyczyć youtube... |
Grzegorz Janoszka |
Łukasz Bromirski pisze:
> Żeby nie było że post nie w temacie grupy jednak - jeden z polskich
> operatorów, prefix-lista konstrukcji jak poniżej wycina dokładnie
> 10781 prefiksów...
>
> seq 10 deny 10.0.0.0/8 le 32
> seq 15 deny 172.16.0.0/12 le 32
> seq 20 deny 192.168.0.0/16 le 32
> seq 25 deny 224.0.0.0/4 le 32
> seq 26 deny 240.0.0.0/4 le 32
> seq 30 deny 127.0.0.0/8 le 32
> seq 35 deny 169.254.0.0/16 le 32
> seq 40 deny 192.0.2.0/24 le 32
> seq 45 deny 192.42.172.0/24 le 32
> seq 50 deny 198.18.0.0/15 le 32
>
> Trudno w takiej sytuacji uważać, że na naszym podwórku wszystkie
> problemy zostały już rozwiązane...
Oj to się bardzo zmienia w czasie. Czasem 10k, czasem 10.
A swoją drogą dlaczego nie 224.0.0.0/3 tylko to podzielone na pół? No i
przydaje się też uważać na 0.0.0.0 :)
--
Grzegorz Janoszka |
| 2008-03-04 20:04:19 |
Re: Pożyczyć youtube... |
Łukasz_Bromirski |
Grzegorz Janoszka wrote:
> Oj to się bardzo zmienia w czasie. Czasem 10k, czasem 10.
...a czasem 12k. I to nie jedyny operator który robi takie
niespodzianki. Aż się prosi o testy szczelności filtrów...;P
> A swoją drogą dlaczego nie 224.0.0.0/3 tylko to podzielone na pół? No i
> przydaje się też uważać na 0.0.0.0 :)
"nobo":
ftp://ftp.rfc-editor.org/in-notes/rfc3330.txt
http://www.iana.org/ass ignments/ipv4-address-space
A tak naprawdę bardziej:
http://au.net/drafts/draft-wilson-class-e-01.txt
Co do defaulta - no risk no fun...;P
--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net |
| 2008-03-04 22:19:43 |
Re: Pożyczyć youtube... |
Grzegorz Janoszka |
Łukasz Bromirski pisze:
> Grzegorz Janoszka wrote:
>
>> Oj to się bardzo zmienia w czasie. Czasem 10k, czasem 10.
>
> ...a czasem 12k. I to nie jedyny operator który robi takie
> niespodzianki. Aż się prosi o testy szczelności filtrów...;P
>
>> A swoją drogą dlaczego nie 224.0.0.0/3 tylko to podzielone na pół? No
>> i przydaje się też uważać na 0.0.0.0 :)
>
> "nobo":
> ftp://ftp.rfc-editor.org/in-notes/rfc3330.txt
> http://www.iana.org/assignments/ipv4-address-space
>
> A tak naprawdę bardziej:
> http://au.net/drafts/draft-wilson-class-e-01.txt
Co te dokumenty mają wspólnego z objęciem dwóch wpisów jednym?
--
Grzegorz Janoszka |
| 2008-03-04 23:07:15 |
Re: Pożyczyć youtube... |
Łukasz_Bromirski |
Grzegorz Janoszka wrote:
>>> A swoją drogą dlaczego nie 224.0.0.0/3 tylko to podzielone na pół? No
>>> i przydaje się też uważać na 0.0.0.0 :)
>>
>> "nobo":
>> ftp://ftp.rfc-editor.org/in-notes/rfc3330.txt
>> http://www.iana.org/assignments/ipv4-address-space
>>
>> A tak naprawdę bardziej:
>> http://au.net/drafts/draft-wilson-class-e-01.txt
>
> Co te dokumenty mają wspólnego z objęciem dwóch wpisów jednym?
240/4 jest już potencjalnie do wykorzystania, więc jest wyodrębniane
w filtrach dla ułatwienia kopiowania do konfiguracji. Równie
dobrze można oczywiście 224/3.
--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net |
