Comments 18
Фигасе. Я с BGP на "вы, Ваше преосвященство", так, видел издалека пару раз. Но обычно все проблемы с конфигами BGP вызывали дружную укладку наших серверов в гробы забытия. Я даже не представлял себе, сколько фигни можно было натворить. Но ведь и правда.
Тобишь можно просто сидеть и тихонько выливать левые маршруты, пока тебя не забанят?
Судя по заявлению о "неоптимальной маршрутизации", они не просто давали левые маршруты, но и честно обслуживали их. То есть пакеты не пропадали, а просто шли по более длинному пути, потому и никакой "укладки серверов в гробы" не случилось.
Однако, судя по упоминанию проблем с X/Twitter, транзитный трафик ещё и проходил через российские ТСПУ, и вот это уже и правда проблема.
Но в целом да, можно просто сидеть и выливать левые маршруты пока не забанят. У получателя маршрутов попросту нет никакого способа определить является ли маршрут левым, или у тебя и правда есть собственный канал до точки назначения.
прискорбно
Не понял суть проблемы. МТС отказался пропускать трафик между Level3 и HKIX после того как сам же заанонсил маршруты? Или не вынес этого трафика?
Суть проблемы в том, что МТС анонсировал через себя маршруты других провайдеров.
Максимально упрощённый пример - анонсируешь через себя подсети Гугла, и вместо, собственно, Гугла, трафик едет к тащмайору на ТСПУ. Не весь, разумеется - а только тех, данные которых в какой-то момент проходят через сети МТСа.
А мне вот последнее предложение более всего интересно. Ведь и правда, для того РКН такую инфраструктуру выстроил, чтобы проблемы видеть, реагировать на них, вплоть до искуственного влияния на трафик, с целью устранения. В этом смвсл и был - если кто-то недобрый специально в инете сотворит дичь, которая инет в отдельно взятых компаниях или даже странах положит/перенаправит - РКН как бы должен быть на посту, как пожарные, и быстрее Куратора замечать и реагировать, а там вот даже на вопросы (пока) не отвечают, не то что на ситуацию активно не реагируют.
было фактически ничтожным: объём трафика с неоптимальной маршрутизацией составлял менее 1% от общего трафика пользователей МТС
Ну у меня всё работает(с) А остальным и так сойдёт. Норм подход.
Согласно данным сервиса мониторинга интернет-ресурсов Qrator.Radar, оператор МТС некоторое время ошибочно анонсировал префиксы интернет-маршрутизации BGP от крупнейшей гонконгской точки обмена трафиком HKIX к американскому оператору первого уровня Level3.
По результатам учений ошибки группа ответственных товарищей была представлена к правительственным наградам.
Если бы только так. У МТС после сбоя вообще перестали быть доступны госпорталы и ЭТП.
А почему не прикрутить к BGP какие-то механизмы подтверждения того, что ты имеешь право анонсировать эти маршруты? Например, в SMTP уже давно никто не верит на слово отправителю, что он тот, за кого себя выдаёт, требуется куча всяких SPF, DKIM, DMARC. А в BGP до сих пор джентльменам верят на слово?
У SMTP есть DNS как источник информации кому чего можно. У SMTP есть NTP для получения точного времени, необходимого для проверки "протухания" подписей. А BGP обязан уметь работать в условиях, когда интернет только что полностью развалился и его надо пересобрать.
Оно есть, но ещё не всеми используется. https://blog.cloudflare.com/rpki
Qrator Labs: сбой при настройке оборудования в сети МТС привёл к инциденту в работе азиатских операторов связи