«Реформа маршрутизаторов» никому не нужна

[bondbig]

Как говорят — «это не баг, это фича».
Кроме того, решение проблемы давно есть, но не все им пользуются. Нужно просто следовать routing policy и не принимать анносы от левых, не прописаных в route object'ах AS'ки.

[scamp]

>взламывали
стыд, стыд, стыд.
не взламывали, а просто проанонсили что-то левое, а у аплинка не были корректно настроены фильтры.
у большинства вменяемых магистралов уже давно работает фильтрация по route-object-ам, так что им какие-либо реформы точно не нужны.

[pwlnw]

Ну это в России в области влияния RIPE, а в Америке ARIN, говорят, многие плевали на эти фильтры. Исследователи вполе реальные вещи описывают исходя из своей специфики.
Нам, типа, повезло чуть больше.

[ufik]

Ну они плюют до первого неудачного анонса, который завалит чтонить нужное. Это как руки не мыть после улицы, если проносит по лёгкому то и не «парятся», а когда с дифтерией на фаянсе несколько дней сидят сразу начинают думать.

[ufik]

Только конечно не с дифтерией =), напутал немного.

[AlexeyK]

пока гром не грянет, мужик не перекрестится

[TravisBickle]

«Пока жареный петух в жопу не клюнет — ничего делать не будут» Венедикт Ерофеев, «Вальпургиева ночь, или Шаги командора», 1985 г.

[antazy]

Наверное много таких кнопок отключения интернета. О которых мы — обычные пользователи, даже и не догадываемся.

[antazy]

Президенты много чего говорят. Только вот политика с бизнесом может делать всё что угодно.
Примеры надеюсь сами додумаете.

[EvilX]

Как вы это себе представляете?

[antazy]

Я себе это представляю так: если кто-то один (или какая-нибудь группа лиц) захочет, чтобы по тем или иным причинам (конечно политическим) отключился интернет, например региональный, то это произойдет.

[EvilX]

Да это не проблема. Китайцы, пример, в Урумчах.
Технически ничего сложного, на уровне магистралов это сделать. Но ещё придётся заглушить как-то дуплексный спутник и носимые терминалы.

[antazy]

Кстати, вроде как китайцы теперь могут глушить спутники :)

[EvilX]

Так же, как любую другую радио-связь. Там же УКВ. На ограниченной территории можно поставить глушилку, и никому другому не помешает.

[EvilX]

Беда в том, что в самом протоколе и политиках эти баги предусмотрены. Но, к сожалению, не все им следуют и соблюдают. Если бы следовали, то и прошлогоднего инциндента можно было избежать, хотя бага была редкая, и многих других.

[amarao]

Не принимайте посторонние анонсы от даунлинков, и станет всё хорошо.

[z123]

ничего не станет. если в один прекрасный день ваши сети начнут анонситься из какой-нибуть банановой республики, вы хоть принимайте, хоть не принимайте эти анонсы, интернет у вас не появится.

в ютубе разрешили проблему за пару часов (отключением пакистан телекома, если не ошибаюсь), а сможете ли вы так же оперативно отключить источник из банановой республики)

[amarao]

Имеется в виду, что так должны делать все аплинки. Коллективная этика, однако.

[z123]

ну, технически, пока вы им деньги не платите, ничего они вам не должны :) и если вдруг что-то случится, претензии им предъявить вряд ли получится

в целом ситуация получается такая, что отдельно взятый админ никоим образом не может защитить свою сеть от угрозы

[amarao]

На этом строится интернет. Если аплинк деньги с вас получает — то дальше нет. Только добрая воля и осознание полезности интерконнекта даёт связность сетей.

Алсо, когда жадность перевешивает добрую волю, начинается пирринговая война.

[z123]

>Только добрая воля и осознание полезности интерконнекта даёт связность сетей.

вот только одна злая воля может, не особо напрягаясь, перекрыть тысячи добрых воль.
блин, ну когда уже террористы дорастут до этого уровня?! а то всё взрывы да письма… :)

[tarlarion]

Миллион человек, которые могут повлиять на работу интернета?
Никаких хакеров не дано тогда, рано или поздно (я так понимаю это уже доказано)
просто человеческий фактор сыграет свою решающе-фатальную роль.

Какая безопасность, когда столько людей имеют непосредственные рычаги управления сетью?

[EvilX]

Рычаги эти чисто теоретические. Большинство деструктивных действий затронет только небольшой региональный участок сети.

[botnet]

я думаю спасут различные IX-ы, когда заблудший пакет пойдёт по альтернативному маршруту.

[bondbig]

а при чем тут IX'ы? Вы хоть поняли суть багофичи?

[flx]

Вообще есть и гораздо более изящные способы чем анонс чужой сети.
И да, BGP v4 как протокол которому уже 15+ лет и который все эти 15 лет развивался исключительно эволюцией по принципу «О! А давайте добавим 64bit ASN, но чтобы дешево было» — да он имеет целый набор проблем.

Если нет желания про них узнать — фильтруйте не только апдейты но и вообще трафик к вашим бордерам.

И да, из этих 15+ лет, как минимум 10, много-много людей знает о проблемах в BGPv4. Время-от времени появляются волны интереса общественности (после очередного громкого факапа как правило)…

И все продолжают ждать петуха.

[z123]

имхо, пока аль-каида (ну или ещё кто-нибуть) не подсуетится, всё так останется

[impass]

The Register: Glitch diverts net traffic through Chinese ISP

The bad networking information originated from IDC China Telecommunication and was soon retransmitted by China's state-owned China Telecommunications. ISPs including AT&T, Level3, Deutsche Telekom, Qwest Communications and Telefonica soon incorporated the data into their tables as well, IDG said.
As a result, routing information for 32,000 to 37,000 networks was affected, potentially causing them to be redirected through IDC China instead of their path. Some 8,000 of the networks were located in the US, including those operated by Dell, Apple, CNN, and Starbucks. Networks in Australia, China and elsewhere were also affected.

At the 2008 Defcon hacker conference in Las Vegas, researchers demonstrated a BGP attack that allowed them to redirect traffic bound for the conference network to a system they controlled in New York. Also in 2008, large chunks of the internet lost access to YouTube when BGP tables inside Pakistan spread to other countries.