В копилку уязвимостей BGP — как устроена атака Kirin

[ifap]

Удивительно: за это время HTTP сколько раз переписывали, TLS, а переписать те пресловутые две салфетки - никак.

[Furriest]

Хм. А ограничение на количество префиксов от пира, которое является базовой гигиеной на любом внешнем стыке, не защищает от ужасной уязвимости?

[Gansterito]

Базовой гигиеной является поднятие только прямых сессий, желательно закрытых паролем. Любой IX - это повышение риска сбоев.

[Furriest]

Это не базовая гигиена, а исключительная паранойя.
Базовые вещи можно использовать на любом стыке, уменьшая риски. А отказ от IX - так можно вообще от всего пиринга отказаться и сбоев не будет.

И всё это не имеет отношения к моему вопросу выше :)

[Gansterito]

IX != пиринг

Пиринг - осмысленная огранизация межсетевого обмена трафиком с партнером.
IX с сессиями через RS === формат получения интернет-трафика от неопределенных сетей, разновидность IP-транзита.

Про паранойю можете рассказать Google, который лет 15 назад начал выходить на RS, и пару лет назад начал обратный процесс.

А "уязвимость" - фигня, согласен. Куда смешнее было про BGP и длиннющий AS-PATH.

[Furriest]

Так а что Гугл, там тоже люди, у них тоже паранойя. Вера в высокую квалификацию инженеров гугла у меня закончилась с момента, когда мы установили у себя GGC :)

[vrangel]

А что там с GGC?

[shy]

В Швейцарии используется и будет расширяться SCION, это уже решено.

[tec1]

Атака особенно опасна из-за распределённой природы — Kirin использует тысячи подключений, что позволяет злоумышленникам обойти традиционные механизмы защиты (например, ограничения на количество маршрутов или фильтрацию сбоев). Более того, благодаря относительной доступности виртуальных серверов, необходимую для атаки инфраструктуру можно развернуть с минимальными затратами и на легитимных AS.

Как правило, всего две сессии с RS на обменнике. На них устанавливается prefix-limit, например, в 100к. Почему это не должно сработать?