https://www.opennet.ru/openforum/vsluhforumID3/115821.html Маршрутизация к нескольким миллионам IP-адресов Google вчера была нарушена (https://blog.thousandeyes.com/internet-vulnerability-takes-down-google/) в результате ошибочного BGP-анонса, отправленного небольшим провайдером MainOne из Нигерии (AS 37282 (https://bgpview.io/asn/37282)). Данный провайдер анонсировал для своей автономной системы 212 префиксов (https://portal.bgpmon.net/data/google-leak-nov2018.txt) подсетей Google, после чего новый маршрут подхватил крупнейший китайский провайдер China Telecom (AS 4809 (https://bgpview.io/asn/4809)) и ретранслировал его для своих пиров, среди которых изменение приняли Транстелеком, NTT и многие другие транзитные провайдеры первого уровня (Tier 1). <br><br><br><br><br>В результате инцидента во многих регионах подсети Google оказались (https://twitter.com/bgpmon/status/1062130855072546816) недоступны в течение 74 минут. Проблема затронула IP-адреса большинства сервисов и облачной сети Google, а также коснулось многих сторонних сайтов, использующих Google Cloud Platform, в том ч https://www.opennet.ru/openforum/vsluhforumID3/115821.html#75 Tue, 20 Nov 2018 22:07:16 GMT &gt;для админа локалхоста всегда любая задача - "делов на 2 минуты", только потом либо не работает, потому что не подумано, либо работает неправильно, но он об этом так и остается в блаженном неведении.<br><br>Да нет. Сколько лет уже работает, проблем нет. Потому, что один раз подумано, что бы потом за 2 минуты добавлять. Но любителям костылей это неведомо.<br><br>&gt;судя по тому что ты еще и вручную их "прописываешь", там именно локалхост.<br><br>Ага. Ведь куда на локалхосте без bgp в наше время.<br><br>&gt;А теперь подумай, на секундочку, как выглядят сети покрупнее твоей, сколько там разных мест с _разными_ фильтрами и сколько в час ты будешь получать "мы началали/перестали анонсить префикс ..../.. " от своего менеджера, и по ночам тоже, если будешь иметь глупость все делать вот так.<br><br>Я что-то с трудом представляю магистрала, у которого настолько много клиентов, что у него движуха с новыми анонсами несколько раз в час.<br><br>И какая нафиг ночь? Среди ночи кто-то решил новую сеть анонсить? Что за бред.<br><br>И ещё, если это крупная сеть, https://www.opennet.ru/openforum/vsluhforumID3/115821.html#74 Mon, 19 Nov 2018 04:23:51 GMT &gt; Что значит копаться :-)? Там делов на 2 минуты прописать фильтр.<br><br>для админа локалхоста всегда любая задача - "делов на 2 минуты", только потом либо не работает, потому что не подумано, либо работает неправильно, но он об этом так и остается в блаженном неведении.<br><br>судя по тому что ты еще и вручную их "прописываешь", там именно локалхост.<br><br>А теперь подумай, на секундочку, как выглядят сети покрупнее твоей, сколько там разных мест с _разными_ фильтрами и сколько в час ты будешь получать "мы началали/перестали анонсить префикс ..../.. " от своего менеджера, и по ночам тоже, если будешь иметь глупость все делать вот так.<br><br>И теперь сюрприз на закусочку: от Калининграда до Новгорода у Ростелекома нормальный инженер - _один_. Так что не надейся, что эту бессмысленную работу удастся поделить на отдел из пятидесяти человек - даже если ты в China Telecom устроишься.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/115821.html#73 Sun, 18 Nov 2018 20:26:12 GMT &gt;если они тупиковые, и не анонсят ничего кроме своей единственной /24, то можно, конечно, копаться с фильтрами, а буде захотят поанонсить еще одну - пусть через менеджера получат обобрям, мы через неделю разрешим.<br><br>Что значит копаться :-)? Там делов на 2 минуты прописать фильтр. А по поводу менеджеров - это как организуешь. У нас это быстро делается.<br><br>Я конечно не tier1, но и транзитёры есть даунлинками и на всех фильтры, ибо страшно как-то без фильтров. Никакого гемора не ощущаю.<br> https://www.opennet.ru/openforum/vsluhforumID3/115821.html#72 Sun, 18 Nov 2018 15:41:52 GMT &gt; Если стабильность работы для провайдера на первом месте, то проблемы с фильтрами надо решать.<br><br>сносом фильтров. Большая часть 1st tier давно так и сделала.<br><br>потому что во-первых нет надежных источников информации для этих фильтров, во-вторых, никто спасибо не скажет.<br><br>&gt; Я ещё вижу возможный гемор, если твои клиенты транзитёры сами, но если они тупиковые,<br><br>если они тупиковые, и не анонсят ничего кроме своей единственной /24, то можно, конечно, копаться с фильтрами, а буде захотят поанонсить еще одну - пусть через менеджера получат обобрям, мы через неделю разрешим.<br><br>но таким обычно необходимо и достаточно ограничить число префиксов единицами штук - оно тебе пригодится, когда от такого индивидуя приедет full-view через второго апстрима полученный (а он приедет, не сегодня, так завтра), и сложить сессию гораздо эффективнее, чем фильтровать - в том числе и потому, что дятел получает по рукам сразу, и, скорее всего, сообразит, что его собственные действия вызвали этот обрыв.<br><br>А в данном случае нигга-че https://www.opennet.ru/openforum/vsluhforumID3/115821.html#71 Sat, 17 Nov 2018 06:01:39 GMT &gt; бессмысленное занятие<br><br>Не могу согласиться. <br><br>&gt; расхлебывать образовавшиеся из-за этих фильтров проблемы гораздо сложнее, чем раз в пять лет удушить одного нигерийца.<br><br>Если стабильность работы для провайдера на первом месте, то проблемы с фильтрами надо решать.<br><br>Я ещё вижу возможный гемор, если твои клиенты транзитёры сами, но если они тупиковые, то никаких проблем с фильтрами, кроме необходимости их грамотного создания, быть не может.<br><br>&gt;в наличии фильтров по ip у чайна-телекома- иначе бы оно уехало туда, откуда проанонсилось<br><br>При наличии нормальных фильтров аннонсов, не вижу смысла в фильтрах по ip. По мне так это как раз и будет гемор добавлять. Разве нет?<br> https://www.opennet.ru/openforum/vsluhforumID3/115821.html#70 Fri, 16 Nov 2018 21:01:02 GMT &gt; С какого-то момента становится проще и дешевле реагировать на такие фокусы по факту, чем держать на все сотни тыщ клиентов правильные фильтры на всех железках.<br><br>Фигня. Это и есть то за что админам деньги платят. А железки автоматизируются.<br> https://www.opennet.ru/openforum/vsluhforumID3/115821.html#69 Thu, 15 Nov 2018 13:13:54 GMT и даже в европе - не все апстримы. <br>потому что бессмысленное занятие, а расхлебывать образовавшиеся из-за этих фильтров проблемы гораздо сложнее, чем раз в пять лет удушить одного нигерийца.<br><br>но тут, заметьте, дело не только в отсутствии фильтров анонсов, а еще и в наличии фильтров по ip у чайна-телекома- иначе бы оно уехало туда, откуда проанонсилось, и виновник праздника огребся бы мгновенно - а такое бывает - только у китайцев и еще одной соседней с ними страны и ее сателлитов. <br> https://www.opennet.ru/openforum/vsluhforumID3/115821.html#68 Thu, 15 Nov 2018 05:45:07 GMT &gt; Спасёт ли авторизация от кривых рук, которые так же всё и подпишут? <br><br>Как вы себе представляйте ситуацию, когда инженер Google подписывает анонс мелкого нигерийского ISP?<br><br> https://www.opennet.ru/openforum/vsluhforumID3/115821.html#66 Wed, 14 Nov 2018 19:13:30 GMT С ираном ничего не сделается,махнатка.За ним стоит Китай.И Франция собирается встать.Если бы у тебя не было телевизора,то ты бы это уже знал.<br><br>П.с. Откуда у тебя такое неприятие и пренебрежение к школе и школьникам?Травили тебя там,или оценки плохие получал?<br>