| |
| 2.6, пох (?), 18:01, 13/11/2018 [^] [^^] [^^^] [ответить]
| –8 +/– | |
ответственности нету, а не фильтров. При том что никаких "неизвестных хакеров" в bgp быть не может, и крайний всегда известен совершенно точно.
если за такие фокусы нигры будут пол-года без интернета - они мгновенно и навсегда обучатся не подпускать рукожопов к оборудованию.
а фильтры "всего интернета" сводят весь смысл от bgp к #@ю.
| | |
| |
| 3.35, псевдонимус (?), 23:07, 13/11/2018 [^] [^^] [^^^] [ответить]
| –6 +/– |
Смотри,как бы омерика не осталась без интернетов(хотя ваши реднеки и не заметят). А гугль без пользователей.
| | |
| 3.39, псевдонимус (?), 00:57, 14/11/2018 [^] [^^] [^^^] [ответить]
| –3 +/– | |
Да,надутый сноб пох,давно потерявший профессиональную хватку,если омерика попытается нарушить межбанковские операции её экономику свернут в бараний рог.
П.с Слышу от тебя очень много болтовни как все всё неправильно делают и ни одного совета как делать правильно(попытка потребовать за совет денег будет рассматриваться как -дство)
| | |
| |
| 4.62, Михрютка (ok), 17:38, 14/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
 я извиняюсь
людям, которые фантазируют про гугель без пользователей, "омереку" без интернета и со свернутой в бараний рог экономикой
давать советы
даже за деньги
даже за большие деньги
это сочетание неприятного с бесполезным
| | |
| |
| 5.63, псевдонимус (?), 19:09, 14/11/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Махнатка,не серчай,дай слово молвить.За нарушение межбанковского обмена правтельство омерики покарают собственно корпорации в ней и зарегистрированные.Хотя и европка подтянуться собирается.
| | |
| |
| 6.65, Михрютка (ok), 21:15, 14/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Махнатка,не серчай,дай слово молвить.За нарушение межбанковского обмена правтельство
> омерики покарают собственно корпорации в ней и зарегистрированные.Хотя и европка подтянуться
> собирается.
передайте родителям, чтобы лучше следили за вашей посещаемостью в школе.
если б вы политинформацию в понедельник не прогуляли, вы бы знали, что неделю назад США именно что нарушили межбанковский обмен с Ираном, например, сделав SWIFT предложение, от которого они не смогли отказаться.
| | |
| |
| 7.66, псевдонимус (?), 22:13, 14/11/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
С ираном ничего не сделается,махнатка.За ним стоит Китай.И Франция собирается встать.Если бы у тебя не было телевизора,то ты бы это уже знал.
П.с. Откуда у тебя такое неприятие и пренебрежение к школе и школьникам?Травили тебя там,или оценки плохие получал?
| | |
|
|
|
|
|
|
| 1.2, Аноним (2), 17:44, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Гы... урок Пакистанской чёрной дыры для Ютьюба не всем пошёл впрок.
| | |
| 1.3, OpenZFS (?), 17:46, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да, со вчера на сегодня по Москве гугл лежал полностью: поиск, почта, ютуб
| | |
| 1.9, Аноним (9), 18:19, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
Ох уж эти нигерийцы. Вначале просто слали спам, теперь портят интернет.
| | |
| |
| |
| |
| 4.54, псевдонимус (?), 14:18, 14/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Ты в гугле работаешь? Если дато ты вообще конченый человек.Хотя скорее всего пострадал твой долбобизнес,мудро завязанный а гугль.
| | |
|
|
| 2.45, Аноним (45), 07:29, 14/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
При чём тут нигерийцы? Просто в ООНе кто-то самый умный решил всех принудительно заинтернетить, а кадров нема, вот издержки и пошли...
| | |
|
| 1.10, freehck (ok), 18:36, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +18 +/– |
 Всего лишь один пакет вырубил Google на 74 минуты. Вот она -- крутизна! :)
| | |
| 1.13, Аноним (13), 19:20, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> мелким провайдером MainOne
Лол. Какой маленький, но гордый провайдер со скромным и совсем не амбициозным названием.
| | |
| |
| 2.16, Нанобот (ok), 19:57, 13/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 у него ipv6-префиксов больше, чем у всех провайдеров моего города, вместе взятых. не такой он и маленький
| | |
| |
| |
| 4.52, Аноним (52), 10:57, 14/11/2018 [^] [^^] [^^^] [ответить]
| –4 +/– |
Не взлетел в Рашке? Да и то, чтобы лишний раз не нарываться на нагибы РКНа.
| | |
|
|
| |
| 3.49, Антон (??), 09:14, 14/11/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Россию "Нигерией в снегах" не просто так назвали. Примерно схожие показатели.
| | |
|
|
| 1.17, Аноним (17), 20:09, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> крупнейший китайский провайдер China Telecom
> ошибочный анонс
orly? /0
| | |
| 1.18, Аноним (18), 20:52, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Подскажите несведущему, что мешает мне скрафтить BGP-пакет, подменив src, и отправить его в тот же China Telecom?
| | |
| |
| 2.21, КО (?), 21:24, 13/11/2018 [^] [^^] [^^^] [ответить]
| +3 +/– | |
твоя несведущесть помешает тебе.
сведущему помешает то, что подменить вообще крайне сложно без физического доступа к кабелю, да еще и сессионные пароли в bgp вполне себе бывают.
а в новости совсем даже обошлось без подмены - нигра вполне настоящий анонс получила, и вполне честно его проанонсила. Не будь у китайца ненужно-файрвола при отсутствии нужно-фильтра в комплекте - пакеты для гугля на самом деле поехали бы в бантустан, где у нигры бы лопнул линк, на этом анонсы бы тоже кончились, и никто бы ничего не заметил. Ну или не лопнул бы, что маловероятно, и нигра бы оплатила терабайты траффика.
| | |
| |
| 3.23, erthink (ok), 21:32, 13/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > сведущему помешает то, что подменить вообще крайне сложно без физического доступа к
> кабелю, да еще и сессионные пароли в bgp вполне себе бывают.
Так "фишка" же в другом - мало-мало кто фильтрует (или как корректнее выразиться) прилетающие анонсы от своих пиров, а честно их учитывает и отправляет дальше.
Лямин уже лет 5 об этом страшилки всяческие рассказывает.
| | |
|
| 2.51, Нанобот (ok), 10:12, 14/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Подскажите несведущему, что мешает мне скрафтить BGP-пакет, подменив src, и отправить его
> в тот же China Telecom?
скрафтить и отправить - ничего не мешает. просто на другом конце его проигнорируют
| | |
| 2.53, zanswer CCNA RS and S (?), 12:26, 14/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Создать BGP UPDATE вам будет и правда не сложно, да и TCP segment, в придачу с IP пакетом. Только вот есть одна проблема, вы не знаете не Initial Sequence Number, не текущий Sequence Number, не даже размер TCP Window. А значит шансы вклиниться в TCP сессию между China Telecom и MainOne у вас чуть более, чем полностью отсутствуют. Иными словами BGP инстанс на той большой Cisco/Juniper/Huawei даже не узнает о том, что его BGP peer MainOne якобы объявил новые NLRI.
| | |
| |
| 3.56, Сергей (??), 15:21, 14/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Вы хотите сказать что BGP пакеты вот так просто бегают вместе с публичным трафиком по каналам? Я думал последняя миля как минимум обмазывается разными слоями энкапсуляции типа MPLS и не может пересекаться с BGP трафиком на L3.
| | |
| |
| 4.61, zanswer CCNA RS S (?), 17:30, 14/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Верно, не какой _специальной_ инкапсуляции на стыке двух операторов нет. Для обеспечения безопасности пиров в BGPv4 предусмотрена возможность аутентификации передаваемых пакетов путём использования MD5 или того, что поддерживает ваш маршрутизатор.
| | |
|
|
|
| |
| 2.22, КО (?), 21:26, 13/11/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
дружище, вот China Telecom и ТрансТелеком - кто кому "даунлинк" и кто тут, собственно, даун?
| | |
| |
| |
| 4.55, КО (?), 15:20, 14/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
а, ти в этом смисле. Ну да, могли бы быть (я у себя ставил для потенциально-одаренных клиентов, будь они хоть десять лет LIR - но мы-то были далеко не 1st tier, что, кстати, увеличивает шансы на особую одаренность) - но опять же, сильно зависит от размера этого верхнего. С какого-то момента становится проще и дешевле реагировать на такие фокусы по факту, чем держать на все сотни тыщ клиентов правильные фильтры на всех железках.
| | |
| |
| 5.70, Олег (??), 00:01, 17/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> С какого-то момента становится проще и дешевле реагировать на такие фокусы по факту, чем держать на все сотни тыщ клиентов правильные фильтры на всех железках.
Фигня. Это и есть то за что админам деньги платят. А железки автоматизируются.
| | |
|
|
|
|
| 1.24, КГБ СССР (?), 21:43, 13/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов.
Как считает многоуважаемый All — не связаны ли на самом деле такие инциденты с возникновением так называемых CDN-ов?
| | |
| |
| 2.25, erthink (ok), 21:52, 13/11/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов.
> Как считает многоуважаемый All — не связаны ли на самом деле такие инциденты с
> возникновением так называемых CDN-ов?
Скорее уж это следствие роста кол-ва AS'ок (автономных систем), что выводится как неизбежное из термодинамики (рост энтропии и вот это всё).
;)
| | |
| |
| 3.29, КГБ СССР (?), 22:29, 13/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> неизбежное из термодинамики (рост энтропии и вот это всё).
Тут уж возразить и нечего, да. :)
| | |
| |
| 4.43, Акакжев (?), 05:56, 14/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
В то время как люди строят реакторы на быстрых нейтронах, британские учёные всё ищут Демона Максвелла.
| | |
|
|
|
| 1.47, Олег (??), 08:42, 14/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Фак. Только в европе апстримы сношают фильтрами клиентов, блин?.. Нигерийцы клали походу.
| | |
| |
| 2.69, пох (?), 16:13, 15/11/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
и даже в европе - не все апстримы.
потому что бессмысленное занятие, а расхлебывать образовавшиеся из-за этих фильтров проблемы гораздо сложнее, чем раз в пять лет удушить одного нигерийца.
но тут, заметьте, дело не только в отсутствии фильтров анонсов, а еще и в наличии фильтров по ip у чайна-телекома- иначе бы оно уехало туда, откуда проанонсилось, и виновник праздника огребся бы мгновенно - а такое бывает - только у китайцев и еще одной соседней с ними страны и ее сателлитов.
| | |
| |
| 3.71, Олег (??), 09:01, 17/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> бессмысленное занятие
Не могу согласиться.
> расхлебывать образовавшиеся из-за этих фильтров проблемы гораздо сложнее, чем раз в пять лет удушить одного нигерийца.
Если стабильность работы для провайдера на первом месте, то проблемы с фильтрами надо решать.
Я ещё вижу возможный гемор, если твои клиенты транзитёры сами, но если они тупиковые, то никаких проблем с фильтрами, кроме необходимости их грамотного создания, быть не может.
>в наличии фильтров по ip у чайна-телекома- иначе бы оно уехало туда, откуда проанонсилось
При наличии нормальных фильтров аннонсов, не вижу смысла в фильтрах по ip. По мне так это как раз и будет гемор добавлять. Разве нет?
| | |
| |
| 4.72, пох (?), 18:41, 18/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Если стабильность работы для провайдера на первом месте, то проблемы с фильтрами надо решать.
сносом фильтров. Большая часть 1st tier давно так и сделала.
потому что во-первых нет надежных источников информации для этих фильтров, во-вторых, никто спасибо не скажет.
> Я ещё вижу возможный гемор, если твои клиенты транзитёры сами, но если они тупиковые,
если они тупиковые, и не анонсят ничего кроме своей единственной /24, то можно, конечно, копаться с фильтрами, а буде захотят поанонсить еще одну - пусть через менеджера получат обобрям, мы через неделю разрешим.
но таким обычно необходимо и достаточно ограничить число префиксов единицами штук - оно тебе пригодится, когда от такого индивидуя приедет full-view через второго апстрима полученный (а он приедет, не сегодня, так завтра), и сложить сессию гораздо эффективнее, чем фильтровать - в том числе и потому, что дятел получает по рукам сразу, и, скорее всего, сообразит, что его собственные действия вызвали этот обрыв.
А в данном случае нигга-чейто-там-клиент и анонсил не /24, и на IX местной был представлен (то есть он нифига не мелочь деревенская, у которой и второй апстрим-то фейковый), и скорее всего и собственных пиров/даунстримов имел.
| | |
| |
| 5.73, Олег (??), 23:26, 18/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
>если они тупиковые, и не анонсят ничего кроме своей единственной /24, то можно, конечно, копаться с фильтрами, а буде захотят поанонсить еще одну - пусть через менеджера получат обобрям, мы через неделю разрешим.
Что значит копаться :-)? Там делов на 2 минуты прописать фильтр. А по поводу менеджеров - это как организуешь. У нас это быстро делается.
Я конечно не tier1, но и транзитёры есть даунлинками и на всех фильтры, ибо страшно как-то без фильтров. Никакого гемора не ощущаю.
| | |
| |
| 6.74, пох (?), 07:23, 19/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Что значит копаться :-)? Там делов на 2 минуты прописать фильтр.
для админа локалхоста всегда любая задача - "делов на 2 минуты", только потом либо не работает, потому что не подумано, либо работает неправильно, но он об этом так и остается в блаженном неведении.
судя по тому что ты еще и вручную их "прописываешь", там именно локалхост.
А теперь подумай, на секундочку, как выглядят сети покрупнее твоей, сколько там разных мест с _разными_ фильтрами и сколько в час ты будешь получать "мы началали/перестали анонсить префикс ..../.. " от своего менеджера, и по ночам тоже, если будешь иметь глупость все делать вот так.
И теперь сюрприз на закусочку: от Калининграда до Новгорода у Ростелекома нормальный инженер - _один_. Так что не надейся, что эту бессмысленную работу удастся поделить на отдел из пятидесяти человек - даже если ты в China Telecom устроишься.
| | |
| |
| 7.75, Олег (??), 01:07, 21/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
>для админа локалхоста всегда любая задача - "делов на 2 минуты", только потом либо не работает, потому что не подумано, либо работает неправильно, но он об этом так и остается в блаженном неведении.
Да нет. Сколько лет уже работает, проблем нет. Потому, что один раз подумано, что бы потом за 2 минуты добавлять. Но любителям костылей это неведомо.
>судя по тому что ты еще и вручную их "прописываешь", там именно локалхост.
Ага. Ведь куда на локалхосте без bgp в наше время.
>А теперь подумай, на секундочку, как выглядят сети покрупнее твоей, сколько там разных мест с _разными_ фильтрами и сколько в час ты будешь получать "мы началали/перестали анонсить префикс ..../.. " от своего менеджера, и по ночам тоже, если будешь иметь глупость все делать вот так.
Я что-то с трудом представляю магистрала, у которого настолько много клиентов, что у него движуха с новыми анонсами несколько раз в час.
И какая нафиг ночь? Среди ночи кто-то решил новую сеть анонсить? Что за бред.
И ещё, если это крупная сеть, то опять же найдутся деньги на обезьянку, задача которой будет проверить с помощью подручного скрипта и ripe db, что всё норм.
>И теперь сюрприз на закусочку: от Калининграда до Новгорода у Ростелекома нормальный инженер - _один_. Так что не надейся, что эту бессмысленную работу удастся поделить на отдел из пятидесяти человек - даже если ты в China Telecom устроишься.
Если ты знаком с провайдингом не по рассказам друга, то тебе должно быть известно на собственном опыте, что Ростелеком это не пример в подобной ситуации :-). Ростелеком это анекдот у сетевиков.
| | |
|
|
|
|
|
|
| 1.60, IZh. (?), 17:19, 14/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов
Спасёт ли авторизация от кривых рук, которые так же всё и подпишут?
| | |
| |
| 2.68, Аноним (68), 08:45, 15/11/2018 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Спасёт ли авторизация от кривых рук, которые так же всё и подпишут?
Как вы себе представляйте ситуацию, когда инженер Google подписывает анонс мелкого нигерийского ISP?
| | |
|
|
