ፕሮሆስተር > ጦማር > አስተዳደር > ሁሉም ነገር በጣም መጥፎ ነው ወይም አዲስ የትራፊክ መጥለፍ አይነት ነው።

ሁሉም ነገር በጣም መጥፎ ነው ወይም አዲስ የትራፊክ መጥለፍ አይነት ነው።

ማርች 13 ለ RIPE ፀረ-አላግባብ መጠቀም የስራ ቡድን ቅናሽ ደርሷል BGP ጠለፋ (hjjack) እንደ RIPE ፖሊሲ ጥሰት አድርጉ። ሃሳቡ ተቀባይነት ካገኘ የኢንተርኔት አቅራቢው በትራፊክ ጣልቃገብነት ጥቃት የደረሰበት አጥቂውን ለማጋለጥ ልዩ ጥያቄ ለመላክ እድሉ ይኖረዋል። የግምገማ ቡድኑ በቂ ደጋፊ ማስረጃዎችን ከሰበሰበ፣ የBGP መጥለፍ ምንጭ የሆነው LIR እንደ ሰርጎ ገዳይ ተደርጎ ሊወሰድ እና የLIR ደረጃውን ሊነጠቅ ይችላል። አንዳንድ ክርክሮችም ነበሩ። ይህን በመቃወም ለውጦች.

በዚህ ህትመት ውስጥ እውነተኛ አጥቂው በጥያቄ ውስጥ ያለበት ብቻ ሳይሆን አጠቃላይ የተጎዱ ቅድመ ቅጥያዎችን ዝርዝር የሚያሳይ የጥቃት ምሳሌ ማሳየት እንፈልጋለን። ከዚህም በላይ እንዲህ ዓይነቱ ጥቃት ለወደፊቱ የዚህ ዓይነቱ ትራፊክ ጣልቃገብነት ምክንያቶች ጥያቄዎችን ያስነሳል.

ባለፉት ሁለት ዓመታት፣ እንደ MOAS ያሉ ግጭቶች ብቻ እንደ BGP ጣልቃ ገብነት በፕሬስ ሽፋን ተሸፍነዋል። MOAS ሁለት የተለያዩ ራሳቸውን የቻሉ ስርዓቶች በAS_PATH ውስጥ ከሚዛመዱ ASN ጋር የሚጋጩ ቅድመ ቅጥያዎችን የሚያስተዋውቁበት ልዩ ጉዳይ ነው (በ AS_PATH ውስጥ የመጀመሪያው ASN፣ ከዚህ በኋላ ASN ተብሎ ይጠራል)። ቢሆንም, ቢያንስ ስም መጥቀስ እንችላለን 3 ተጨማሪ ዓይነቶች የትራፊክ መጥለፍ፣ አጥቂ የ AS_PATHን ባህሪ ለተለያዩ ዓላማዎች እንዲጠቀም ያስችለዋል፣ ይህም ዘመናዊ የማጣራት እና የክትትል ዘዴዎችን ማለፍን ጨምሮ። የሚታወቅ የጥቃት አይነት ፒሎሶቫ-ካፔሊ - የመጨረሻው የእንደዚህ አይነት መጥለፍ አይነት ፣ ግን በጭራሽ አስፈላጊ አይደለም ። ባለፉት ሳምንታት ያየነው ጥቃት በትክክል ይህ ሊሆን ይችላል። እንዲህ ዓይነቱ ክስተት ለመረዳት የሚያስቸግር ተፈጥሮ እና በጣም ከባድ መዘዝ አለው.

የ TL;DR ስሪት የሚፈልጉ ሰዎች ወደ "ፍጹም ጥቃት" ንዑስ ርዕስ ማሸብለል ይችላሉ።

የአውታረ መረብ ዳራ

(በዚህ ክስተት ውስጥ ያሉትን ሂደቶች የበለጠ ለመረዳት እንዲረዳዎት)

ፓኬት መላክ ከፈለጉ እና የመድረሻ አይፒ አድራሻውን በያዘው የራውቲንግ ሠንጠረዥ ውስጥ ብዙ ቅድመ ቅጥያዎች ካሉዎት ከዚያ መንገዱን ለቅድመ ቅጥያው በጣም ረጅም ርዝመት ይጠቀማሉ። በማዞሪያ ሠንጠረዥ ውስጥ ለተመሳሳይ ቅድመ-ቅጥያ በርካታ የተለያዩ መንገዶች ካሉ, በጣም ጥሩውን (እንደ ምርጥ መንገድ ምርጫ ዘዴ) ይመርጣሉ.

ነባር የማጣሪያ እና የክትትል አቀራረቦች የAS_PATH ባህሪን በመተንተን መንገዶችን ለመተንተን እና ውሳኔዎችን ለማድረግ ይሞክራሉ። ራውተሩ ይህንን ባህሪ በማስታወቂያ ጊዜ ወደ ማንኛውም እሴት ሊለውጠው ይችላል። በAS_PATH መጀመሪያ ላይ የባለቤቱን ASN ማከል (እንደ ASN አመጣጥ) የአሁኑን የመነሻ መፈተሻ ዘዴዎችን ለማለፍ በቂ ሊሆን ይችላል። በተጨማሪም፣ ከተጠቂው ASN ወደ እርስዎ የሚወስድ መንገድ ካለ፣ በሌሎች ማስታወቂያዎችዎ ላይ የዚህን መስመር AS_PATH ማውጣት እና መጠቀም ይችላሉ። ለተሰሩ ማስታወቂያዎችዎ ማንኛውም AS_PATH-ብቻ የማረጋገጫ ፍተሻ በመጨረሻ ያልፋል።

አሁንም መጥቀስ ያለባቸው ጥቂት ገደቦች አሉ። በመጀመሪያ፣ በወራጅ አቅራቢው ቅድመ ቅጥያ ማጣሪያ ከሆነ፣ ቅድመ ቅጥያው ከላይ በተሰራው የደንበኛ ሾጣጣ ውስጥ ካልሆነ የእርስዎ መንገድ አሁንም ሊጣራ ይችላል (በትክክለኛው AS_PATHም ቢሆን)። ሁለተኛ፣ የሚሰራው AS_PATH የተፈጠረ መንገድ በተሳሳተ አቅጣጫዎች ማስታወቂያ ከተሰራ እና የማዘዋወር መመሪያውን ከጣሰ ልክ ያልሆነ ሊሆን ይችላል። በመጨረሻም፣ የROA ርዝመትን የሚጥስ ቅድመ ቅጥያ ያለው ማንኛውም መንገድ ልክ እንዳልሆነ ሊቆጠር ይችላል።

ክስተት

ከጥቂት ሳምንታት በፊት ከአንድ ተጠቃሚዎቻችን ቅሬታ ደረሰን። ከመነሻው ASN እና /25 ቅድመ ቅጥያ ጋር መንገዶችን አይተናል፣ ተጠቃሚው አላስተዋውቅም ብሎ ተናግሯል።

TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
ለኤፕሪል 2019 መጀመሪያ የማስታወቂያዎች ምሳሌዎች

ለ/25 ቅድመ ቅጥያ በመንገዱ ላይ ያለው NTT በተለይ አጠራጣሪ ያደርገዋል። LG NTT በአደጋው ​​ጊዜ ስለዚህ መንገድ አያውቅም ነበር። ስለዚህ አዎ፣ አንዳንድ ኦፕሬተሮች ለእነዚህ ቅድመ ቅጥያዎች አጠቃላይ AS_PATHን ፈጥረዋል! በሌሎች ራውተሮች ላይ መፈተሽ አንድ የተለየ ASN ያሳያል፡ AS263444። በዚህ የራስ ገዝ ስርዓት ሌሎች መንገዶችን ከተመለከትን በኋላ የሚከተለውን ሁኔታ አጋጥሞናል፡

TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
እዚህ ምን ችግር እንዳለ ለመገመት ይሞክሩ

የሆነ ሰው ከመንገድ ላይ ቅድመ ቅጥያውን ወስዶ ለሁለት ከፍሎት እና መንገዱን በተመሳሳይ AS_PATH ለእነዚያ ሁለት ቅድመ ቅጥያዎች ያስተዋወቀ ይመስላል።

TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
ከተከፈለ ቅድመ ቅጥያ ጥንዶች ለአንዱ ምሳሌ መንገዶች

ብዙ ጥያቄዎች በአንድ ጊዜ ይነሳሉ. በተግባር ይህን አይነት መጥለፍ የሞከረ ሰው አለ? እነዚህን መንገዶች የወሰደ ሰው አለ? ምን ቅድመ ቅጥያዎች ተጎድተዋል?

የውድቀታችን መስመር የሚጀምርበት እና አሁን ባለው የኢንተርኔት ጤና ሁኔታ ሌላ ተስፋ የሚያስቆርጥበት ቦታ ይህ ነው።

የውድቀት መንገድ

መጀመሪያ ነገሮች መጀመሪያ። የትኞቹ ራውተሮች እንደዚህ አይነት የተጠለፉ መንገዶችን እንደተቀበሉ እና የማን ትራፊክ ዛሬ ወደ ሌላ አቅጣጫ ሊዞር እንደሚችል እንዴት ማወቅ እንችላለን? በ/25 ቅድመ ቅጥያዎች "በቀላሉ ዓለም አቀፋዊ ስርጭት ሊኖራቸው ስለማይችል" የምንጀምር መስሎን ነበር። እርስዎ እንደሚገምቱት እኛ በጣም ተሳስተናል። ይህ ልኬት በጣም ጫጫታ ሆኖ ተገኝቷል እና እንደዚህ ያሉ ቅድመ-ቅጥያዎች ያላቸው መንገዶች ከደረጃ-1 ኦፕሬተሮች እንኳን ሊታዩ ይችላሉ። ለምሳሌ፣ NTT ወደ 50 የሚጠጉ እንደዚህ ያሉ ቅድመ ቅጥያዎች አሉት፣ እሱም ለደንበኞቹ ያሰራጫል። በሌላ በኩል, ይህ መለኪያ መጥፎ ነው, ምክንያቱም እንደዚህ ያሉ ቅድመ ቅጥያዎች ኦፕሬተሩ ከተጠቀመ ሊጣሩ ይችላሉ ትናንሽ ቅድመ ቅጥያዎችን በማጣራት ላይ, በሁሉም አቅጣጫዎች. ስለዚህ, ይህ ዘዴ በእንደዚህ አይነት ክስተት ምክንያት ትራፊክ የተዘዋወረባቸውን ሁሉንም ኦፕሬተሮች ለማግኘት ተስማሚ አይደለም.

ሌላው ጥሩ ሀሳብ ያሰብነው መመልከት ነው። POV. በተለይም የተዛማጁን የ ROA ከፍተኛ ርዝመት ደንብ ለሚጥሱ መንገዶች። በዚህ መንገድ ለተጠቀሰው AS የሚታዩትን ልክ ያልሆነ ሁኔታ ያላቸው የተለያዩ መነሻ ASNዎችን ቁጥር ማግኘት እንችላለን። ሆኖም ግን, "ትንሽ" ችግር አለ. የዚህ ቁጥር አማካኝ (ሚዲያን እና ሁነታ) (የተለያዩ የመነሻ ASNዎች ብዛት) ወደ 150 ገደማ ነው እና ትንሽ ቅድመ ቅጥያዎችን ብናጣራም ከ 70 በላይ ይቆያል. ይህ ሁኔታ በጣም ቀላል ማብራሪያ አለው: አንድ ብቻ ነው. ቀደም ሲል ROA-ማጣሪያዎችን የሚጠቀሙ ጥቂት ኦፕሬተሮች በመግቢያ ቦታዎች ላይ "ልክ ያልሆኑ መስመሮችን ዳግም ማስጀመር" ፖሊሲ ነው፣ ስለዚህም የROA ጥሰት ያለበት መንገድ በገሃዱ ዓለም በሚታይበት በማንኛውም አቅጣጫ በሁሉም አቅጣጫዎች ሊሰራጭ ይችላል።

የመጨረሻዎቹ ሁለት አቀራረቦች የእኛን ክስተት ያዩትን ኦፕሬተሮችን እንድናገኝ ያስችሉናል (በጣም ትልቅ ስለሆነ) ግን በአጠቃላይ ግን ተፈጻሚነት አይኖራቸውም. እሺ፣ ግን ጠላቂውን ማግኘት እንችላለን? የዚህ AS_PATH ማጭበርበር አጠቃላይ ባህሪያት ምንድናቸው? ጥቂት መሠረታዊ ግምቶች አሉ-

  • ቅድመ ቅጥያው ከዚህ በፊት በየትኛውም ቦታ አልታየም ነበር;
  • መነሻ ASN (አስታዋሽ፡ የመጀመሪያው ASN በAS_PATH) ልክ ነው፤
  • በAS_PATH ውስጥ ያለው የመጨረሻው ASN የአጥቂው ASN ነው (ጎረቤቱ በሁሉም መጪ መንገዶች ላይ የጎረቤቱን ASN ካጣራ)።
  • ጥቃቱ ከአንድ አቅራቢ ነው።

ሁሉም ግምቶች ትክክል ከሆኑ፣ ሁሉም የተሳሳቱ መንገዶች የአጥቂውን ASN (ከመነሻ ASN በስተቀር) ያቀርባሉ፣ እናም ይህ “ወሳኝ” ነጥብ ነው። ከእውነተኛዎቹ ጠላፊዎች መካከል AS263444 ይገኝበታል ምንም እንኳን ሌሎችም ነበሩ። የተከሰቱትን መንገዶች ከግምት ስንጥል እንኳን። ለምን? ወሳኝ ነጥብ ለትክክለኛ መንገዶችም ቢሆን ወሳኝ ሆኖ ሊቆይ ይችላል። በአንድ ክልል ውስጥ ያለው ደካማ ግንኙነት ወይም በራሳችን ታይነት ላይ ያሉ ውስንነቶች ውጤት ሊሆን ይችላል።

በውጤቱም, አጥቂን ለመለየት የሚያስችል መንገድ አለ, ነገር ግን ሁሉም ከላይ የተጠቀሱት ሁኔታዎች ከተሟሉ እና የክትትል ገደቦችን ለማለፍ በቂ መጠን ያለው ጣልቃ ገብነት ሲኖር ብቻ ነው. ከእነዚህ ምክንያቶች መካከል አንዳንዶቹ ካልተሟሉ ታዲያ በእንደዚህ ዓይነት ጣልቃገብነት የተጎዱ ቅድመ-ቅጥያዎችን መለየት እንችላለን? ለተወሰኑ ኦፕሬተሮች - አዎ.

አጥቂ የበለጠ የተለየ መንገድ ሲፈጥር፣ እንዲህ ዓይነቱ ቅድመ ቅጥያ በእውነተኛው ባለቤት አይታወቅም። ከእሱ የሁሉም ቅድመ-ቅጥያዎቹ ተለዋዋጭ ዝርዝር ካለዎት ፣ ከዚያ ማነፃፀር እና የተዛቡ የበለጠ ልዩ መንገዶችን ማግኘት ይቻል ይሆናል። የኛን BGP ክፍለ ጊዜዎች በመጠቀም ይህንን የቅድመ-ቅጥያ ዝርዝር እንሰበስባለን ምክንያቱም በአሁኑ ጊዜ ለኦፕሬተሩ የሚታዩትን ሙሉ መስመሮች ብቻ ሳይሆን ለአለም ማስተዋወቅ የሚፈልጋቸውን የሁሉም ቅድመ ቅጥያዎች ዝርዝርም ተሰጥቶናል። እንደ አለመታደል ሆኖ አሁን የመጨረሻውን ክፍል በትክክል ያላጠናቀቁ በርካታ ደርዘን የራዳር ተጠቃሚዎች አሉ። በቅርቡ እናሳውቃቸዋለን እና ይህን ችግር ለመፍታት እንሞክራለን። ሁሉም ሰው አሁን የእኛን የክትትል ስርዓት መቀላቀል ይችላል።

ወደ መጀመሪያው ክስተት ከተመለስን, አጥቂውም ሆነ ማከፋፈያው ቦታ ወሳኝ ነጥቦችን በመፈለግ በኛ ተገኝቷል. የሚገርመው ነገር AS263444 የፈጠራ መንገዶችን ለሁሉም ደንበኞቹ አልላከም። ምንም እንኳን እንግዳ ጊዜ ቢኖርም.

BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
የአድራሻ ቦታችንን ለመጥለፍ የተደረገ ሙከራ የቅርብ ጊዜ ምሳሌ

ለቅድመ-ቅጥያዎቻችን የበለጠ የተወሰኑ ሲፈጠሩ፣ ልዩ የተፈጠረ AS_PATH ጥቅም ላይ ውሏል። ነገር ግን ይህ AS_PATH ከቀደምት መንገዶቻችን ሊወሰድ አልቻለም። ከ AS6762 ጋር እንኳን ግንኙነት የለንም። በክስተቱ ውስጥ ያሉትን ሌሎች መንገዶች ስንመለከት፣ አንዳንዶቹ ትክክለኛ AS_PATH ቀደም ሲል ጥቅም ላይ የዋለ፣ ሌሎቹ ግን አልነበሩም፣ ምንም እንኳን እውነተኛው ቢመስልም። AS_PATHን መቀየር ምንም ተግባራዊ ትርጉም አይኖረውም፣ ምክንያቱም ትራፊኩ ወደ አጥቂው ስለሚዛወር፣ ነገር ግን “መጥፎ” AS_PATH ያላቸው መንገዶች በASPA ወይም በሌላ በማንኛውም የፍተሻ ዘዴ ሊጣሩ ይችላሉ። እዚህ ላይ ስለ ጠላፊው ተነሳሽነት እናስባለን. ይህ ክስተት የታቀደ ጥቃት መሆኑን ለማረጋገጥ በአሁኑ ጊዜ በቂ መረጃ የለንም። ቢሆንም, ይቻላል. ምንም እንኳን አሁንም መላምታዊ ቢሆንም፣ ግን በጣም እውን ሊሆን የሚችል ሁኔታን ለመገመት እንሞክር።

ፍጹም ጥቃት

ምን አለን? ለደንበኞችዎ የማስተላለፊያ አቅራቢዎች የስርጭት መስመሮች ነዎት እንበል። ደንበኞችዎ ብዙ መገኘት (multihome) ካላቸው፣ ከዚያ የትራፊካቸው የተወሰነ ክፍል ብቻ ይቀበላሉ። ነገር ግን ብዙ ትራፊክ፣ ገቢዎ የበለጠ ይሆናል። ስለዚህ የእነዚህን ተመሳሳይ መስመሮች ሳብኔት ቅድመ ቅጥያዎች በተመሳሳዩ AS_PATH ማስታወቂያ ከጀመሩ የተቀረውን ትራፊክ ይቀበላሉ። በውጤቱም, የተቀረው ገንዘብ.

ROA እዚህ ይረዳል? ምናልባት አዎ, ሙሉ በሙሉ መጠቀሙን ለማቆም ከወሰኑ ከፍተኛ ርዝመት. በተጨማሪም፣ የተጠላለፉ ቅድመ ቅጥያዎች ያላቸው የ ROA መዝገቦች መኖራቸው በጣም የማይፈለግ ነው። ለአንዳንድ ኦፕሬተሮች እንደዚህ ያሉ ገደቦች ተቀባይነት የላቸውም.

ሌሎች የማዞሪያ የደህንነት ዘዴዎችን ከግምት ውስጥ በማስገባት፣ ASPA በዚህ ጉዳይ ላይም አይረዳም (ምክንያቱም AS_PATHን ከትክክለኛ መንገድ ስለሚጠቀም)። በዝቅተኛ የጉዲፈቻ መጠኖች እና በተቀረው ጥቃቶች ምክንያት BGPPSec አሁንም ጥሩ አማራጭ አይደለም።

ስለዚህ ለአጥቂው ግልፅ ትርፍ እና የደህንነት እጦት አለን። በጣም ጥሩ ድብልቅ!

ምን ማድረግ አለብኝ?

ግልጽ እና በጣም ከባድ እርምጃ የአሁኑን የማዞሪያ መመሪያዎን መገምገም ነው። የአድራሻ ቦታዎን ለማስተዋወቅ ወደሚፈልጉት ትንንሾቹ ቁርጥራጮች (ምንም መደራረብ የለም) ይሰብሩ። ከፍተኛውን ርዝመት ሳይጠቀሙ ROA ለእነሱ ብቻ ይፈርሙ። በዚህ አጋጣሚ፣ አሁን ያለው የእርስዎ POV ከእንደዚህ አይነት ጥቃት ያድንዎታል። ነገር ግን፣ እንደገና፣ ለአንዳንድ ኦፕሬተሮች ይህ አካሄድ ይበልጥ የተወሰኑ መንገዶችን በብቸኝነት በመጠቀማቸው ምክንያት ምክንያታዊ አይደለም። አሁን ባለው የ ROA ሁኔታ እና የመንገድ እቃዎች ላይ ያሉ ሁሉም ችግሮች ከወደፊታችን እቃዎች በአንዱ ውስጥ ይገለፃሉ.

በተጨማሪም, እንደዚህ አይነት ጣልቃገብነቶችን ለመከታተል መሞከር ይችላሉ. ይህንን ለማድረግ ስለ ቅድመ ቅጥያዎችዎ አስተማማኝ መረጃ እንፈልጋለን። ስለዚህ፣ ከሰብሳቢያችን ጋር የBGP ክፍለ ጊዜ ካቋቁሙ እና ስለ በይነመረብ ታይነት መረጃ ከሰጡን፣ ለሌሎች ክስተቶች ወሰን ማግኘት እንችላለን። ከክትትል ስርዓታችን ጋር ገና ያልተገናኙ፣ ለመጀመር፣ ቅድመ ቅጥያ ያላቸው መንገዶች ዝርዝር በቂ ይሆናል። ከእኛ ጋር ክፍለ ጊዜ ካለዎት እባክዎ ሁሉም መንገዶችዎ እንደተላኩ ያረጋግጡ። እንደ አለመታደል ሆኖ ይህ ማስታወስ ጠቃሚ ነው ምክንያቱም አንዳንድ ኦፕሬተሮች አንድ ወይም ሁለት ቅድመ ቅጥያ ስለረሱ እና በዚህም የእኛን የፍለጋ ዘዴ ስለሚያስተጓጉሉ. በትክክል ከተሰራ፣ ስለ ቅድመ ቅጥያዎችዎ አስተማማኝ መረጃ ይኖረናል፣ ይህም ወደፊት ይህንን (እና ሌሎች) የአድራሻ ቦታዎን የትራፊክ መጥለፍ ዓይነቶችን ለይተን እንድናውቅ ይረዳናል።

በእውነተኛ ጊዜ የትራፊክዎን እንደዚህ ያለ ጣልቃ ገብነት ካወቁ እራስዎን ለመቋቋም መሞከር ይችላሉ። የመጀመሪያው አቀራረብ መንገዶችን በእነዚህ ተጨማሪ ልዩ ቅድመ ቅጥያዎች እራስዎ ማስተዋወቅ ነው። በእነዚህ ቅድመ ቅጥያዎች ላይ አዲስ ጥቃት ከደረሰ፣ ይድገሙት።

ሁለተኛው አቀራረብ አጥቂውን እና እሱ ወሳኝ ነጥብ የሆነውን (ለጥሩ መንገዶች) ለመቅጣት መንገዶችዎን ወደ አጥቂው የሚወስደውን መንገድ በመቁረጥ ነው. ይህንን ማድረግ የሚቻለው የአጥቂውን ASN ወደ AS_PATH የድሮ መንገዶችዎ በማከል እና በBGP ውስጥ አብሮ የተሰራውን የሉፕ ማወቂያ ዘዴን በመጠቀም ያንን AS እንዲያስወግዱ ማስገደድ ይቻላል። ለራስህ ጥቅም.

ምንጭ: hab.com

አስተያየት ያክሉ