13 martsa ho an'ny vondrona miasa miady amin'ny fanararaotana RIPE Hevero ho fanitsakitsahana ny politikan'ny RIPE ny fakàna an-keriny BGP (hjjack). Raha nekena ilay tolo-kevitra, dia hanana fahafahana handefa fangatahana manokana hanalana sarona ilay mpanafika ilay mpanome Internet voatafika tamin'ny fisakanana fifamoivoizana. Raha nanangona porofo manohana ampy ny ekipan'ny mpandinika, ny LIR izay nipoiran'ny fisakanana ny BGP dia heverina ho mpanafika ary azo esorina amin'ny sata LIR. Nisy ihany koa ny adihevitra sasany fiovana.
Amin'ity famoahana ity dia tiantsika ny hampiseho ohatra momba ny fanafihana izay tsy ny tena mpanafika ihany no resahina, fa ny lisitry ny prefix voakasika rehetra koa. Ambonin’izany, mampametra-panontaniana indray ny anton’ny fisakanana amin’ny ho avy amin’ity karazana fifamoivoizana ity ny fanafihana tahaka izao.
Tao anatin'ny roa taona lasa izay, ny fifandirana toa ny MOAS (System Autonomous Multiple Origin Autonomous) ihany no voarakitra an-gazety ho fisakanana BGP. MOAS dia tranga manokana izay misy rafitra tsy miankina roa samy hafa manao dokam-barotra mialoha mifanipaka miaraka amin'ny ASN mifanitsy amin'ny AS_PATH (ny ASN voalohany ao amin'ny AS_PATH, ary avy eo dia antsoina hoe ASN fiaviana). Na izany aza, azontsika atao ny manonona anarana farafaharatsiny fisakanana fifamoivoizana, ahafahan'ny mpanafika manodinkodina ny toetra AS_PATH ho an'ny tanjona isan-karazany, ao anatin'izany ny fandalovana ny fomba maoderina amin'ny sivana sy ny fanaraha-maso. Karazana fanafihana fantatra - karazana farany amin'ny fisakanana toy izany, saingy tsy misy lanjany velively. Tena azo inoana fa izany no karazana fanafihana hitanay tato anatin'ny herinandro vitsivitsy. Ny fisehoan-javatra toy izany dia manana toetra azo takarina ary misy vokany lehibe.
Ireo mitady ny dikan-teny TL; DR dia afaka mikoriana mankany amin'ny dikanteny "Perfect Attack".
Tambajotra ambadika
(mba hanampiana anao hahatakatra bebe kokoa ny fizotran'ity tranga ity)
Raha te-handefa fonosana ianao ary manana prefix maromaro ao amin'ny tabilao zotra misy ny adiresy IP alehanao, dia hampiasa ny lalana ho an'ny prefix miaraka amin'ny halavany lava indrindra ianao. Raha misy lalana maro samihafa ho an'ny tovana mitovy ao amin'ny tabilao fampitaovana, dia hifidy ny tsara indrindra ianao (araka ny fomba fisafidianana lalana tsara indrindra).
Ny fomba fanivanana sy fanaraha-maso efa misy dia manandrana manadihady lalana sy mandray fanapahan-kevitra amin'ny famakafakana ny toetra AS_PATH. Ny router dia mety hanova io toetra io amin'ny sanda rehetra mandritra ny dokam-barotra. Ny fampidirana tsotra fotsiny ny ASN an'ny tompony amin'ny fiandohan'ny AS_PATH (toy ny ASN niaviany) dia mety ho ampy handosirana ny mekanika fanamarinana fiaviana ankehitriny. Ankoatr'izay, raha misy lalana avy amin'ny ASN voatafika mankany aminao, dia azo atao ny manala sy mampiasa ny AS_PATH amin'ity lalana ity amin'ny dokambarotrao hafa. Ny fanamarinana fanamarinana AS_PATH irery ho an'ny fanambaranao noforonina dia handalo ihany.
Mbola misy fetra vitsivitsy azo lazaina. Voalohany, raha misy fanivanana tovana ataon'ny mpamatsy ambony, dia mety mbola ho voasivana ny lalanao (na dia miaraka amin'ny AS_PATH marina aza) raha toa ka tsy an'ny kônôn'ny mpanjifanao ny tovanao izay natsangana eny ambony. Faharoa, ny AS_PATH manan-kery dia mety ho lasa tsy manan-kery raha ny lalana noforonina dia doka amin'ny lalana diso ary, noho izany, mandika ny politikan'ny lalana. Farany, izay lalana misy tovana mandika ny halavan'ny ROA dia azo raisina ho tsy mety.
Tsy fetezana
Herinandro vitsivitsy lasa izay dia naharay fitarainana avy amin'ny iray amin'ireo mpampiasa anay izahay. Hitanay ny lalana misy ny tovan'ny ASN sy /25 niaviany, raha nilaza kosa ny mpampiasa fa tsy nanao dokambarotra izy ireo.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
Ohatra amin'ny fanambarana ho an'ny fiandohan'ny Aprily 2019
Ny NTT amin'ny lalan'ny prefix /25 dia mampiahiahy indrindra. Tsy nahafantatra io lalana io ny LG NTT tamin’ny fotoana nisehoan’ny loza. Eny, misy mpandraharaha mamorona AS_PATH iray manontolo ho an'ireo prefix ireo! Ny fanamarinana ny router hafa dia manambara ASN iray manokana: AS263444. Rehefa avy nijery lalana hafa niaraka tamin'ity rafitra tsy miankina ity izahay dia sendra ity toe-javatra manaraka ity:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
Andramo maminavina izay tsy mety eto
Toa nisy naka ny prefix teo amin'ilay lalana, nizara azy ho roa, ary nanao dokambarotra ilay lalana miaraka amin'ny AS_PATH mitovy amin'ireo tovana roa ireo.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
Lalana ohatra ho an'ny iray amin'ireo mpivady prefix misaraka
Mipetraka indray ny fanontaniana maromaro. Efa nisy nanandrana an'io karazana fisakanana io ve tamin'ny fampiharana? Efa nisy nandeha ve ireo lalana ireo? Inona avy ireo prefix voakasika?
Eo no manomboka ny tsy fahombiazantsika sy ny fahadisoam-panantenana hafa amin'ny toetry ny fahasalaman'ny Internet amin'izao fotoana izao.
Ny lalan'ny tsy fahombiazana
Ny zavatra voalohany aloha. Ahoana no hamaritana hoe iza amin'ireo router no nanaiky ny lalana voasakana toy izany ary ny fifamoivoizana an'iza no azo averina amin'izao fotoana izao? Nihevitra izahay fa hanomboka amin'ny prefixes /25 satria "tsy afaka mizara maneran-tany tsotra izao" izy ireo. Araka ny azonao eritreretina dia diso be izahay. Nitabataba loatra ity metrika ity ary mety hipoitra na dia avy amin'ny mpandraharaha Tier-1 aza ny lalana misy prefix toy izany. Ohatra, ny NTT dia manana prefix 50 eo ho eo, izay zarainy amin'ny mpanjifany manokana. Amin'ny lafiny iray, ratsy ity metrika ity satria ny prefix toy izany dia azo sivana raha mampiasa ny mpandraharaha , amin'ny lafiny rehetra. Noho izany, ity fomba ity dia tsy mety amin'ny fitadiavana ireo mpandraharaha rehetra izay navitrika ny fifamoivoizana noho ny tranga toy izany.
Hevitra tsara iray hafa noheverinay fa hojerena . Indrindra ho an'ny lalana izay mandika ny fitsipika maxLength amin'ny ROA mifanaraka amin'izany. Amin'izany fomba izany no ahitantsika ny isan'ny ASN niaviany samy hafa manana sata tsy mety izay hitan'ny AS iray. Na izany aza, misy olana "kely". Ny salan'isa (median sy mody) amin'ity isa ity (ny isan'ny ASN samihafa fiaviana) dia eo amin'ny 150 ary, na dia manasivana prefix kely aza isika, dia mijanona eo ambonin'ny 70. Ity toe-draharaha ity dia manana fanazavana tsotra: misy ihany mpandraharaha vitsivitsy izay efa mampiasa sivana ROA miaraka amin'ny politika "Avereno ny lalana tsy mety" amin'ny toerana fidirana, ka na aiza na aiza misy lalana misy fandikan-dalàna ROA miseho amin'ny tontolo tena izy, dia afaka miparitaka amin'ny lalana rehetra izany.
Ny fomba roa farany dia ahafahantsika mahita mpandraharaha nahita ny zava-nitranga (satria tena lehibe izy io), saingy amin'ny ankapobeny dia tsy azo ampiharina izany. Eny ary, fa afaka mahita ilay mpanafika ve isika? Inona avy ireo endri-javatra ankapobeny amin'ity fanodinkodinana AS_PATH ity? Misy vinavina fototra vitsivitsy:
- Ny prefix dia mbola tsy hita na taiza na taiza;
- Origin ASN (fampahatsiahivana: ASN voalohany amin'ny AS_PATH) dia manan-kery;
- Ny ASN farany ao amin'ny AS_PATH dia ny ASN an'ny mpanafika (raha ny mpifanolobodirindrina aminy dia manamarina ny ASN mpifanolo-bodirindrina amin'ny lalana miditra rehetra);
- Avy amin'ny mpamatsy tokana ny fanafihana.
Raha marina ny fiheverana rehetra, ny lalana diso rehetra dia hampiseho ny ASN an'ny mpanafika (afa-tsy ny ASN niaviany) ary noho izany dia teboka "manakiana" izany. Anisan'ireo tena mpaka an-keriny ny AS263444, na dia nisy hafa aza. Na dia nanary ny lalan'ny zava-nitranga tamin'ny fandinihana izahay. Nahoana? Ny teboka manan-danja dia mety hijanona ho manan-danja na dia amin'ny lalana marina aza. Mety ho vokatry ny tsy fahampian'ny fifandraisana amin'ny faritra iray izany na ny fetran'ny fahitantsika manokana.
Vokatr'izany dia misy ny fomba hamantarana ny mpanafika, fa raha toa ka mahafeno ireo fepetra rehetra voalaza etsy ambony ireo ary rehefa lehibe ny fisakanana mba handalo ny tokonam-baravarana. Raha tsy mahafeno ny sasany amin'ireo lafin-javatra ireo, dia azontsika fantarina ve ny prefix izay niharan'ny fisakanana toy izany? Ho an'ny mpandraharaha sasany - eny.
Rehefa mamorona lalana voafaritra kokoa ny mpanafika, ny prefix toy izany dia tsy ambaran'ny tena tompony. Raha manana lisitra mavitrika amin'ny prefix rehetra ao aminy ianao, dia azo atao ny manao fampitahana ary mahita lalana voafaritra kokoa. Angoninay ity lisitry ny prefix ity amin'ny alàlan'ny fotoam-pivoriana BGP, satria nomena antsika tsy ny lisitry ny lalana feno hitan'ny mpandraharaha amin'izao fotoana izao, fa ny lisitry ny prefix rehetra tiany hambara amin'izao tontolo izao ihany koa. Mampalahelo fa misy mpampiasa Radar am-polony maro ankehitriny izay tsy mamita tsara ny ampahany farany. Hampahafantatra azy ireo tsy ho ela izahay ary hiezaka hamaha ity olana ity. Afaka miditra amin'ny rafitra fanaraha-maso anay ny olon-drehetra izao.
Raha miverina amin'ny zava-nitranga tany am-boalohany isika, dia hitan'ny mpanafika sy ny faritra fanaparitahana tamin'ny alalan'ny fikarohana ireo teboka manan-danja. Mahagaga fa tsy nandefa lalana noforonina ho an'ny mpanjifany rehetra ny AS263444. Na dia misy fotoana hafahafa aza.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
Ohatra vao haingana momba ny fikasana hanakana ny toerana misy ny adiresinay
Rehefa noforonina manokana kokoa ho an'ny prefix-ntsika ny AS_PATH noforonina manokana. Na izany aza, ity AS_PATH ity dia tsy azo nalaina tamin'ny lalanay teo aloha. Tsy manana fifandraisana amin'ny AS6762 akory izahay. Raha jerena ireo zotra hafa tamin’io tranga io dia nisy tamin’izy ireo no nanana AS_PATH tena nisy teo aloha fa ny hafa kosa tsy nanana, na dia toa ny tena izy aza. Ny fanovana AS_PATH koa dia tsy misy dikany azo ampiharina, satria ny fifamoivoizana dia haverina any amin'ny mpanafika ihany, fa ny lalana misy AS_PATH "ratsy" dia azo sivanin'ny ASPA na mekanika fisafoana hafa. Eto isika dia mieritreritra momba ny antony manosika ny hijacker. Tsy manana vaovao ampy izahay amin'izao fotoana izao hanamafisana fa fanafihana efa nomanina io tranga io. Na izany aza, azo atao izany. Andeha isika haka sary an-tsaina, na dia mbola hypothetical, nefa mety ho tena misy, toe-javatra.
Fanafihana tonga lafatra
Inona no ananantsika? Andeha hatao hoe mpanome fampitaovana fampielezam-peo ho an'ny mpanjifanao ianao. Raha manana fanatrehana marobe (multihome) ny mpanjifanao, dia ampahany amin'ny fifamoivoizana ihany no azonao. Fa arakaraka ny fifamoivoizana no betsaka kokoa ny fidiram-bolanao. Ka raha manomboka manao dokam-barotra amin'ny tovan'ny subnet amin'ireo lalana ireo miaraka amin'ny AS_PATH mitovy ianao, dia ho azonao ny ambiny amin'ny fifamoivoizana. Vokany, ny vola sisa.
Hanampy eto ve ny ROA? Angamba eny, raha manapa-kevitra ny tsy hampiasa azy tanteraka ianao . Ho fanampin'izay, tena tsy ilaina ny fananana firaketana ROA miaraka amin'ny prefix mifanelanelana. Ho an'ny mpandraharaha sasany dia tsy azo ekena ny fameperana toy izany.
Raha jerena ny rafitra fiarovana amin'ny lalana hafa dia tsy hanampy amin'ity tranga ity koa ny ASPA (satria mampiasa AS_PATH avy amin'ny lalana manan-kery). BGPSec dia mbola tsy safidy tsara indrindra noho ny tahan'ny fananganana ambany sy ny sisa tavela amin'ny fanafihana fampidinana.
Noho izany dia manana tombony mazava ho an'ny mpanafika isika ary tsy manana fiarovana. Mix tsara!
Inona no tokony ataoko?
Ny dingana mazava sy mahery vaika indrindra dia ny famerenana ny politikan'ny lalanao ankehitriny. Zarao ho ampahany kely indrindra ny habaka adiresinao (tsy misy mifanipaka) izay tianao hanaovana dokambarotra. Manasonia ROA ho azy ireo ihany, tsy mampiasa ny mari-pamantarana maxLength. Amin'ity tranga ity, ny POV anao amin'izao fotoana izao dia afaka mamonjy anao amin'ny fanafihana toy izany. Na izany aza, indray, ho an'ny mpandraharaha sasany dia tsy mitombina izany fomba izany noho ny fampiasana manokana ny lalana manokana. Ny olana rehetra amin'ny toetry ny ROA ankehitriny sy ny zavatra momba ny lalana dia holazaina amin'ny iray amin'ireo fitaovana ho avy.
Ankoatra izany, azonao atao ny manandrana manara-maso ny fisakanana toy izany. Mba hanaovana izany dia mila fampahalalana azo antoka momba ny prefix-nao izahay. Noho izany, raha manangana fivoriana BGP miaraka amin'ny mpanangona anay ianao ary manome fampahalalana momba ny fahitanao amin'ny Internet, dia afaka mahita ny sahan'ny tranga hafa izahay. Ho an'ireo izay mbola tsy mifandray amin'ny rafitra fanaraha-maso anay, hanomboka, ny lisitry ny lalana miaraka amin'ny prefix-nao dia ampy. Raha manana fivoriana miaraka aminay ianao, azafady mba jereo fa efa nalefa ny lalanao rehetra. Indrisy anefa fa tokony hotadidina izany satria ny mpandraharaha sasany dia manadino prefix iray na roa ka manelingelina ny fomba fikarohana ataontsika. Raha atao araka ny tokony ho izy, dia hanana angona azo antoka momba ny prefix-nao izahay, izay hanampy anay hamantatra sy hamantatra ho azy ity (sy ny hafa) karazana fisakanana fifamoivoizana ho an'ny toerana misy ny adiresinao.
Raha fantatrao ny fisakanana toy izany amin'ny fifamoivoizanao amin'ny fotoana tena izy, dia azonao atao ny manandrana manohitra izany. Ny fomba voalohany dia ny fanaovana dokam-barotra lalana miaraka amin'ireo prefix manokana ireo. Raha misy fanafihana vaovao amin'ireo prefix ireo dia avereno.
Ny fomba faharoa dia ny fanasaziana ny mpanafika sy ireo izay iharan'ny fanakianana azy (ho an'ny lalana tsara) amin'ny alàlan'ny fanapahana ny fidirana amin'ny lalanao mankany amin'ny mpanafika. Azo atao izany amin'ny fampidirana ny ASN an'ny mpanafika amin'ny AS_PATH amin'ny lalanao taloha ary noho izany dia manery azy ireo hisoroka an'io AS io amin'ny fampiasana ny mekanika fanaraha-maso ny loop ao amin'ny BGP. .
Source: www.habr.com