د مارچ 13 د RIPE د ناوړه ګټه اخیستنې ضد کاري ډلې ته د BGP تښتول (hjjack) د RIPE پالیسي څخه سرغړونه ګڼل کیږي. که وړاندیز ومنل شي، د ټرافيکي مداخلې لخوا برید شوی د انټرنیټ چمتو کونکي به دا فرصت ولري چې د برید کونکي افشا کولو لپاره ځانګړې غوښتنه واستوي. که د بیاکتنې ټیم کافي مالتړ شواهد راټول کړي، هغه LIR چې د BGP مداخلې سرچینه وه، یو مداخله کونکی وګڼل شي او د هغې د LIR وضعیت څخه لیرې شي. ځینې دلیلونه هم وو بدلونونه
په دې خپرونه کې موږ غواړو د برید یوه بیلګه وښایه چیرې چې نه یوازې اصلي برید کوونکی تر پوښتنې لاندې و، بلکه د اغیزمن شوي مخکینیو ټول لیست هم. برسېره پر دې، دا ډول برید بیا د دې ډول ټرافیک د راتلونکي مداخلې لپاره د انګېزې په اړه پوښتنې راپورته کوي.
په تیرو څو کلونو کې، یوازې د MOAS په څیر شخړې (د څو اصلونو خپلواکه سیسټم) په مطبوعاتو کې د BGP مداخلې په توګه پوښل شوي. MOAS یوه ځانګړې قضیه ده چیرې چې دوه مختلف خودمختاره سیسټمونه په AS_PATH کې د ورته ASNs سره متضاد مختګونه اعلانوي (په AS_PATH کې لومړی ASN، بیا وروسته د اصلي ASN په توګه راجع کیږي). په هرصورت، موږ کولی شو لږ تر لږه نوم ولرو د ترافیک مداخله، یو برید کونکي ته اجازه ورکوي چې د مختلفو موخو لپاره د AS_PATH ځانګړتیا سمبال کړي، په شمول د فلټر کولو او څارنې لپاره د عصري طریقو څخه تیریدل. د برید ډول پیژندل شوی - د دې ډول مداخلې وروستی ډول، مګر په هیڅ ډول اهمیت نلري. دا خورا ممکنه ده چې دا دقیقا هغه ډول برید وي چې موږ په تیرو اونیو کې لیدلي دي. دا ډول پیښه د پوهیدو وړ طبیعت او خورا جدي پایلې لري.
هغه څوک چې د TL په لټه کې دي؛ DR نسخه کولی شي د "کامل برید" فرعي سرلیک ته سکرول کړي.
د شبکې شالید
(د دې لپاره چې تاسو په دې پیښه کې ښکیل پروسې په ښه پوهیدو کې مرسته وکړئ)
که تاسو غواړئ یو کڅوړه واستوئ او تاسو د روټینګ جدول کې ډیری مختګونه لرئ چې د منزل IP پته لري ، نو تاسو به د ترټولو اوږد اوږدوالي سره د مخکیني لپاره لاره وکاروئ. که چیرې په روټینګ جدول کې د ورته مخکینۍ لپاره څو مختلف لارې شتون ولري ، نو تاسو به غوره غوره کړئ (د غوره لارې انتخاب میکانیزم له مخې).
د فلټر کولو او څارنې موجوده طریقې هڅه کوي چې لارې تحلیل کړي او د AS_PATH خاصیت تحلیل کولو سره پریکړې وکړي. روټر کولی شي دا صفت د اعلان په جریان کې هر ارزښت ته بدل کړي. په ساده ډول د AS_PATH په پیل کې د مالک ASN اضافه کول (د اصلي ASN په توګه) ممکن د اوسني اصلي چک کولو میکانیزمونو څخه د تیرولو لپاره کافي وي. سربیره پردې ، که چیرې تاسو ته د برید شوي ASN څخه لاره شتون ولري ، نو دا ممکنه ده چې ستاسو په نورو اعلاناتو کې د دې لارې AS_PATH استخراج او وکاروئ. ستاسو د جوړ شوي اعلانونو لپاره د AS_PATH-یوازې تایید چیک به بالاخره تیر شي.
لاهم د یادولو وړ یو څو محدودیتونه شتون لري. لومړی، د اپ سټریم چمتو کونکي لخوا د مخکیني فلټر کولو په صورت کې ، ستاسو لاره لاهم فلټر کیدی شي (حتی د سم AS_PATH سره) که مختګ ستاسو د پیرودونکي شنک پورې اړه نلري چې په اپ سټریم کې ترتیب شوي. دوهم، یو باوري AS_PATH کیدای شي باطل شي که چیرې رامینځته شوې لار په غلطو لارښوونو کې اعلان شي او په دې توګه د روټینګ پالیسي څخه سرغړونه وکړي. په نهایت کې، هر هغه لاره چې د مخکینۍ سره وي چې د ROA اوږدوالی څخه سرغړونه کوي ممکن غلط وګڼل شي.
پېښه
څو اونۍ دمخه موږ زموږ د یو کارونکي څخه شکایت ترلاسه کړ. موږ د هغه د اصلي ASN او / 25 مخکینو سره لارې ولیدل، پداسې حال کې چې کاروونکي ادعا وکړه چې هغه یې اعلان نه کړ.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
د اپریل 2019 د پیل لپاره د اعلانونو بیلګې
د /25 مخکینۍ لپاره په لاره کې NTT دا په ځانګړي ډول شکمن کوي. LG NTT د پیښې په وخت کې د دې لارې څخه خبر نه و. نو هو، ځینې آپریټر د دې مختګونو لپاره بشپړ AS_PATH جوړوي! د نورو روټرونو چک کول یو ځانګړی ASN څرګندوي: AS263444. د دې خودمختاره سیسټم سره د نورو لارو لیدو وروسته، موږ د لاندې حالت سره مخ شو:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
هڅه وکړئ اټکل وکړئ چې دلته څه غلط دي
داسې ښکاري چې یو چا د لارې څخه مخکینی اخیستی، په دوو برخو یې ویشلی، او د ورته AS_PATH سره یې د دې دوو مخکینو لپاره د لارې اعلان کړی.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
د بېلګې په توګه د بېلګې په توګه د بېلګې له مخي جوړې جوړې
په یو وخت کې څو پوښتنې راپورته کیږي. ایا چا واقعیا په عمل کې دا ډول مداخله هڅه کړې؟ ایا چا دا لار نیولې ده؟ کوم مختګونه اغیزمن شوي؟
دا هغه ځای دی چې زموږ د ناکامیو سلسله پیل کیږي او د انټرنیټ روغتیا اوسني حالت سره د نا امیدۍ بل پړاو دی.
د ناکامۍ لاره
لومړی شیان لومړی. موږ څنګه کولی شو معلومه کړو چې کوم روټرونه دا ډول مداخله شوي لارې منلي او د چا ټرافيک نن ورځ بیرته راګرځیدلی شي؟ موږ فکر کاوه چې موږ به د /25 مخکینیو سره پیل وکړو ځکه چې دوی "په ساده ډول نړیوال توزیع نشي کولی." لکه څنګه چې تاسو اټکل کولی شئ، موږ ډیر غلط وو. دا میټریک ډیر شور وګرځید او د ورته مخکینیو سره لارې حتی د ټایر - 1 آپریټرونو څخه څرګند کیدی شي. د مثال په توګه، NTT شاوخوا 50 ورته مخابرات لري، کوم چې دا خپلو پیرودونکو ته ویشي. له بلې خوا، دا میټریک خراب دی ځکه چې دا ډول مختګونه فلټر کیدی شي که چیرې آپریټر کاروي په ټولو لارښوونو کې. له همدې امله، دا طریقه د ټولو چلونکو موندلو لپاره مناسبه نه ده چې ټرافيک د ورته پیښې په پایله کې لیږدول شوی.
یو بل ښه نظر چې موږ فکر کاوه دا و چې وګورئ . په ځانګړې توګه د هغو لارو لپاره چې د اړونده ROA maxLength قانون څخه سرغړونه کوي. په دې توګه موږ کولی شو د مختلف اصلي ASNs شمیر د غلط حالت سره ومومئ کوم چې ورکړل شوي AS ته څرګند وو. په هرصورت، یو "کوچنۍ" ستونزه شتون لري. د دې شمیرې اوسط (منځنی او موډ) (د مختلفو اصلي ASNs شمیر) شاوخوا 150 دی او حتی که موږ کوچني مخکیني فلټر کړو، دا د 70 څخه پورته پاتې کیږي. دا حالت خورا ساده توضیحات لري: دلته یوازې یو یو څو آپریټرونه چې دمخه د ننوتلو ځایونو کې د "ناسمو لارو بیا تنظیم کولو" پالیسي سره ROA فلټرونه کاروي ، نو هرچیرې چې د ROA سرغړونې سره لاره په ریښتیني نړۍ کې څرګندیږي ، دا کولی شي په ټولو لارښوونو کې تبلیغ وکړي.
وروستي دوه طریقې موږ ته اجازه راکوي چې هغه چلونکي ومومئ چې زموږ پیښه یې لیدلې وه (ځکه چې دا خورا لویه وه)، مګر په عمومي توګه دوی د تطبیق وړ ندي. سمه ده، مګر ایا موږ مداخله کوونکی پیدا کولی شو؟ د دې AS_PATH لاسوهنې عمومي ځانګړتیاوې څه دي؟ دلته یو څو بنسټیز انګیرنې شتون لري:
- مخفف مخکې له دې هیڅ ځای نه و لیدل شوی.
- اصلي ASN (یادونه: لومړی ASN په AS_PATH کې) اعتبار لري؛
- په AS_PATH کې وروستی ASN د برید کونکي ASN دی (په هغه حالت کې چې ګاونډی یې په ټولو راتلونکو لارو کې د ګاونډي ASN چیک کوي)؛
- برید د یو واحد چمتو کونکي څخه سرچینه اخلي.
که ټولې انګیرنې سمې وي، نو ټولې غلطې لارې به د برید کونکي ASN وړاندې کړي (پرته له اصلي ASN) او په دې توګه، دا یو "مهم" ټکی دی. د ریښتیني برمته کونکو په مینځ کې AS263444 و ، که څه هم نور هم شتون درلود. حتی کله چې موږ د پیښې لارې له پامه غورځولې. ولې؟ یو مهم ټکی ممکن حتی د سمې لارې لپاره هم مهم پاتې شي. دا کیدای شي په سیمه کې د ضعیف ارتباط پایله وي یا زموږ په خپل لید کې محدودیتونه.
د پایلې په توګه، د برید کونکي د موندلو لپاره یوه لاره شتون لري، مګر یوازې هغه وخت چې پورته ټول شرایط پوره شي او یوازې هغه وخت چې مداخله دومره لویه وي چې د څارنې حد ته تیریږي. که د دې فکتورونو څخه ځینې نه وي پوره شوي، نو ایا موږ کولی شو هغه مخکینۍ وپیژنو چې د داسې مداخلې سره مخ شوي؟ د ځانګړو چلوونکو لپاره - هو.
کله چې برید کوونکی یو ډیر مشخص لاره رامینځته کوي، دا ډول مخکینۍ د ریښتیني مالک لخوا نه اعلان کیږي. که تاسو له دې څخه د دې ټولو مخکینو متحرک لیست لرئ ، نو بیا دا امکان لري چې پرتله یې کړئ او تحریف شوي نور ځانګړي لارې ومومئ. موږ د خپلو BGP سیشنونو په کارولو سره د مخکینیو دا لیست راټولوو، ځکه چې موږ ته نه یوازې د لارښوونو بشپړ لیست چې همدا اوس آپریټر ته لیدل کیږي، بلکې د ټولو هغو مخکینیو لیست هم راکړل شوي چې دا غواړي نړۍ ته اعلان کړي. له بده مرغه، اوس د رادار څو درجن کاروونکي شتون لري چې وروستۍ برخه په سمه توګه نه بشپړوي. موږ به دوی ته په لنډ وخت کې خبر ورکړو او هڅه به وکړو چې دا مسله حل کړو. هرڅوک کولی شي همدا اوس زموږ د څارنې سیسټم سره یوځای شي.
که موږ اصلي پیښې ته بیرته راګرځو، د برید کونکي او ویشلو ساحه دواړه زموږ لخوا د مهمو ټکو په لټون کې کشف شوي. په حیرانتیا سره، AS263444 خپلو ټولو پیرودونکو ته جعلي لارې نه لیږلي. که څه هم یوه اجنبی شیبه ده.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
زموږ د پته ځای د مداخلې د هڅې یوه وروستۍ بیلګه
کله چې زموږ د مختګونو لپاره نور مشخصات رامینځته شوي، یو ځانګړی جوړ شوی AS_PATH کارول شوی. په هرصورت، دا AS_PATH زموږ د پخوانیو لارو څخه نه اخیستل کیدی. موږ حتی د AS6762 سره اړیکه نلرو. په پیښه کې نورو لارو ته په کتلو سره، ځینې یې یو ریښتینی AS_PATH درلود چې مخکې کارول شوی و، پداسې حال کې چې نور یې نه و، حتی که دا د اصلي په څیر ښکاري. سربیره پردې د AS_PATH بدلول هیڅ عملي معنی نلري ، ځکه چې ترافیک به په هرصورت برید کونکي ته لیږل کیږي ، مګر د "خراب" AS_PATH سره لارې د ASPA یا کوم بل تفتیش میکانیزم لخوا فلټر کیدی شي. دلته موږ د تښتونکي د هڅونې په اړه فکر کوو. موږ دا مهال دومره معلومات نه لرو چې دا تایید کړو چې دا پیښه یو پلان شوی برید و. په هرصورت، دا ممکنه ده. راځئ چې د تصور کولو هڅه وکړو، که څه هم لاهم فرضي، مګر په بالقوه توګه ریښتیا، یو وضعیت.
کامل برید
موږ څه لرو؟ راځئ چې ووایو تاسو د خپلو پیرودونکو لپاره د نشراتو لارې لیږدونکي یاست. که ستاسو پیرودونکي ډیری شتون ولري (ملټي کور)، نو تاسو به د دوی د ټرافیک یوازې یوه برخه ترلاسه کړئ. مګر څومره ټرافیک، ستاسو عاید ډیر. نو که تاسو د ورته AS_PATH سره د ورته لارو د فرعي نیټ مخکینۍ اعلانونه پیل کړئ، تاسو به د دوی پاتې ترافیک ترلاسه کړئ. په پایله کې، پاتې پیسې.
ایا ROA به دلته مرسته وکړي؟ شاید هو، که تاسو پریکړه وکړئ چې په بشپړ ډول یې کارول ودروئ . برسېره پردې، دا خورا ناغوښتل کیږي چې د ROA ریکارډونه د متقابل مختګونو سره ولري. د ځینو چلوونکو لپاره، دا ډول محدودیتونه د منلو وړ ندي.
د نورو روټینګ امنیتي میکانیزمونو په پام کې نیولو سره، ASPA به په دې قضیه کې هم مرسته ونه کړي (ځکه چې دا د باوري لارې څخه AS_PATH کاروي). BGPSec لا تر اوسه غوره انتخاب نه دی ځکه چې د ټيټ منلو نرخونه او د بریدونو پاتې کیدو احتمال شتون لري.
نو موږ د بریدګر لپاره ښکاره ګټه او د امنیت نشتوالی لرو. عالي مخلوط!
زه باید څه وکړم؟
ښکاره او خورا سخت ګام ستاسو د اوسني روټینګ پالیسي بیاکتنه ده. د خپل پته ځای په کوچنیو ټوټو کې مات کړئ (هیڅ اوورلیپ نه) چې تاسو یې اعلان کول غواړئ. یوازې د دوی لپاره ROA لاسلیک کړئ، پرته د maxLength پیرامیټر کارولو څخه. په دې حالت کې، ستاسو اوسنی POV کولی شي تاسو د داسې برید څخه وژغوري. په هرصورت، بیا، د ځینو چلونکو لپاره دا طریقه د ډیرو ځانګړو لارو د ځانګړي کارولو له امله مناسبه نه ده. د ROA اوسني حالت او د لارې توکي ټولې ستونزې به زموږ په راتلونکي موادو کې تشریح شي.
برسېره پردې، تاسو کولی شئ د داسې مداخلو څارنه وکړئ. د دې کولو لپاره، موږ ستاسو د مخونو په اړه باوري معلوماتو ته اړتیا لرو. په دې توګه، که تاسو زموږ د راټولونکي سره د BGP غونډه جوړه کړئ او موږ ته ستاسو د انټرنیټ لید په اړه معلومات راکړئ، موږ کولی شو د نورو پیښو لپاره ساحه ومومئ. د هغو کسانو لپاره چې لاهم زموږ د څارنې سیسټم سره ندي تړلي، د پیل کولو لپاره، یوازې ستاسو د مخکینیو سره د لارو لیست به کافي وي. که تاسو زموږ سره ناسته لرئ، مهرباني وکړئ وګورئ چې ستاسو ټولې لارې لیږل شوي. له بده مرغه، دا د یادولو وړ دی ځکه چې ځینې چلونکي یو یا دوه مخکینۍ هیروي او پدې توګه زموږ د لټون میتودونو کې مداخله کوي. که په سمه توګه ترسره شي، موږ به ستاسو د مخکینیو په اړه د اعتبار وړ معلومات ولرو، کوم چې په راتلونکي کې به موږ سره ستاسو د پتې ځای لپاره د ټرافيکي مداخلې (او نور) ډولونو په اتوماتيک ډول پیژندلو او موندلو کې مرسته وکړي.
که تاسو په ریښتیني وخت کې ستاسو د ترافیک د داسې مداخلې څخه خبر یاست ، نو تاسو کولی شئ پخپله یې د مخنیوي هڅه وکړئ. لومړۍ طریقه دا ده چې د دې نورو مشخصو مخکینیو سره د لارو اعلانونه پخپله وکړئ. په دې مختګونو باندې د نوي برید په صورت کې، تکرار کړئ.
دویمه لاره دا ده چې برید کونکي او هغه چا ته سزا ورکړئ چې هغه یې مهم ټکی دی (د ښې لارې لپاره) برید کونکي ته ستاسو د لارو لاسرسي بندولو سره. دا ستاسو د زړو لارو AS_PATH ته د برید کونکي ASN اضافه کولو سره ترسره کیدی شي او پدې توګه دوی دې ته اړ کړئ چې په BGP کې د جوړ شوي لوپ کشف میکانیزم په کارولو سره د AS څخه مخنیوی وکړي. .
سرچینه: www.habr.com