Maarso 13 ilaa kooxda shaqada ee ka hortagga xadgudubka RIPE U fiirso afduubka BGP-ga (hjack) inay tahay xad gudub siyaasadda RIPE. Haddii soo jeedinta la aqbalo, bixiyaha internetka ee lagu weeraray kala-goynta taraafikada ayaa heli doona fursad uu ku diro codsi gaar ah si uu u soo bandhigo qofka weerarka geystay. Haddii kooxda dib u eegisku ay ururiyaan cadaymo taageero oo ku filan, LIR-kii ahaa isha laga keenay dhex dhexaadinta BGP-ga waxa loo qaadan doonaa qof soo galay oo laga xayuubin karaa heerka LIR. Waxaa kaloo jiray doodo isbedel.
Daabacaaddan waxaan rabnaa inaan ku muujinno tusaale weerar halkaas oo aan ahayn kan dhabta ah ee weerarka geystay oo keliya, laakiin sidoo kale dhammaan liiska horgalayaasha ay saameeyeen. Waxaa intaa dheer, weerarkan oo kale wuxuu mar kale kiciyaa su'aalo ku saabsan ujeedooyinka mustaqbalka ee isdhexgalka noocan ah ee gaadiidka.
Labadii sano ee la soo dhaafay, kaliya iskahorimaadyada sida MOAS (Nidaamka Asal-ka-tooska ah ee Asal badan) ayaa lagu daboolay saxafada iyagoo ah dhex dhexaadinta BGP. MOAS waa kiis gaar ah halkaas oo laba nidaam oo kala duwan oo madaxbannaan ay xayeysiiyaan horgalayaal is khilaafaya oo wata ASNs u dhigma AS_PATH (ASN-ka ugu horreeya ee AS_PATH, oo hadda ka dib loo tixraacayo asalka ASN). Si kastaba ha ahaatee, waxaan magacaabi karnaa ugu yaraan dhex galka taraafikada, taasoo u oggolaanaysa weeraryahan inuu maamulo sifada AS_PATH ujeedooyin kala duwan, oo ay ku jirto ka gudubka hababka casriga ah ee shaandhaynta iyo la socodka. Nooca weerarka ee la yaqaan - nooca ugu dambeeya ee dhex galka noocan oo kale ah, laakiin maaha mid muhiim ah. Waa suurtogal in kani uu dhab ahaan yahay nooca weerar ee aanu aragnay toddobaadyadii la soo dhaafay. Dhacdadan oo kale waxay leedahay dabeecad la fahmi karo iyo cawaaqib xun.
Kuwa raadinaya nooca TL;DR waxay u rogi karaan cinwaan-hoosaadka "Weerar qumman".
Sooyaalka shabakadda
(si ay kaaga caawiyaan inaad si fiican u fahamto hababka ku lug leh dhacdadan)
Haddii aad rabto inaad dirto baakidh oo aad haysatid horgaleyaal badan oo ku jira miiska dajinta oo ka kooban cinwaanka IP-ga aad u socoto, markaa waxaad isticmaali doontaa dariiqa horgalaha leh dhererka ugu dheer. Haddii ay jiraan dhowr waddo oo kala duwan oo isku mid ah horgale isku mid ah oo ku yaal miiska dajinta, waxaad dooran doontaa midka ugu fiican (sida ku cad habka xulashada wadada ugu fiican).
shaandhaynta iyo dariiqooyinka la socodka ee jira waxay isku dayaan inay falanqeeyaan dariiqyada oo ay go'aamo sameeyaan iyadoo la falanqeynayo sifada AS_PATH. Router-ku waxa laga yaabaa inuu u beddelo sifadan qiimo kasta inta lagu jiro xayeysiinta. Kaliya ku darista milkiilaha ASN bilowga AS_PATH (sida asalka ASN) ayaa laga yaabaa inay ku filnaato in laga gudbo hababka hubinta asalka hadda. Waxaa intaa dheer, haddii ay jirto waddo ka timid ASN-ka la weeraray, waxaa suurtagal noqon doonta inaad soo saarto oo aad isticmaasho AS_PATH ee waddadan xayaysiisyadaada kale. Hubinta ansaxinta AS_PATH-keliya ee ogeysiisyadaada la farsameeyay ayaa ugu dambeyntii gudbi doona.
Waxaa weli jira dhowr xaddidaad oo mudan in la xuso. Marka hore, haddii ay dhacdo shaandheynta horgalayaasha bixiyaha sare, dariiqaaga wali waa la shaandheyn karaa (xitaa AS_PATH saxda ah) haddii horgalaha uusan lahayn koontada macmiilkaaga ee lagu habeeyay qulqulka sare. Midda labaad, AS_PATH sax ah waxay noqon kartaa mid aan sax ahayn haddii jidka la sameeyay lagu xayeysiiyo jihooyin khaldan, oo, sidaas darteed, ku xad-gudbo siyaasadda marin-u-qaadista. Ugu dambayn, waddo kasta oo leh horgale ku xad-gudbay dhererka ROA waxa loo qaadan karaa mid aan sax ahayn.
Dhacdo
Dhowr toddobaad ka hor waxaan helnay cabasho ka timid mid ka mid ah isticmaalayaashayada. Waxaan aragnay waddooyin leh asalkiisa ASN iyo /25 horgalayaasha, halka isticmaaluhu uu sheeganayay inuusan xayeysiin iyaga.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
Tusaalooyinka ogeysiisyada bilowga Abriil 2019
NTT ee dariiqa horgalaha/25 ayaa ka dhigaya mid shaki gaar ah leh. LG NTT kama warqabin wadadan waqtiga shilka dhacay. Markaa haa, hawlwadeenada qaar ayaa u abuura AS_PATH dhan horgalayaashan! Hubinta router-yada kale waxay muujineysaa hal ASN gaar ah: AS263444. Ka dib markaan eegno dariiqyada kale ee leh nidaamkan madaxbannaan, waxaan la kulannay xaaladda soo socota:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
Isku day inaad qiyaasto waxa halkan ka qaldan
Waxay u muuqataa in qof uu ka qaatay horgalayaasha dariiqa, oo u kala qaybiyay laba qaybood, oo uu ku xayaysiiyay dariiqa AS_PATH isku mid ah labadaas horgale.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
Tusaalooyinka dariiqyada mid ka mid ah lamaanaha horgalayaasha kala qaybsan
Dhowr su'aalood ayaa halmar soo baxaya. Ma jiraa qof dhab ahaantii isku dayay faragelinta noocan ah ficil ahaan? Ma jiraa qof qaaday waddooyinkan? Waa maxay horgalayaasha la saameeyay?
Halkani waa halka ay ka bilaabmato guuldarrooyinkayada xidhiidhsan oo haddana waji kale oo niyad-jab ah laga dareemayo xaaladda hadda jirta ee caafimaadka Internetka.
Jidkii fashilka
Horta wax yaabaha ugu horreeya. Sideen ku ogaan karnaa kuwa router-ka aqbalay dariiqyada la go'doomiyay iyo taraafkooda maanta dib loo celin karo? Waxaan u maleynay inaan ku bilaabi doono / 25 horgalayaasha sababtoo ah "si fudud ma yeelan karaan qaybinta caalamiga ah." Sida aad qiyaasi karto, aad baanu u khaldanay. Halbeeggani waxa uu noqday mid buuq badan oo waddooyinka leh horgalayaasha noocan oo kale ah waxay ka soo muuqan karaan xitaa kuwa ka shaqeeya Tier-1. Tusaale ahaan, NTT waxay leedahay ilaa 50 horgaleyaal noocaas ah, kuwaas oo ay u qaybiso macaamiisheeda. Dhanka kale, cabbirkan waa mid xun sababtoo ah horgalayaasha noocan oo kale ah waa la sifeyn karaa haddii hawlwadeenku isticmaalo , dhan walba. Sidaa darteed, habkani kuma habboona in la helo dhammaan hawl-wadeennada taraafikada loo beddelay natiijada dhacdadan oo kale.
Fikrad kale oo wanaagsan oo aan ku fikirnay waxay ahayd inaan eegno . Gaar ahaan waddooyinka ku xadgudba qaanuunka dhererka dhererka ee ROA u dhigma. Sidan waxaan ku heli karnaa tirada asalka kala duwan ee ASNs oo leh xaalad aan ansax ahayn oo u muuqday AS. Si kastaba ha ahaatee, waxaa jira dhibaato "yar". Celceliska (dhexdhexaadka iyo qaabka) tiradan (tirada asalka kala duwan ee ASNs) waxay ku saabsan tahay 150, xitaa haddii aan sifeyno horgalayaasha yaryar, waxay ku sii jirtaa ka sarreeya 70. Xaaladdan xaaladdu waxay leedahay sharraxaad aad u fudud: waxaa jira oo keliya hawl-wadeeno tiro yar oo horey u isticmaalay filtarrada ROA-ga ee leh siyaasadda "dib u dajinta waddooyinka aan sax ahayn" ee meelaha laga soo galo, si meel kasta oo dariiqa xadgudubka ROA uu uga muuqdo adduunka dhabta ah, ay u faafi karto dhammaan jihooyinka.
Labada hab ee ugu dambeeya waxay noo ogolaanayaan inaan helno hawlwadeeno arkay dhacdadayada (maadaama ay aad u weynayd), laakiin guud ahaan maaha kuwo lagu dabaqi karo. Hagaag, laakiin ma heli karnaa kii soo galay? Waa maxay sifooyinka guud ee wax-is-daba-marintan AS_PATH? Waxaa jira dhowr male-awaal asaasi ah:
- Horgalayaasha meelna hore looguma arag;
- Asalka ASN (xusuusinta: ugu horraysa ASN gudaha AS_PATH) waa sax;
- ASN-ka ugu dambeeya ee AS_PATH waa ASN-ka weerarka (haddii deriskiisu ka hubiyo ASN-ka deriska dhammaan waddooyinka soo galaya);
- Weerarku wuxuu ka yimid hal bixiye.
Haddii dhammaan malo-awaalku sax yihiin, dhammaan dariiqyada khaldan waxay soo bandhigi doonaan ASN-ka weerarka (marka laga reebo asalka ASN) oo, markaa, tani waa "muhiim" dhibic. Afduubayaashii runta ahaa waxaa ka mid ahaa AS263444, inkastoo ay jiraan kuwo kale. Xataa markii aan tuurnay dariiqyada dhacdada ka tixgalinta. Waa maxay sababtu? Qodob muhiim ah ayaa laga yaabaa inuu muhiim u ahaado xitaa waddooyinka saxda ah. Waxay noqon kartaa natiijada isku xirnaanta liidata ee gobolka ama xaddidnaanta aragtidayada gaarka ah.
Natiijo ahaan, waxaa jira hab lagu ogaanayo weerarka, laakiin kaliya haddii dhammaan shuruudaha kor ku xusan la buuxiyo iyo kaliya marka dhex-dhexaadku uu weyn yahay oo ku filan inuu ka gudbo marinnada kormeerka. Haddii qaar ka mid ah arrimahan aan la daboolin, markaa ma aqoonsan karnaa horgalayaasha ka soo horjeeda faragelintaas? Hawl-wadeenada qaarkood - haa.
Marka uu weeraryahanku sameeyo waddo gaar ah, horgalaha noocan oo kale ah ma xayeysiiyo milkiilaha dhabta ah. Haddii aad haysato liis firfircoon oo dhammaan horgalayaasha ka mid ah, markaa waxa suurtogal ah in la sameeyo isbarbardhigga oo la helo wadooyin gaar ah oo qalloocan. Waxaan aruurineynaa liiska horgalayaasha annaga oo adeegsanayna kulamadeena BGP, sababtoo ah nalooma siiyo liiska buuxa ee wadooyinka hadda u muuqda hawlwadeenka, laakiin sidoo kale liiska dhammaan horgalayaasha ay rabto in ay ku xayeysiiso adduunka. Nasiib darro, hadda waxa jira dhawr darsin isticmaalayaasha Radar kuwaas oo aan si sax ah u dhammaystirin qaybta u dambaysa. Dhawaan ayaan ogeysiin doonaa iyaga oo isku dayi doona inaan xallino arrintan. Qof kasta oo kale ayaa ku biiri kara nidaamka kormeerka hadda.
Haddii aan ku soo laabano dhacdadii asalka ahayd, weerarka iyo aagga qaybinta labadaba waa la ogaanay annaga oo raadinayna qodobbada muhiimka ah. Waxa la yaab leh, AS263444 uma soo dirin waddooyin been abuur ah dhammaan macaamiisheeda. Inkasta oo ay jirto daqiiqad qariib ah.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
Tusaalaha dhow ee isku dayga ah in la dhexgalo booska ciwaanka
Markii kuwo gaar ah loo sameeyay horgalayaashayada, AS_PATH gaar ah ayaa la isticmaalay. Si kastaba ha ahaatee, AS_PATH-kan lagama qaadi karo mid ka mid ah jidadkeennii hore. Xataa xiriir lama lihin AS6762. Markaad eegto waddooyinka kale ee dhacdada, qaarkood waxay lahaayeen AS_PATH dhab ah oo markii hore la isticmaali jiray, halka kuwa kalena aan la isticmaalin, xitaa haddii ay u ekaato midda dhabta ah. Beddelka AS_PATH ma samaynayso wax macno ah oo la taaban karo, mar haddii taraafikada loo wareejin doono qofka weerarka geystay, laakiin waddooyinka leh "xun" AS_PATH waxaa sifeyn kara ASPA ama farsamo kasta oo kale oo kormeer ah. Halkan waxaan ka fekereynaa dhiirigelinta afduubaha. Hadda ma hayno xog ku filan oo lagu xaqiijinayo in dhacdadani ay ahayd weerar qorsheysan. Si kastaba ha ahaatee, waa suurtagal. Aan isku dayno inaan qiyaasno, in kasta oo wali mala awaal ah, laakiin laga yaabo, xaalad dhab ah.
Weerar qumman
Maxaan haysanaa? Aynu nidhaahno waxaad tahay adeeg bixiyaha gaadiidka tebinta dariiqyada macaamiishaada. Haddii macaamiishaadu ay haystaan ββjoogitaan badan (multihome), markaa waxaad heli doontaa qayb ka mid ah taraafikada. Laakiin mar kasta oo taraafiggu bato, dakhligaagu waa badan yahay. Markaa haddii aad bilowdo xayaysiisyada horgalayaasha subnetka ee isla dariiqyadan wata AS_PATH isku mid ah, waxaad heli doontaa inta hadhay taraafikada. Natiijo ahaan, lacagta inteeda kale.
ROA ma caawin doontaa halkan? Laga yaabee haa, haddii aad go'aansato inaad gebi ahaanba joojiso isticmaalkeeda . Intaa waxaa dheer, aad bay loo jeclayn in la haysto diiwaannada ROA oo leh horgalayaasha is-goysyada ah. Hawl-wadeennada qaarkood, xannibaadaha noocaas ah waa wax aan la aqbali karin.
Iyadoo la tixgalinayo habab kale oo amniga la maro, ASPA kama caawin doonto kiiskan midkood (maxaa yeelay waxay ka isticmaashaa AS_PATH waddo sax ah). BGPSec wali maaha ikhtiyaarka ugu fiican sababtoo ah heerarka korsashada oo hooseeya iyo suurtagalnimada soo hartay ee hoos u dhigista weerarada.
Markaa faaβiido cad ayaanu u haynaa qofka weerarka gaystay iyo amni laβaan. Isku dhafka weyn!
Maxaan sameeyaa?
Talaabada cad iyo tan ugu daran waa in dib loo eego siyaasaddaada dariiqa hadda. U kala qaybi booska ciwaankaaga qaybaha ugu yar (ma jiraan wax is dulsaaran) oo aad rabto inaad xayaysiiso. U saxiix ROA iyaga oo keliya, adoon isticmaalin cabbirka ugu sarreeya. Xaaladdan oo kale, POV-gaaga hadda wuxuu kaa badbaadin karaa weerarkan oo kale. Si kastaba ha ahaatee, mar labaad, hawl wadeenada qaarkood habkani maaha mid macquul ah sababtoo ah isticmaalka gaarka ah ee wadooyin gaar ah. Dhammaan dhibaatooyinka hadda jira ee ROA iyo walxaha dariiqyada waxaa lagu qeexi doonaa mid ka mid ah agabkayaga mustaqbalka.
Intaa waxaa dheer, waxaad isku dayi kartaa inaad la socoto faragelinta noocaas ah. Si tan loo sameeyo, waxaan u baahanahay macluumaad lagu kalsoonaan karo oo ku saabsan horgalayaashaaga. Markaa, haddii aad la samaysato fadhi BGP ah ururiyahayaga oo aad na siiso macluumaadka ku saabsan muuqaalkaaga internetka, waxaanu heli karnaa baaxadda dhacdooyinka kale. Kuwa aan weli ku xidhnayn nidaamkayaga kormeerka, si ay u bilaabaan, liiska waddooyinka kaliya ee leh horgalayaashaaga ayaa ku filan. Haddii aad nala leedahay fadhi, fadlan hubi in dhammaan waddooyinkaaga la soo diray. Nasiib darro, tani waxay mudan tahay in la xasuusto sababtoo ah hawl-wadeenada qaarkood waxay illoobaan horgale ama laba sidaas darteed waxay farageliyaan hababkayada raadinta. Haddii si sax ah loo sameeyo, waxaan heli doonaa xog lagu kalsoonaan karo oo ku saabsan horgalayaashaada, taas oo mustaqbalka naga caawin doonta inaan si toos ah u aqoonsano oo aan ogaano tan (iyo kuwa kale) noocyada kala-hortagga taraafigga ee booska cinwaankaaga.
Haddii aad ka warqabto faragelinta noocaas ah ee taraafikadaada wakhtiga dhabta ah, waxaad isku dayi kartaa inaad naftaada ka hortagto. Habka ugu horreeya waa in aad ku xayaysiisid waddooyinka adiga oo isticmaalaya horgalayaashan gaarka ah. Haddii weerar cusub lagu soo qaado horgalayaashan, ku celi
Habka labaad waa in la ciqaabo weerarka iyo kuwa uu u yahay barta muhiimka ah (dariiqyada wanaagsan) adiga oo gooyay marinka marinka aad u marto kan wax weeraray. Tan waxa lagu samayn karaa iyada oo lagu daro ASN-ka weerarka soo qaaday AS_PATH ee wadooyinkii hore oo markaa ku qasbo in ay ka fogaadaan AS iyaga oo isticmaalaya habka ogaanshaha loop ee ku dhex jira BGP .
Source: www.habr.com