Vlákno názorů k článku Jak Pákistán unesl YouTube od Dan Ohnesorg - Ja jsem na to nechtel kupovat krabicovy SW,...
-
Ja jsem na to nechtel kupovat krabicovy SW, ale kdyz byl pozadovan, rad poradim.
Takovych utoku pribyvat bude s tim, jak postupne klesa rozsah znalosti prumerneho admina. Ale prece jen pokud budou podlehat hranicni smerovace, tak to nebude tak zle. Zle to zacne byt az zacnou podlehat tranzitni smerovace.
Prece jen jeste po nejakou dobu budou spravci na tranzitu dost paranoidni, aby nenakoupili od zakaznika prefix, ktery mu zjevne nepatri. On take maloktery zakaznik je pripraven na to, ze mu siti protece par gigabit jen proto, protoze jeho sit zakoncena ve dvou statech je levnejsi cestou pro zahranicni konektivitu.
Tento pripad byl proste drobnym vypadkem, vzdyt se nakonec nic nestalo. Porad lepsi nez 4 pretrzene optokabely ted nebo ty pretrhane zemetresenim loni v HK. Tam nesel inet cele dny. -
Jenze nakup OpenSuse nic neresi.
Naopak, jiste bezi ve svete vic aplikacne bohatych Linuxu s Quaggou v roli hranicniho BGP smerovace nez podobnych boxu s napisem Juniper/CISCO Systems.
Mam trosku obavu, ze prave nasazovani PC v roli hranicnich smerovacu muze dobu, kdy budou podobne utoky na dennim poradku , priblizit.
At zije spravny low cost provider s linuxem v roli hranicniho smerovace, smtp serveru a webu pro zakazniky! Tisice dekovnych dopisu azbukou, skvele reference. -
Zbynek ma pravdu. Navic se obavam, ze se zavedenim striktniho filtrovani podle RIR DB odriznete velkou cast Internetu od vlastni site. Pokud vim, tak RIPE DB je nejpecliveji vedena databaze, a presto vim o spouste operatoru, kteri tam prislusny route zaznam nemaji.
Internet je designovan tak, ze veskera inteligence ma byt na koncich. V pripade smerovani na koncovych smerovacich. Bohuzel dneska je ISP kazdy, kdo si koupil PC s mikrotikem a naklika tam nejake veci bez znalosti jak to funguje, hlavne, ze to funguje.
Kdyz se k tomu prida laxne udrzovany (nebo neexistujici) filtr u tranzitniho ISP, je na problem zadelano.
Chyby se stavaji vsude (pametnici mozna vzpomenou na IPv6 /32 UUNETu, ktery se povedlo vyexportovat v mnoha /64), bohuzel vsak dnesni Internet je nastaven tak, ze se jejich dusledky promitnou globalne.
Na sikovny dvouhodinovy DoS dnes nepotrebujete armadu botu, staci jeden smerovac :-) Bohuzel se to neda vyresit nakupem nejakeho krabicoveho software, proto zustava ten problem zcela mimo zajem medii. -
ZP (neregistrovaný)Naprosto vazne. Nevim o nikom, kdo by pouzival SO-BGP, SBGP nebo PGBGP. Podle RADB ci RIPE databaze filtruje prefixy tak 1% operatoru (a par route-serveru v IXech, dobre). Ostatni se smiri s AS-path ACL, ktere by uvedenemu pripadu nezabranily. Je vhodne si uvedomit, ze filtrovani podle prefix-listu je sice ucinne, ale je pomerne pracne a provozne komplikovane ty prefix-listy udrzovat (s moznosti zavleceni chyb, samozrejme). I pres par excesu (ktere se staly uz v minulosti, ale stale to je za celou historii Internetu par pripadu, urcite spise jednotky, nezli desitky) si tedy myslim, ze je lepsi ona potencialni anarchie, co je ted, nez nejaky dirigismus, ktery tech problemu zpusobi daleko vic.
-
prudic (neregistrovaný)mozna kecam, kdyz tak mne dementujte, ale neni to tak, ze svet se dozvi, ze ten prefix patri jemu, svet se jen dozvi, ze zrovna do te site umi paket dorucit.(to ze pakety konci v null uz neresi) A na tom principu je zalozena ochrana pred vypadky tras. Tedy jednoduse receno na tom je zalozena "spolehlivost" Internetu.
Pokud jsi managor, ktery chce smluvni zaruky absolutni funkcnosti spojeni, tak si objednej privatni linku k cili :-) -
misch (neregistrovaný)Ještě bych přivítal aspoň jeden malý odstavec, kde by se člověk dozvěděl jak k takovéhle události může vlastně dojít. To si všichni provideři navzájem věří? Respektive, to může kdokoli poslat do celého světa informaci "Prefix 212.71.0.0/16 teď patří mě a budete ho směrovat přes naše routery, neřádi!"?