Lupa.cz  »  Protokol BGP pod útokem  »  Názory  »  Vlákno

Vlákno názorů k článku Protokol BGP pod útokem od Ondřej Filip - Dobry den! "Opravdu bych chtěl vidět providera, který nefiltruje...

  • Článek je starý, nové názory již nelze přidávat.

  • 1. 9. 2008 14:41

    Ondřej Filip
    Dobry den!

    "Opravdu bych chtěl vidět providera, který nefiltruje své zákazníky."

    Doporucuji, abyste se podival na slidy 14, 15 a 17 zminovane prezentance. Uz priklad s unesenim YouTube ukazuje, ze zdaleka ne vsichni filteruji. Castecne s tim souvisi i tyto udaje:

    Recent exercises:
    – Hijacked 1.0.0.0/8: 90% success
    – Hijacked 146.20.0.0/16: 95% success
    – Attempted to announce networks longer than /24: from /25 down to /32 with cooperation of large CDN’s. 40% successful overall

    Poznamce o PI adresach nerozumim. Podle me to s tematem nesouvisi.

  • 1. 9. 2008 20:32

    anonymní
    Osobně se více obávám CIA než Franty Vopičky.

  • 1. 9. 2008 14:20

    anonymní
    Opravdu bych chtěl vidět providera, který nefiltruje své zákazníky. Z komunikace opravdu velkého množství firem vím že, jen v málo které mají opravdu znalého člověka BGP jako kmenového zaměstnance. Většinou si na projekt najímají konzultanty, případně mají nastavenu prioritu své práce někde jinde, což je pochopitelný a k tomuto problému může dojít spíš blbostí než úmyslem.

    Nedívím se, že tomu článku někdo neporozumí, když už si dáte práci a nakreslíte pěkné obrázky, tak je v textu vůbec nevyužijete....
    např. Díky mechanismu pro detekci smyček routery po cestě odmítají cesty šířené útočníkem, protože jejich číslo AS je v těchto cestách obsažené.
    by mělo být přesné: hraniční router v AS4

    Apropo PI adresy člověk taky nedostane každý den. Jo a udělat ze zákaznika tranzitní AS to je dobrý vtip, hlavně pro providera, který takového zákazníka připojuje :)

  • 1. 9. 2008 15:22

    Anonym (neregistrovaný)
    Přirovnání k youtube a slidy jsou efektní teoretické cvičení. Jenže zatímco útok na DNS teoreticky dokáže provést i Fanda Vopička vodvedle, na takto sofistikovaný útok už jeho možnosti v žádném případě nestačí. Uvědomme si, že útočník musí být v naprosto ideální pozici. Mít 2 providery s BGP peeringem, kdy oba dva nefiltrují, navíc mít potřebou kapacitu linky a pak potřebnou výpočetní sílu pro analýzu protékajících paketů. Tyhle podmínky jsou podle mého hodně limitující. Dokážu si přestavit "providery" typu CIA nebo FSB, že mají technické možnosti toto provést. U ostatních tato situace může vzniknout spíše lidskou blbostí než cíleným zájmem. Což se stalo v Pákistánu.

  • 1. 9. 2008 16:05

    anonymní
    O těch PI adresách jsem to myslel tak, že moc změn nebývá, takže jakmile se to jednou nastaví funguje to. (prefix-list).

    Druhá poznámka, tranzitní neošetřený zákazník je podle mně veliké nebezpečí, může klidně vytížit mezinárodní linky svého providera, takže to je v zájmu obou, mít nastavená pravidla.

Aktuality

Další zprávičky
Napište aktualitu

Dále u nás najdete

Czech Internet Forum: Do konce června máme zvýhodněnou cenu vstupenek!
TO CHCI
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).