Connect with us
social network

Hi-Tech Новости

Prefix hijacking. Используем RPKI для борьбы с потерей трафика

Опубликовано

от

Содержание статьи

Инциденты с prefix hijacking случаются регулярно, когда трафик массово отправляется не тем путем, которым должен. Некоторые из них, может, и связаны со злым умыслом, но большинство случайны и происходят по вине невнимательных админов. Сегодня я расскажу, как провайдеры могут предотвратить их или свести к минимуму, а заодно и как самому не стать их виновником.

INFO

В примерах настроек я использую стек протоколов FreeRangeRouting. Пользователям BIRD или OpenBGPD придется действовать по аналогии.

В этой статье предполагается, что у тебя уже есть опыт работы с FRR, Quagga или Cisco IOS и базовые знания о Border Gateway Protocol (BGP).

 

Суть проблемы

Протокол маршрутизации BGP сам по себе не содержит никакой информации о том, кому принадлежит та или иная сеть. Анонсировать чужие префиксы при этом вполне обычная практика — небольшие сети анонсируют свои сети транзитным провайдерам с развитой сетью, а те уже анонсируют их всем остальным. Кроме того, на точках обмена трафиком активно используются так называемые сервера маршрутов (route servers), которые позволяют получать маршруты ко всем сетям участников точки сразу, без настройки отдельной сессии с каждым из них.

BGP намеренно спроектирован так, чтобы можно было фильтровать и модифицировать маршруты произвольным образом без нарушения работы самого протокола. OSPF, к примеру, принципиально не позволяет даже фильтровать входящие маршруты: поскольку каждый маршрутизатор OSPF строит и поддерживает полную карту соединений в сети, отказ одного маршрутизатора запоминать часть сети может нарушить ее связь со всеми остальными. Протоколы с отслеживанием состояния каналов (link-state) вроде OSPF прекрасно подходят для внутренней маршрутизации, где на выбор пути влияют только технические соображения: длина пути и его пропускная способность.

Поскольку интернет — объединение независимых сетей, в силу вступают экономические и политические факторы. Самый короткий путь не всегда самый выгодный. Из-за этого реализации BGP вынужденно позволяют такие виды фильтрации и модификации анонсов, которые неприемлемы в других протоколах.

Отсутствие аутентификации открывает большой простор для случайных ошибок и намеренных злоупотреблений. Давай разбираться, как их избежать.

 

Фильтрация исходящих анонсов

Прежде чем рассматривать механизмы защиты от чужих ошибок, давай рассмотрим, как не стать виновником инцидента самому.

Случайная утечка одного префикса встречается крайне редко, в большинстве случаев утекает вся таблица маршрутов. Эта ситуация весьма неприятна для всех участников. Инициатор ненамеренно становится транзитным провайдером для жертв и берет на себя расходы по передаче их трафика. Если сеть не готова к возросшей нагрузке, такой инцидент способен положить и сеть инициатора, и сети жертв.

Неопытные админы, которые до этого работали с единственным подключением к провайдеру, часто забывают про фильтры.

Предположим, есть вот такой конфиг:

router bgp 64496
  network 192.0.2.0/24

  neighbor 203.0.113.10 remote-as 64500
  neighbor 203.0.113.10 description AwfulTransit

Диапазон номеров автономных систем 64496–64511 зарезервирован для примеров и документации в RFC5398. Он не совпадает с диапазоном для частного использования (64512–65534). Разница такая же, как между диапазоном адресов IPv4 для частного использования из RFC1918 и сетями 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24 (TEST-NET-[123]).

Сети и номера AS из частных диапазонов выделены для того, чтобы внутренние ресурсы организаций не конфликтовали в публичном интернете, а зарезервированные для документации — чтобы бездумное применение примеров из статей не конфликтовало с реальными сетями.

Мы анонсируем провайдеру сеть 192.0.2.0/24. Провайдер анонсирует нам все маршруты интернета. В этой ситуации никакие фильтры не нужны, потому что ни один протокол маршрутизации не анонсирует полученные от соседа маршруты обратно ему же. Это базовый механизм предотвращения петель маршрутизации.

В то же время все протоколы, включая BGP, анонсируют все маршруты всем остальным соседям, если не указано обратное. Чем больше связность сети и число альтернативных маршрутов к каждой сети, тем она надежнее. Если, конечно, все участники могут и согласны пропускать через себя этот трафик — а клиенты провайдеров не готовы и не согласны.

Предположим, что ты добавил подключение ко второму провайдеру:

router bgp 64496
  neighbor 203.0.113.20 remote-as 64510

С такими настройками твой маршрутизатор начнет анонсировать маршруты одного провайдера другому.

Чтобы этого не произошло, нужно явно указать, что анонсировать.

Если у тебя всего один маршрутизатор BGP и все маршруты приходят из какого-то внутреннего протокола или опций network, проще всего отфильтровать по пустому AS path. Номер автономной системы добавляется в путь маршрута не в момент его зарождения, а в момент анонса, поэтому у локально порожденных маршрутов он пустой. Пустой строке соответствует регулярное выражение ^$.

bgp as-path access-list LocalOnly permit ^$
!
route-map LocalOnly permit 10
 match as-path LocalOnly
!

Если у тебя есть свои клиенты или маршруты по иной причине приходят опять же из BGP, то придется фильтровать явно, с помощью prefix-list.

На практике в случае с клиентом и провайдером при утечке таблицы провайдер автоматически отключит сессию клиента или проигнорирует лишние маршруты. Успешный захват префиксов обычно происходит между равноправными сетями: транзитными провайдерами или участниками точки обмена трафиков.

Как провайдеры это предотвращают? Самая простая и неспецифичная мера защиты — опция maximum-prefix.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!
Подробнее

Я уже участник «Xakep.ru» http://xakep.ru/

Продолжить чтение
Нажмите, чтобы комментировать

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Hi-Tech Новости

Почему тропические острова имеют форму колец?

Опубликовано

от

от

Атолл — это коралловый остров, который располагается преимущественно в теплых тропических или субтропических поясах планеты. Из-за своей живописности, именно природа атоллов ассоциируется с райским отдыхом у большинства населения планеты Земля. Кроме того, у таких природных образований имеется своя уникальная особенность — они практически всегда имеют круглую форму. Чем же вызвано подобное явление и как его можно объяснить?

Кваджалейн — самый большой атолл в мире

Почему атоллы имеют кольцеобразную форму?

Согласно мнению великого ученого-натуралиста Чарльза Дарвина, атолл представляет из себя ничто иное, как то, что осталось после затопления острова. Согласно его теории, кораллы поселяются вблизи скалистых берегов суши, которые постепенно уходят в морскую пучину. Когда часть кораллов уходит под воду, они погибают, постепенно превращаясь в известь. Образуемая известковая платформа начинает вести новую жизнь, становясь местом обитания новых поколений кораллов, которые с течением времени начинают тянуться все выше и выше к свету. К моменту, когда остров полностью погружается под воду, кораллы успевают образовать кольцо с внутренней лагуной.

Читайте также: Самые необычные острова планеты

Современные ученые считают, что атоллы по большей своей массе формируются на месте островов, имеющих вулканическое происхождение. Так, самый знаменитый курорт мира — Мальдивы, образован именно из атоллов, коралловых островов и коралловых рифов. Все они едва ли возвышаются над поверхностью Индийского океана: известно,что самой высокой точкой Мальдив является точка Адду. Чтобы вы лучше понимали, горка имеет высоту всего лишь в 2,4 метра.

Схема образования атолла

Из 1200 мальдивских островов в настоящее время заселены только 200, остальные используются в туризме и сельском хозяйстве. Несмотря на это, все мальдивские острова представляют собой уникальное образование, аналогов которому просто не существует, если рассматривать его с точки зрения биологического разнообразия.

Мальдивы — райский уголок на Земле

Несмотря на свою природную живописность, Мальдивский атолл может исчезнуть уже в ближайшее время. Из-за глобального потепления уровень Мирового океана постепенно повышается, затапливая берега райских островов. Дата полного исчезновения островов разнится: кто-то считает, что Мальдивы могут исчезнуть примерно через 100 лет, а кто-то полагает, что уже через 30. Для того, чтобы пережить апокалипсис, мальдивские предприниматели уже сейчас занимаются разработкой Новых Мальдив.

Как вы считаете, возможно ли спасти атоллы от воздействия глобального потепления? Давайте попробуем обсудить этот вопрос в нашем Telegram-чате.

В частности, уже сейчас идет активное строительство первого в мире подводного ресторана Ilthaa Undersea. Переедут ли все жители мальдивских островов под воду, пока неизвестно. Вместе с тем, решение данного вопроса мы сможем увидеть уже в ближайшие несколько десятилетий.

Продолжить чтение

Hi-Tech Новости

Планшет LG G Pad 5 получил дисплей 10,1″ Full HD и чип трёхлетней давности

Опубликовано

от

от

По сообщениям сетевых источников, южнокорейская компания LG готовит к запуску новый планшетный компьютер. Речь идёт об устройстве G Pad 5 (LM-T600L), которое уже прошло сертификацию Google. Аппаратная «начинка» планшета не впечатляет, поскольку в её основе находится однокристальная система, выпущенная в 2016 году.

Устройство получит дисплей с диагональю 10,1 дюйма, который поддерживает разрешение 1920 × 1200 пикселей (соответствует формату Full HD). В верхней части дисплея расположена фронтальная камера, разрешающая способность которой пока неизвестна.

Что касается аппаратного обеспечения, то разработчиками была использована однокристальная система Qualcomm Snapdragon 821, которая производится по 14-нанометровому техпроцессу и имеет четыре вычислительных ядра. За обработку графики отвечает ускоритель Adreno 530. В наличии модем X12 LTE, обеспечивающий поддержку работы в сетях связи четвёртого поколения. Конфигурация дополняется 4 Гбайт оперативной памяти и встроенным накопителем ёмкостью 32 Гбайт. Не исключено, что производитель выпустит модели с разным количеством ОЗУ и ПЗУ. В качестве программной платформы задействована мобильная ОС Android Pie с фирменным интерфейсом LG UX.  

Вместе с параметрами LG G Pad 5 был опубликован рендер, демонстрирующий переднюю часть устройства. Дизайн лишён каких-либо примечательных особенностей, дисплей обрамляется достаточно толстыми рамками (особенно в верхней и нижней частях). Стоит отметить, что в плане производительности рассматриваемое устройство будет уступать даже Samsung Galaxy Tab S4, который был выпущен в 2018 году. Несмотря на это, в ближайшее время LG G Pad 5 может появиться на рынках некоторых стран. Вероятная стоимость новинки неизвестна, но вряд ли она будет высокой.



Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.

Продолжить чтение

Hi-Tech Новости

В результате корректировки высота орбиты МКС увеличилась на 1 км

Опубликовано

от

от

По сообщениям сетевых источников, вчера была проведена корректировка орбиты Международной космической станции. По словам представителя государственной корпорации Роскосмос, высота полёта МКС была увеличена на 1 км.

В сообщение говорится о том, что запуск двигателей модуля «Звезда» состоялся в 21:31 по МСК. Двигатели работали 39,5 с, что позволило увеличить среднюю высоту орбиты МКС на 1,05 км. Соответственно, после проведения корректировки высота полёта станции равна 416,2 км. Напомним, последняя корректировка высоты полёта МКС была проведена 15 августа 2019 года. Тогда были задействованы двигатели корабля «Прогресс МС-12», а средняя высота орбиты была увеличена на 2,1 км.

Следующий пилотируемый полёт к МКС должен состояться в конце этого месяца. Согласно имеющимся данным, 25 сентября ракета-носитель «Союз-ФГ» с пилотируемым кораблём «Союз МС-15» отправит в космическое пространство российского космонавта Олега Скрипочку, американского астронавта Джессику Меир, а также первого астронавта из ОАЭ Хаззаа аль-Мансури, который проведёт на борту МКС 8 дней. Возвращение астронавта из ОАЭ на Землю запланировано на 3 октября. Вместе с ним на планету вернутся россиянин Алексей Овчинин и американец Ник Хейг.

В настоящее время экипаж МКС сформирован из российских космонавтов Алексея Овчинина и Александра Скворцова, представителей США Ника Хейга, Эндрю Моргана и Кристины Кук, а также итальянца Луки Пармитано. Ранее сообщалось о том, что процесс подготовки пилотируемого корабля «Союз МС-15» подходит к завершению.   

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.

Продолжить чтение

Trending

Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
Принять