rj wrote:
>> Pawel Damian <pawel@usun_sz-ek.pl> wrote:
>>> http://www.ripe.net/news/study-youtube-hijacking.html
>>> Jak widać wcale nie tak trudno ;)
>> Ktoś tu pisał ostatnio, że filtry w bgp stosują _wszyscy_
> schizofrenia paranoidalna.... ale dla downlinkow jest ok, w przypadku
> pewnego poziomu juz sie nie nadaje... bo kto bedzie parsowal kilka
> tysiecy as'ow ?
Po pierwsze można (jak pisał już Łukasz)[1].
Po drugie to wszystko kwestia dobrych praktyk - panowie z Pakistanu
próbowali zablokować ruch do youtube ze swojej sieci ale najwyraźniej
nie zrozumieli do końca blackholingu. Panowie z PCCW Global z kolei
zapomnieli napisać odpowiednie filtry, które uniemożliwiłyby AS17557
rozgłaszanie nie swojej przestrzeni adresowej.
Są to rzeczy tak proste, powtarzane aż do znudzenia, ale to nic
nie daje - jak z hasłami, uRPFem itp.
Żeby nie było że post nie w temacie grupy jednak - jeden z polskich
operatorów, prefix-lista konstrukcji jak poniżej wycina dokładnie
10781 prefiksów...
seq 10 deny 10.0.0.0/8 le 32
seq 15 deny 172.16.0.0/12 le 32
seq 20 deny 192.168.0.0/16 le 32
seq 25 deny 224.0.0.0/4 le 32
seq 26 deny 240.0.0.0/4 le 32
seq 30 deny 127.0.0.0/8 le 32
seq 35 deny 169.254.0.0/16 le 32
seq 40 deny 192.0.2.0/24 le 32
seq 45 deny 192.42.172.0/24 le 32
seq 50 deny 198.18.0.0/15 le 32
Trudno w takiej sytuacji uważać, że na naszym podwórku wszystkie
problemy zostały już rozwiązane...
[1]. http://sourceforge.net/projects/irrpt/
-- "Don't expect me to cry for all the | Łukasz Bromirski reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.netReceived on Mon Mar 3 02:30:09 2008
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 03 Mar 2008 - 02:40:02 MET