https://www.opennet.ru/openforum/vsluhforumID3/114438.html Сервис BGPMon зафиксировал (https://bgpstream.com/event/138295) попытку подстановки фиктивного BGP-маршрута для перенаправления трафика подсети 1.1.1.0/24, в которой находится созданный компанией Cloudflare общедоступный DNS-сервер с поддержкой "DNS over TLS". Трафик был направлен в автономную систему 58879 (https://bgpview.io/asn/55994), анонсировавшую префикс 1.1.1.0/24 для своей сети.<br>Сеть принадлежит китайскому провайдеру AnchNet (Shanghai Anchang Network Security Technology Co.,Ltd.). <br><br><br>Судя по сведениям (https://news.ycombinator.com/item?id=17179484) одного из клиентов AnchNet, данная компания прокомментировала инцидент ошибкой при тестировании оборудования - администраторы использовали 1.1.1.0/24 в качестве тестового префикса, не предполагая, что эта подсеть принадлежит CloudFlare и используется для одного из крупнейших публичных DNS-сервисов. <br><br><br>Некоторые участники обсуждения не верят (https://news.ycombinator.com/item?id=17179561) подобному объяснению (маловероятно, чтобы администратор крупног https://www.opennet.ru/openforum/vsluhforumID3/114438.html#54 Thu, 31 May 2018 15:41:50 GMT https://ru.wikipedia.org/wiki/Anycast<br> https://www.opennet.ru/openforum/vsluhforumID3/114438.html#53 Wed, 30 May 2018 23:55:43 GMT &gt; Правильно будет &#171;It depends&#187;.<br><br>Да, это я лажанулся. Это, как оказалось, часто встречающаяся ошибка.<br>&gt; Зависит от прямоты рук.<br><br>Да руки-то тут причём. И то, и другое настраивается в пол тыка.<br>&gt; Форвардер работает так быстро потому, что уже всё закэшировал, а не потому, что у него какие-то волшебные каналы.<br><br>Ну это-то нифига не однозначно. Разные форвардеры ведь бывают.<br>А скорость ответов можно сравнить и на несуществующих доменах.<br> https://www.opennet.ru/openforum/vsluhforumID3/114438.html#52 Wed, 30 May 2018 20:20:49 GMT Кто знает практикуется ли контролируемый анонс одной и той же си в разных частях мира. Для благих целей? <br> https://www.opennet.ru/openforum/vsluhforumID3/114438.html#51 Wed, 30 May 2018 18:57:25 GMT &gt; Такое происходит каждый день по всему миру &#8212; какие-то люди шлют каким-то другим <br>&gt; людям чужие префиксы, богоны, 0/0 и тому подобное. Масштаб не тот, <br><br>самое смешное, что хрен с ними, чужими префиксами - но ведь и 0/0 умудряются не только принять, но и дальше раздать. Или сотенку тыщ /32<br>Сейчас вот еще стало модно полный список роснадзоровых блокировок поанонсить от себя ;-)<br><br>&gt; Нет. RFC8205.<br><br>феерически мертворожденный.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/114438.html#50 Wed, 30 May 2018 18:51:38 GMT &gt;&gt; А, да - гугль во время тестов недоступен.<br>&gt; А компутер дадут? Или только А4 из вторсырья? А на круглый люк <br><br>дадут ("только A4" будет перед этим, written test - этот просто чтоб не тратить на тебя электричество, если заведомо ничего не можешь), но там сеть только та самая - которую тебе настраивать надо (точнее, даже не она, а доступ к ее консолям). Мобилы, ноуты - оставляешь дома, "камера хранения не предусмотрена", деньги не возвращают.<br><br>раньше давали еще "univer cd" (без поиска ;-) но, в виду его феерической бесполезности в XXI веке, сейчас, похоже, и этого не дают. '?' в cli доступен, поскольку железки-то настоящие, но надо ж знать, чего '?'... Да и времени, на самом деле, не будет.<br><br>&gt; посадят? А со сферическим конём переговариваться можно будет по рации?<br><br>как на любом экзамене - поймают - досвидос без права апелляции.<br>Какой ты нахрен "эксперт", если без гугля и рации сеть настроить не можешь? :-)<br><br>А что, захотелось попробовать? ;-) Там все честно - никакого "сдайте сперва экзамен на младшего https://www.opennet.ru/openforum/vsluhforumID3/114438.html#49 Wed, 30 May 2018 18:33:41 GMT &gt; С куяли по рукам автору идеи с красивым адресом? <br><br>потому что дурак - он. Мир не устроен идеально, и отличие "я щас все найду в гугле" от грамотного инженера как раз в том, что инженер должен знать/соображать, на личном опыте, чего делать нельзя, хотя это нигде не написано. Но, как уже говорено, инженерам сейчас модно платить три копейки, поэтому имеем вот таких. Одни копипастят без понимания, другие не в курсе о том, что копипастят первые и что это явление стало массовым.<br><br>&gt; Это в цисковских книжонках использовали адреса которые не имели право использовать.<br><br>я имею право писать на (своем, заметим, собственном) заборе абсолютно любые адреса, даже из трех букв. Что ты примешь это как руководство к действию - я могу и не предвидеть.<br><br>&gt; Это авторов этих цисковских книжонок нужно бить по яйцам.<br><br>а, ню-ню...<br><br> https://www.opennet.ru/openforum/vsluhforumID3/114438.html#48 Wed, 30 May 2018 18:28:46 GMT а для теста, сюрпрайз, иногда нужны нелокальные. Потому что далеко не всегда локальные дадут то, что нужно для тестирования бордера (где может быть acl, который исказит картину).<br><br>правда, для моих тестов обычно достаточно просто routable - пофиг, отвечающих или нет, но у других инженеров могли быть и другие идеи.<br><br>Печально известный пример, более понятный местной публике, явно далекой от сетей - чудесный сайт www.ru, принимающий мегатонны icmp и high-port udp траффика. Феерически бесполезный для своих владельцев (попробуй всунуть рекламу - в icmp ;-) и обходящийся настолько дорого, что первоначальный его владелец даже продать не сумел, отдал тем, кто вообще согласился забрать.<br><br>Можно сколько угодно рассказывать, что он не предназначен для тестирования. Но если ты его купишь в надежде озолотиться (или размещать сведения государственной важности, или нечто общественно полезное там сделать) - ты такой же точно дурак, как "авторы" идеи с 1.1.1.1<br><br> https://www.opennet.ru/openforum/vsluhforumID3/114438.html#47 Wed, 30 May 2018 17:01:53 GMT Проще набирать на клавиатуре <br> https://www.opennet.ru/openforum/vsluhforumID3/114438.html#46 Wed, 30 May 2018 14:14:49 GMT &gt; Да тут вообще шах и мат. Либо КНР беспредельствует с BGP и <br><br>Такое происходит каждый день по всему миру &#8212; какие-то люди шлют каким-то другим людям чужие префиксы, богоны, 0/0 и тому подобное. Масштаб не тот, поэтому ты про это не слышишь никогда, да оно и понятно &#8212; кому интересны приключения /24 ISP c 3&#189; клиентами?<br><br>&gt; BGP же особо и не заменишь: оно специально сделано на взаимодоверии и <br>&gt; без него там никак, систему оперативно менять не получится, даже если <br>&gt; переделать bgp на протокол с криптой, всё равно в доверие и <br>&gt; злоупотребление им упрёмся.<br><br>Нет. RFC8205.<br><br><br>&gt; Короче, самый оптимальный вариант - отключить контроллируемые КНР компании от интернета, <br>&gt; а поставку инета в кнр возложить на компании вне юрисдикции КНР <br>&gt; через спутник.<br><br>Самый оптимальный вариант &#8212; не нести чушь на опеннет. <br>