В результате ошибочного BGP-анонса 8870 чужих сетевых префиксов оказались перенаправлены через сеть Ростелекома, что привело к кратковременному коллапсу маршрутизации, нарушению связности сетей и проблемам с доступом к некоторым сервисам по всему миру. Проблема охватила более 200 автономных систем, принадлежащих крупным интернет-компаниям и сетям доставки контента, включая Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba и Linode...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52680
Мне вот интересно, как вообще можно было умудриться построить ГЛОБАЛЬНУЮ сеть вообще без авторизации?
Потому что всё держится на протоколах 70-80-х годов, а тогда "глобальная сеть" была вполне себе лабораторной и можно было не особо париться по поводу авторизации.
потому что только так и можно было в столь сжатые сроки построить глобальную сеть.
Не костыли, а гибкие решения.
гибкие сети
Гибкие костыли =)
Ничего, скоро тебе хуавей новый протокол завезёт, который превратит сеть в КисельТВ. Дядюшка Билли подкинет вакцину, а гугл обеспечит оборудованием для того, чтобы ты мог показать менту qr код, когда отклонишьсь от позволенного маршрута на пару сотен метров. Зато всё новое, даже мировой порядок.
qr будут ставить на коже попы
там и же и подключение по usb type c будет
Глобальная сеть построенная на авторизации быстро умрет, так как у нее появится уязвимое место - центр авторизации. Охочих убить сеть слишком много.
Я ни черта не знаток BGP, но что, нельзя организовать авторизацию без одного центра? Ну и страшнее ICANN и доменной системы не будет.
Атаки на корневые DNS-сервера уронят всю инфраструктуру. Нет труъ децентрализованного решения, всегда что-то где-то критическое завязано на централизованные сервисы.
В случае регистрации адресов можно хоть блокчейн сделать если хочется (там скорость реакции на фиг не нужна), но это какая-то дурная избыточность - если под "атакой" подразумевается DoS в любом виде то кэши спасут, а если "взломать и поменят данные" то блок адресов и так можно отобрать.
Никакой электронной подписи в принципе не может быть без удостоверяющего центра или хотя бы авторитетного репозитория публичных ключей, и вот эта точка и будет подвергнута атаке, которая выведет из строя всю маршрутизацию. Сила BGP в том, что этот протокол позволяет за считанные секунды перестроить мршрутизацию и обеспечить связность любой точки, имеющей хотя бы один действующий канал. И, как видите, утечки ананосов исправляются очень быстро.
Так у тебя и так есть реестр AS, ничего не добавляется
> Так у тебя и так есть реестр AS, ничего не добавляетсяреестр AS - это просто реестр AS. Чтоб не выдать ненароком один и тот же номерок дважды.
Управляется - людьми, вручную. Число запросов к нему - минимально.
будет.
Зачем именно центр?
Блокчейн можно попробовать
И чем тут блокчейн поможет? Зафиксирует, что было произведено такое изменение?
Тут имеет смысл, разве что, длительная авторизация. Или даже ручная. авторизовался сервер, может менять - меняет. Пришёл неавторизованный на изменение со списком, его на... манагера, который утром проснётся и разрешит, или заблокирует это массовое изменение.
А если приходит от авторизованного фигня - ну так тут строить контроли. Как поняли, что это не правильное изменение? Делаем контроль, который сразу смотрит на эти показатели и разрешает/запрещает соответственно.
Так ее специалисты строили, а не макаки.Предполагавшие, что управление оборудованием будет в руках других специалистов. А не товарищмайоров в штатском, нихрена не умеющих, зато желающих рулить траффиком.
Собственно, пока они туда не прорвались - все почти всегда и работало. Утечки маршрутов случались, но они не вели в blackhole, они вели к местечковому рукожопу, у которого просто падал канал, куда на огонек заходил "весь интернет", на чем и анонсы прекращались, а рукожопа потом пороли.
А такие как ты построят "глобальную сеть", управляемую торговцем воздухом, который и будет всех авторизовывать. Или не авторизовывать, это уж как захочет. Чтобы изменить маршрутец на свою подсеточку - заполните челобитную в пятнадцати экземплярах, завизируйте в роспотребнадзоре, санэпидемнадзоре и службе охраны короны, потом подайте с поклоном, не забудьте приложить квитанцию об оплате и подождите лет пять, у нас очередь.
Собственно, это на глазах и происходит.
Вот есть вот это "разрешающие приём анонсов только от владельцев сети" проблематично? А чем, собственно? Всё равно ж владельцы регистрируются.
ну так может, если ты задаешь такие детские вопросы - тебе рано обсуждать и осуждать, надо бы подучиться, сперва?
Мне на "рано", BGP мне не интересен совершенно - я с сетями "по-крупному" дела не имею и от дел админских давно сбежал и возвращаться в это болото не планирую. А раз уж ты в курсе - вот и объяснил бы, чем предлагаемые подходы плохи/хороши.
Извини, я что-то не готов тебе построчно цитировать толстенную книжку Халлаби.
Давай ты ее сам прочитаешь, а потом, уже понимая как работает маршрутизация в интернет хотя бы на уровне начала 2000х (которую он в общем и описывает) - будешь задавать уточняющие вопросы, если они еще возникнут.Интернет изначально построен на доверии тем, кто обеспечивает его ключевую инфраструктуру. Никакого другого интернета у нас нет и вряд ли он возможен.
А чебурнет - да, во всю строят и скоро достроят.
> Интернет изначально построен на доверии тем, кто обеспечивает его ключевую инфраструктуру. Никакого другого интернета у нас нет и вряд ли он возможен.кто мешает оставить даверие ПОЧТИ как есть -- но слегка его уменьшить? всего лишь проверяя цифровые подписи у анонсов.
в таком случае это НЕ избавить гарантированно от ВСЕВОЗМОЖНОГО вида фэйлов, но зато хотя бы явные факапы предотвратит -- как типа этого -- "анонсировать от своего имени никак-не-связанные-со-мной сети".
никак не связанные с тобой сети ты не поанонсируешь - by design.
Ну может все же прежде чем рваться улучшать мир, вы хоть неможко будете разбираться в предмете?"всего лишь" проверить цифровые подписи у почти миллиона префиксов - тоже прекрасно.
> никак не связанные с тобой сети ты не поанонсируешь - by design.
> Ну может все же прежде чем рваться улучшать мир, вы хоть неможко
> будете разбираться в предмете?это почему интересно? из-за мифических фильтров? которых потом НЕ оказывается на практике при очередной аллокации никак не связанных сетей :-) .
> "всего лишь" проверить цифровые подписи у почти миллиона префиксов - тоже прекрасно.
то есть вся проблема то в итоге упёрлась в производительность? по твоему. да?
если ты продолжишь свою мысль то наверно мы придём и к тому выводу что даже и оперативной памяти не хватает чтобы эти AS занести на маршрутизатор?
а в конце наверно окажется что роутинг осуществляется мощностями raspberry pi :-) :-)
спасибо, насмешил
> это почему интересно?вот когда ты будешь знать ответ - приходи, поговорим.
А пока ты рвешься улучшать то, в чем ни ухом, ни рылом - извини, но разговаривать просто не о чем.> а в конце наверно окажется что роутинг осуществляется мощностями raspberry pi
да-да, операторы, покупающие железяки размером с холодильник и ценой как будто он внутри золотыми слитками набит - лошье неграмотное, вот им бы тебя нанять, ты бы все за пять минут на rpi сделал.
Спасибо, несмешно - от феноменальной тупости здешних "экспертов" плакать хочется.
> "всего лишь" проверить цифровые подписи у почти миллиона префиксов - тоже прекрасно.и под фразой почти-миллион ты имел ввиду сто тысяч. да?
Охоспади, да что за идиоты завелись на опеннете. Ты даже в гугл не можешь засунуть full bgp table size и почитать по ссылкам?
Вам же четко сказали «специалисты делали для специалистов, не ожидая, что будут и не_специалисты»(тм)Иными словами, макаки в магистерских халатах и с дурацкими шляпами сделали впопыхах на ***сь и плевать они хотели на какую-либо безопасность и защиту от дурака, т.к на тот момент было не до этого( «допилим по мере надобности» ), а потом - стало практически нереально.. хотя, если что-то делать неохота, то всегда будут какие-то другие, более важные дела :)
В свете чего, ваши вопросы не совсем уместны и актуальны
> Так ее специалисты строили, а не макаки.
> Предполагавшие, что управление оборудованием будет в руках других специалистов. А не товарищмайоров в штатском, нихрена не умеющих, зато желающих рулить траффиком.То есть всё же макаки: строить сеть и не понимать, что по мере масштабирования сети в ней будет появляться всё больше и больше а) безруких; б) товарищмайоров -- это надо быть наивной чукотской девочкой.
Если специалист строил систему, и система плохо работает, то оправдания типа "мы исходили из других допущений о реальности" не оправдывают, а показывают, что специалист был фиговый.
Но всё же, я думаю, что в данном случае эти оправдания работают, поскольку ARPANET создавался не как глобальная сеть для всех, и в тех условиях для которых оно делалось, оно бы, пожалуй, работало.
> Чтобы изменить маршрутец на свою подсеточку - заполните челобитную в пятнадцати экземплярах, завизируйте в роспотребнадзоре, санэпидемнадзоре и службе охраны короны, потом подайте с поклоном, не забудьте приложить квитанцию об оплате и подождите лет пять, у нас очередь.
Да, бюрократия -- это единственный работающий способ организации больших популяций людей.
>Да, бюрократия -- это единственный работающий способ организации больших популяций людей.Наша бюрократия сильно отличается от европейской.
Пора у РТК адреса допросишься, можно в райпе свой лир зарегать и адреса получить.
А через 2 месяца позвонить РТК и скажет что "нет технической возможности".
Может я чего-то не понимаю, но единственная "бюрократия", которая здесь нужна - это то, что в реестре владельцев IP-диапазонов должны быть ещё публичные ключи. Владелец AS знает, через кого он подключен, и может дать подписанный список тех, кто его может маршрутизировать. Его апстрим может такие списочки с подписями агрегировать и отдать своим пирам уже со своей подписью, и так далее. Понятия не имею, совместимо ли это с текущим BGP (который я ни черта не знаю), но на вид схема вполне рабочая.
> BGP (который я ни черта не знаю)Г..ди... ну тогда, может тебе, малыш, РАНО учить других как строить мировые сети, а?
заметно что ты ничерта не знаешь, да.
Это несовместимо не только "с текущим", а вообще ни с каким вообразимым.Потому что тебе не приходит в голову, сколько занимает full-view сейчас, и во что обошлось бы проверить все эти миллионы бесполезных подписей хотя бы однократно.
Ну ничего, ничего, в технических комитетах нынче заседают примерно такие же продвинутые и одаренные (поскольку подпускать их к реальным сетям никто не рискнет), так что через несколько лет дождемся минимального требования к маршрутизатору в виде десяточка терабайт диска и пары терабайт оперативы.
А, ну и суперкластера чтобы это все перемолоть в обозримые эпохи.
А другого на корневом маршрутизаторе и быть не должно. Чай сейчас не 1985-й год. С учётом сколько сейчас стоит оборудование для точек обмена, докинуть туда пару десяток терабайт памяти не повлияет на их цену вообще никак.
А в г. Мухожопинске такое оборудование и не нужно. Им нужен маршрут только до пары ближайших точек обмена/магистральщиков, которые для него измеряются дай бог десятком. И всё.
бл... новый эксперт в треде, спасу от них нет.
"корневой маршрутизатор" изобрел.> А в г. Мухожопинске такое оборудование и не нужно.
да, им надо просто обратиться к постовому полиционеру - "где тут маршрут в ютуб?" И немедля отправляться куда скажут, держа руки над головой.
Чем хамить - внятно объяснил бы. Я не админ, а программист, для меня это просто абстрактная задача.Ну вот глянул - сейчас количество записей в full view что-то около 80000. Ну давай для спокойствия на порядок увеличим. На каждую надо, скажем, по 4к для хранения подписей - три гига. Дискового пространства, потому что одновоременно в памяти все подписи держать не надо - подписи надо проверять при прилёте анонса и всё. В общем, не вижу, где там нагрузка. Хэширование чем-нибудь вроде blake2 - это ерунда в плане нагрузки, там больше 1 GB/s. Проверка подписи - из Бернштейновской статьи (batch-verification): a quad-core 2.4GHz Westmere verifies 71000 signatures per second.
Так и пилят миллионы на пустом месте.
Э... где тут пилить-то? Это небольшая нагрузка, которую не почесавшись вытянет любой средненький сервер. Разработка и внедрение, понятно, не бесплатные, но вот эти проблемы с анонсами - они ж тоже убытки создают
> Э... где тут пилить-то? Это небольшая нагрузкажаль что крупные bgp-роутеры не в курсе о том что она "небольшая", трещат, скрипят и периодически дохнут, ага.
Причем еще до всяких бесполезных подписей - просто от обработки анонсов.
Сформулировать то сможешь в чем такая вычислительная сложность? Или только про свои офферы горазд рассказывать?
нет. Мне тебе придется пересказать огромные книжки со сложными описаниями.
Сам ты их прочитать не потрудился, но горазд что-то от меня требовать.
> нет. Мне тебе придется пересказать огромные книжки со сложными описаниями.
> Сам ты их прочитать не потрудился, но горазд что-то от меня требовать.а может ты просто подсети дробишь на более мелкие? оптимизатор ты хренов
ты уже нагуглил количество префиксов в фулл бгп вью?
> На каждую надо, скажем, по 4к для хранения подписей - три гига.тебе надо на каждую хранить все подписи подписей подписей.
Предположим даже что даже чисто технически возможно было бы создать полный и исчерпывающий список всех дочек ростелекома через которые может к тебе приехать данный анонс.
Кстати, кто его такой должен создавать - тоже непонятно. Даже идея фильтрации по базе райпа благополучно умерла, похоже вообще никто из магистралов давно уже этой глупостью не болеет (поскольку ведет к бесконечным проблемам, ест гигабайты, а профита никакого)> Проверка подписи - из Бернштейновской статьи (batch-verification): a quad-core 2.4GHz Westmere
> verifies 71000 signatures per second.то есть проверять только первый уровень подписей ты будешь 10 секунд.
>Я не админ, а программист, для меня это просто абстрактная задача.А после всего вот этого мы еще удивляемся поделиям на электроне. Вы программировать так-же учились, как сейчас о сетях рассуждаете? Или все-же, для начала, изучили процесс так сказать? Или тупо копипастой со стэковерфлоу программируем?
>>Я не админ, а программист, для меня это просто абстрактная задача.
> А после всего вот этого мы еще удивляемся поделиям на электроне. Вы
> программировать так-же учились, как сейчас о сетях рассуждаете?а ты думал, они это как-то иначе делают, может еще скажешь - разбираясь в предметной области?
"И тут Остапа понесло".
Текущая "картина мира" есть (разбитая на фрагменты, к сожалению) и нескольких RIR'ов. ЧСХ реестры внутри вполне себе авторизуют и изменения принимают не абы от кого.
Есть инструмент bgpq за авторством достаточно известного российского персонажа, позволяющий построить фильтры из опубликованной топологии.
Сложить 1+1 хотя бы у крупных магистралов?
* Когда я в этом ещё варился, старшие коллеги откровенно издевались над РТК. Дескать, у них там студенты лабораторные работы на сети выполняют. Уж и не знаю, изменилось ли что с 200х.
> Текущая "картина мира" есть (разбитая на фрагменты, к сожалению) и нескольких RIR'ов.
> ЧСХ реестры внутри вполне себе авторизуют и изменения принимают не абы
> от кого.еще раз: это делается руками, по штучке в неделю. Причем реестры эти не для тебя, а для самого RIR.
Теперь представь что начнется, если все это раз в пять минут начать роботом долбить.
(если не считать того что там защита от частых запросов ;-)> Есть инструмент bgpq за авторством достаточно известного российского персонажа, позволяющий
был. В смысле, я не знаю кто из крупных сейчас мог бы им пользоваться. Да они и в 2005м не особо.
> Сложить 1+1 хотя бы у крупных магистралов?
именно у них и не получится. 2000й год давно прошел.
> * Когда я в этом ещё варился, старшие коллеги откровенно издевались над
> РТК. Дескать, у них там студенты лабораторные работы на сети выполняют.
> Уж и не знаю, изменилось ли что с 200х.изменилось, студенты заработали седину на висках, а твоих коллег - уволили нахрен за ненадобностью. Частично мне этот процесс довелось наблюдать. Очень неудобненько получилось - у меня-то в этот момент уже был на руках оффер, при том что и со старого места ни разу не выгоняли, а у них - "в настоящий момент подобных вакансий в нашей компании нет".
Ему уже позно. Это обыкновенный фанатик. В его черепушку даже мысль о том, что его анонимность результат архитекьуры интернета не помещается. Ему нуну все пир-ту-пир. Что из этого последует, ПОЦиэнт не осохнает.
Вы товарищ специалист в запале назидательства забыли продумать элементарную вещь — не нужно делать миллионы подписей, это глупо. Достаточно одной небольшой на весь анонс. Я бы даже сказал, мизерной по сравнению с теми размерами анонсов, которыми вы пугаете.
> Достаточно одной небольшой на весь анонс.Чего "анонс"? Вот тебе анонс ростелекома, подписанный, ну, ясен пень, ростелекомом же. Правда, мы и так это знаем. Потому что это прямой провод в ростелеком, и он с него пришел. Шлите ваш траффик бочками - пацаны с той стороны подписались его принимать. Насчет куда именно - не уточняли.
Слушайте, "специалисты", ну в самом деле - нельзя ли хоть немножечко книжек-то по предмету почитать, прежде чем ценные идеи по переустройству мира выдвигать?
>> Достаточно одной небольшой на весь анонс.
> Чего "анонс"? Вот тебе анонс ростелекома, подписанный, ну, ясен пень, ростелекомом же.
> Правда, мы и так это знаем. Потому что это прямой провод
> в ростелеком,проверка осущетвляется всех вложенных подписей тоже.
Можно узнать какой алгоритм этой проверки?
> Может я чего-то не понимаю, но единственная "бюрократия", которая здесь нужна -
> это то, что в реестре владельцев IP-диапазонов должны быть ещё публичные
> ключи.Угу. А реестр в блокчейне хранить, да? Или будет централизованный, доверенный, самый-важный?
Если будет централизованный -- добро пожаловать в киберпанк. Если в блокчейне -- что ж, потеряли ключик, продолбали диапазон...
>> Может я чего-то не понимаю, но единственная "бюрократия", которая здесь нужна -
>> это то, что в реестре владельцев IP-диапазонов должны быть ещё публичные
>> ключи.
> Угу. А реестр в блокчейне хранить, да? Или будет централизованный, доверенный, самый-важный?
> Если будет централизованный -- добро пожаловать в киберпанк. Если в блокчейне --
> что ж, потеряли ключик, продолбали диапазон...Ну так не теряйте, УЦ как-то справляются же.
> Угу. А реестр в блокчейне хранить, да?о, точно!
И передавать через клиент на электроне модным p2p (откуда возьмется p2p при неработающей маршрутизации - потом придумаем)!
Чего тут еще до bullshit bingo не хватило?
Во времена ARPANET не было BGP протокола. Он возник много позже, уже в эпоху глобального интернета, где-то в начале 90х. Поэтому говорить о 70x неверно.
>> Так ее специалисты строили, а не макаки. Предполагавшие, что...
> То есть всё же макаки: строить сеть и не понимать, что...Ordu, знаешь, чем пионер отличается от макаки?
Пионер делает ошибки, потому что создаёт нечто принципиально новое: он не знает, что получится в итоге; а предусмотреть всё на свете просто невозможно.
Макака же знает, что должно получиться в итоге, но сознательно не напрягает извилины, чтобы сделать правильно.
>> DARPA
> А не товарищмайоровВы на пять суток не опоздали, не опоздали...
Те товарищи майоры понимали, когда надо не лезть своими руками, а довериться специалистам.Эти - не понимают.
Так то были военные майоры, а не из службы охраны короны.Они вообще не особо лезли в сложные технологии - просто, не обнаружив в продаже ничего подходящего, иногда совали людям деньги под дверь, не особо спрашивая, куда те их тратят, и изредка в результате получалось что-то общественно-полезное.
К сожалению, те прекрасные времена прошли - сейчас деньги сунешь, а на них лекцию о гендерном равенстве прочитают, и новый CoC напишут.
На второй arpanet рассчитывать совсем не приходится.
>> DARPA
> А не товарищмайоров5 баллов.
От произвола должна защищать иерархия провайдеров, когда маленький оператор платит большому, чтобы тот анонсировал префиксы всему миру, тот платит провайдеру побольше и так вплоть до Tier 1. Владелец префикса прописывает в whois своего провайдера и так через whois можно сформировать цепочку доверия. Если её проверять, то невозможно подделать стоимость маршрута. Так же если провайдер которому заплатили за анонс начал отправлять трафик в blackhole, то должен будет выплатить компенсацию.
Подобные факапы случаются когда префиксы перестают проверять. Например из за того, что циска уже старая, ей не хватает памяти и процессор загружен в полку, клиенты всё равно ведь сами всё фильтруют. И тут возникает вопрос к Level 3 и Cogent. Почему они так сильно доверяют Rascom?
Что до цифровых подписей анонсов, то не взлетит как DNSSEC. Маршрутизаторы и так по часу реагируют на изменения в сети, им ещё и RSA/DSA играться, чтобы интернет реагировал вообще через неделю?
> От произвола должна защищать иерархия провайдеров, когда маленький оператор платит большому,
> чтобы тот анонсировал префиксы всему миру, тот платит провайдеру побольше и
> так вплоть до Tier 1.и никаких самостоятельны анонсов, правильно, всех упорядочить и всех построить.
И по $10 за каждый анонс.> Владелец префикса прописывает в whois своего провайдера
> и так через whois можно сформировать цепочку доверия. Если еёи какого размера эта цепочка становится на третьем уже хопе?
> проверять, то невозможно подделать стоимость маршрута. Так же если провайдер которому
только не работает при этом ничего - проверено.
> заплатили за анонс начал отправлять трафик в blackhole, то должен будет
> выплатить компенсацию.кому должен, ась? Правильно - это не его клиенты, ничего он им не должен.
> Подобные факапы случаются когда префиксы перестают проверять. Например из за того, что
их уже давным давно только местечковые операторы с тремя пирами проверяют. Просто потому что это бесполезно и бессмысленно, а помимо райпа, внезапно, есть куча других registry, которые никаких дурацких баз не ведут.
> вопрос к Level 3 и Cogent. Почему они так сильно доверяют
> Rascom?потому что по другому не работает.
> Что до цифровых подписей анонсов, то не взлетит как DNSSEC. Маршрутизаторы и
> так по часу реагируют на изменения в сети, им ещё иа если бы проверяли всю цепочку райповских префиксов - то не по часу, а по нескольку дней - когда перестроятся и перезагрузятся таблицы фильтров.
Поэтому в эту игру все крупные игроки уже отыграли.
> RSA/DSA играться, чтобы интернет реагировал вообще через неделю?
ну а чо такого, ради мира во всем мире?
> и никаких самостоятельны анонсов, правильно, всех упорядочить и всех построить.
> И по $10 за каждый анонс.Можно и самостоятельно. Но кто будет за бесплатно отправлять вам трафик? Каждый провайдер старается принимать анонсы только от клиентов и провайдера покрупнее. Точки обмена трафиком созданы для мелочи не способной продавить свои интересы пустив трафик через петлю.
> и какого размера эта цепочка становится на третьем уже хопе?
ХЗ. Но тот граф связей конкретного маршрута со всем интернетом на картинке считается довольно быстро. На обычном компе можно нарисовать связи всего интернета с точки зрения одной AS за час. Учитывая, что никто не требует обновлять кеш whois каждую минуту, то становится очевидном, что составить белые списки для каждой AS задача вполне осуществимая. Но эти же списки весят дофига, а память роутеров уж очень дорогая, поэтому проверки не нужны!
> кому должен, ась? Правильно - это не его клиенты, ничего он им
> не должен.Клиент моего клиента, мой клиент. С проверками напакостить может только тот, кому на это дали право и с кем заключили контракт на пропуска трафика.
> их уже давным давно только местечковые операторы с тремя пирами проверяют. Просто
> потому что это бесполезно и бессмысленно, а помимо райпа, внезапно, есть
> куча других registry, которые никаких дурацких баз не ведут.Это какие из RIR не ведут записей? Назовите хоть один?
> а если бы проверяли всю цепочку райповских префиксов - то не по
> часу, а по нескольку дней - когда перестроятся и перезагрузятся таблицы
> фильтров.Доступ к записи в БД дольше чем шифрование RSA? Не верю!
> Можно и самостоятельно. Но кто будет за бесплатно отправлять вам трафик? Каждыйэ... как бы это... короче, все. По крайней мере это так сейчас.
Еще и хуже того - платят тем, кто этот траффик изволит принимать.
>> и какого размера эта цепочка становится на третьем уже хопе?
> ХЗ. Но тот граф связей конкретного маршрута со всем интернетом на картинке
> считается довольно быстро. На обычном компе можно нарисовать связи всего интернетаодин. А их сотни тысяч.
> с точки зрения одной AS за час. Учитывая, что никто не
круто. А если за этот час еще пару раз что-то там по мелочи в Арабских Чурбанатах моргнет, то можешь заново начинать. Вот это достижение, вот это крутота!
А тебе придется "рисовать" не текущие связи всего интернета, а ВСЕ возможные. Включая теоретически-возможные, ну, знаем мы про эти sponsoring lir, которые только на бумаге.> белые списки для каждой AS задача вполне осуществимая. Но эти же
> списки весят дофига, а память роутеров уж очень дорогая, поэтому проверкиони не только весят дофига. они еще и очень сложно обрабатываются. если мы не хотим ограничиться только собственными пирами.
>> кому должен, ась? Правильно - это не его клиенты, ничего он им
>> не должен.
> Клиент моего клиента, мой клиент. С проверками напакостить может только тот, комутак пути на него потеряли не твои клиенты, утебявсеработаит, софтастрое. Какие такие претензии могут быть у мордокниги к ростелекому? Где деньги пацанам, слышь, ты, Сцукенберг?
> Это какие из RIR не ведут записей? Назовите хоть один?
записей кто на ком стоял? Да вроде уже и никто кроме ripe. И вообще собираются whois сервис хоронить.
вот тебе префикс, 35.0/16 (очень плохие п-сы) - найди мне от него хотя бы AS не подглядывая в bgp?> Доступ к записи в БД дольше чем шифрование RSA? Не верю!
рекурсивный запрос к БД в которой только префиксов сотни тысяч, и возможных путей для каждого не один - да, конечно.
А здесь будет именно он, поскольку мы нифига не знаем от кого и через кого мог приехать анонс.
>один. А их сотни тысяч.Поэтому и писал, что за час переварит
>круто. А если за этот час еще пару раз что-то там по мелочи в
>Арабских Чурбанатах моргнет, то можешь заново начинать.Зачем? Пройтись по таблице нужно лишь для составления белых списков для BGP-пиров и самые короткие цепочки путей для каждой AS. Если самый короткий путь внезапно пошёл не тем путём, то в бан его, более длинным путём трафик всё равно дойдёт. Если умрёт самый короткий, то принимаем, что есть.
>так пути на него потеряли не твои клиенты, утебявсеработаит, софтастрое.
>Какие такие претензии могут быть у мордокниги к ростелекому?
> Где деньги пацанам, слышь, ты, Сцукенберг?А ростелекому кто то из них платил хотя бы косвенно? Очевидно, что эти маршруты пролезли в мир именно из за того, что данные никто не проверяет. Оттого и правило клиента моего клиента не работает.
>35.0/16 (очень плохие п-сы) - найди мне от него хотя бы AS не подглядывая в bgp?
#whois 35.0.0.1
OriginAS: AS36375
Organization: University of Michigan (UNIVER-118)
------
CIDR: 35.0.0.0/10
OrgName: Merit Network Inc.
OriginAS:AS действительно не указана, как и import/export. Видимо ARIN считает, что они могут анонсить сеть с любой из своих AS. Ни один из дочерних NET-объектов не торчит в сеть, вероятно потому, что все они выходят в интернет только через Merit.
> AS действительно не указана, как и import/export. Видимо ARIN считает, что они
> могут анонсить сеть с любой из своих AS. Ни один изи с несвоих тоже.
> дочерних NET-объектов не торчит в сеть, вероятно потому, что все они
> выходят в интернет только через Merit.нет. Потому что arin пофиг. Это ты еще не видел что у афроафриканцев делается.
Да и в базе райпа давным-давно уже мусорка. За которой половина lir не следит и пароль свой давно проимела. Пытались мы тут вспоминать - и 123456 не подошел, и !@#$%^ нихрена... а других идей что-то и не нашлось.
офигительно. А если в центре кто-нибудь вовремя не заплатит и случится кассовый разрыв? Отрываем все нижестоящие мелкие сеточки из интернета? А если не охота заниматься мазохизмом и на одном уровне суммаризуем сети, что тогда? За каждый переанонс, как ниже заметили, денюжки вкидывать?
При чем тут кассовые разрывы?
Никогда не бывали в ситуации когда апстрим вас уже отключил, а включит только в понедельник когда платежка пройдет ?
> Никогда не бывали в ситуации когда апстрим вас уже отключил, а включит
> только в понедельник когда платежка пройдет ?э... а закон о связи ему в одно отверстие? Или вы не оператор?
Какой закон о связи если выше аноним предлагает брать денюжку по иерархии вверх до тиер1?
Не должно такой мерзости быть. Как и хттпс, как ипв6....
> От произвола должна защищать иерархия провайдеров, когда маленький оператор платит большому,
> чтобы тот анонсировал префиксы всему миру, тот платит провайдеру побольше и
> так вплоть до Tier 1.Угу. Осталось только решить, кто будет Tier 1. Как говорится, "а судьи кто"?
> Угу. Осталось только решить, кто будет Tier 1.
>Как говорится, "а судьи кто"?В результате разрушительных, пиринговых войн, как бы уже решили, что их будет несколько. Друг с другом они пирятся в куче мест.
Просто уровень компетенции тогда и сейчас - две большие разницы. И тогда интернет не был так политизирован.
> Мне вот интересно, как вообще можно было умудриться построить ГЛОБАЛЬНУЮ сеть вообще
> без авторизации?А при чём здесь авторизация?
Да, это была ошибка, трщ майор. Да, все уже в отчете. Да, мы уже можем начинать планировать следующую ошибку, так как еще не все нужные ситуации были промоделированы.
У нас в регионе всё было нормально, но 5 апреля вечером начались странности. Да и ростелеком частная компашка, просто у них макаки с гранатами там управляют.
да-да, частная-такая пречастная компания - "Крупнейшие акционеры «Ростелекома» — Российская Федерация в лице Росимущества (45,04 % обыкновенных акций) и Внешэкономбанка (3,96 % обыкновенных акций), а также ООО «Мобител» (12,01 % обыкновенных акций), являющаяся дочерней компанией «Ростелекома»Ни разу, типа, не палятся.
>"Крупнейшие акционеры «Ростелекома» ... Мобител» (12,01 % обыкновенных акций), являющаяся дочерней компанией «Ростелекома»хвост виляет собакой?
да нет, все типа честно - с одной стороны, <50% у государства, с другой - 12% от того "больше" - внезапно у липовой лавочки, которая по сути ростелеком.Подозреваю, что в любой нормальной стране такой финт ушами бы не прошел, и пришлось бы вместо/после этого поделить акции на оставшихся реальных владельцев, но у нас - можно, если нужно.
Не, рекурсивное владение вполне везде допускается. Просто надо об этом отчитываться, чтобы можно было корректно учитывать реальные доли владельцев.
> Не, рекурсивное владение вполне везде допускается. Просто надо об этом отчитываться, чтобы
> можно было корректно учитывать реальные доли владельцев.а, ну так они, видимо, честно-пречестно отчитались. Частная компания, мамой клянутся!
Если ты не в курсе, то в рф все частное. Даже то, что государственное. Как в твоей лююимой сша и опусах вроже " питух расправил крылья!"
Да ты еще скажи Сбербанк тоже частный.
> Да ты еще скажи Сбербанк тоже частный.а то! Помнится, один Греф нарядился инвалидом, зашел как-то в отделение - а его взяли и выдвинули в председатели! Ты тоже так можешь. Зайти.
Какой майор? Бери выше.По стечению обстоятельств за три часа до утечки BGP-маршрута в Ростелекоме в процессе обновления программного обеспечения RIPE было случайно удалено 4100 ROA-записей (RPKI Route Origin Authorisation).
> Какой майор? Бери выше.
> По стечению обстоятельств за три часа до утечки BGP-маршрута в Ростелекоме в
> процессе обновления программного обеспечения RIPE было случайно удалено 4100 ROA-записей
> (RPKI Route Origin Authorisation).вау, и там наши люди! (хотя, кто бы удивлялся)
дааа, т-щь генерал, прям гордость за Родину распирает!
В топ-10 шуток на 1ое апреля!
PS: Не надо авторизации! Пусть будет хаос! :)
Многоходовочка: роняешь интернет. Протаскиваешь решение про принудительную авторизацию.
Нет, многоходовочка- когда роняешь интернет ты, а решение протаскивают полезные идиоты, якобы борющиеся с тобой.
Так интернет никто и не ронял, просто продезинфицировали пульт тонким слоем спирта.
Еще и про протокол от Huawei была новость. Вот сейчас можно найти в новом протоколе способы избежания таких проблем и ввести всем принудительно хуавейный протокол.
Поздно что-то менять, конец Инторнета близится:Из-за распространяющихся в социальных сетях конспирологических теорий о связи между развёртыванием сетей 5G и пандемией коронавируса, в Британии неизвестные начали поджигать вышки операторов. Как сообщает BBC, на прошлой неделе поджоги были зафиксированы в Ливерпуле, Ейгбурге, Бирмингеме и селе Меллинг рядом с городом Сефтон, Мерсисайд.
> операторов. Как сообщает BBC, на прошлой неделе поджоги были зафиксированы в
> Ливерпуле, Ейгбурге, Бирмингеме и селе Меллинг рядом с городом Сефтон, Мерсисайд.Б-ть, а мы-то чего сидим?
Хотя, да... у этих англояйцев вышки что - деревянные, что-ли? Вот смотрю на башню напротив окон - как ее поджечь-то, есть идеи?
> Хотя, да... у этих англояйцев вышки что - деревянные, что-ли? Вот смотрю
> на башню напротив окон - как ее поджечь-то, есть идеи?Термитной смесью - ею и здания ВТЦ спилили.
Только лучше сначала определить, реально ли там 5Г, а то бриты малость переборщили.
Нормально сидим, мы же не дикари какие. Задачу поставили дезинфицировать, дезинфицируй. Изопропиловым спиртом монитор и экран телефона протирай, а этиловым горло. Главное, не перепутай — этанол к олеофобному покрытию агрессивней.
Там это, какой-то из них оставляет разводы на пластике (не помню, на каком). Вы аккуратней с протиранием.
Ко всем напастям 2020 добавилось еще и падение интернета.
Тут еще и новую ICQ выпустили. Н-о-в-у-ю I-C-Q! 2020 год что с тобой не так?
Боги хаоса требуют жертв.
> что с тобой не так?29 дней в феврале
«В связи с массовым переходом на удаленный режим работы, нагрузка на наши сети существенно возросла», — сообщила компания.https://habr.com/ru/news/t/495288/
и из комментариев там же
https://habr.com/ru/company/qrator/blog/495274/
Рабочий трафик емейлов и мессенджеров стал больше, чем трафик порнхаба и ютуба?
Можно подумать, что порнала с ютубом не добавилось
их уже роспохабнадзор слезно попросил снизить максимальное качество - а то государевы депеши в сиcьках и письках застревать начали.
В Европе попросили и мы тоже попросим чем мы хуже?
> их уже роспохабнадзор слезно попросил снизить максимальное качество - а то государевы
> депеши в сиcьках и письках застревать начали.а почему, интересно, роспотребнадзор не попросил убрать баннеры, видеорекламу и прочую дрянь, засирающую всё на свете?
для начала пусть уберут из сети свои паразитные коробки. СОРМы, ревизоры блокировок и прочее мизулинское и яроворское.
так ты тут же пойдешь на запрещенный ресурс - и тем самым увеличишь траффик!
Наоборот, больше блокировок - свободнее каналы, это политик государев, понимал бы что!
> так ты тут же пойдешь на запрещенный ресурс - и тем самым
> увеличишь траффик!зато задержки уменьшатся. особенно если убрать боксы DPI. перекачка базы блокировок и постоянные перепроверки "а точно ли заблокировано все по этой базе" тоже чего-то стоят.
> Наоборот, больше блокировок - свободнее каналы, это политик государев, понимал бы что!
не согласен. заблокированные ресурсы - в основном тексты + картинки. жирного видео там нет.
> зато задержки уменьшатся. особенно если убрать боксы DPI.только у подвальных. У остальных туда попадает дай Б-г 1/100 траффика.
(я не мерял, но эти полтора линукса бы просто лопнули с негромким "чпок", если к ним на огонек что серьезное бы пришло. Нет, разумеется, фейсбук туда не попадал.)> перекачка базы блокировок и постоянные перепроверки "а точно ли заблокировано все по этой базе"
> тоже чего-то стоят.вообще ничего не стоят.
Там в "требованиях" - 10 мегабит. Смеешься?
"Ну так справляйтесь с нагрузкой - вы провайдер или бабка базарная?"
Бесполезные овощи. Только рекламу могут совать в трафик клиентов.
Ни они одни. На моей памяти только ТТК не суёт, все остальные провайдеры постоянно.
> Бесполезные овощи. Только рекламу могут совать в трафик клиентов.Они полезные овощи. Нет, как видишь, не только.
Ну случился проляпс, недооценили масштаб траффика, невпервой, поправят-расширют, пойдет куда надо в следующий раз.
А город подумал — ученья идут...
Пусть и дальше так думает.
вот так надо проводить учения по самлизоляции россии от интернета, а не то, чем они бюджет освоили!
Так если его отключить разными способами можно еще больше денег потратить.
Ничего страшного. Никому эти фейсбуки и алибабы особо и не нужны.
"зачем вам алиэкспресс, если самолеты не летают, и поезда тоже не ходят?!"
Меня больше огорчает, что трафик из России терминируют на том конце. Приходится прикидываться азиатом и докидывать полсекунды к пингу.
А то сидят всей страной занимаются социальным эксгибиционизмом в сетях.
Совсем крышу снесло. Некоторые уже не вылазят.
дык эта - вылезешь, полицай отпи-т.
Хорошо бы отпи-л, если не вылезешь.
Ёмко и быстро об этом ещё утром 2 апреля написал https://t.me/itsorm/1584
случайности не случайны!
> По стечению обстоятельств за три часа до утечки BGP-маршрута в Ростелекоме в процессе обновления программного обеспечения RIPE было случайно удалено 4100 ROA-записейСовпадение? Не думаю.
Видать порносайты заблокировали и озабоченных админы решили себе подушки сграбить.
Все равно 60 процентов трафика в мире -это порнуха.
Вдумайтесь !7 миллиардов опездолов смотрят как другие трахаются!
У тебя есть некоторые ошибки. Во-первых, 60% от 8ккк это 4.8ккк, включая женщин, детей, и людей, у которых нет интереса смотреть по религиозным причинам (скажем, у них всегда доступные развлечения под рукой). Во вторых, 99% -- это спам, твои 60% будут от оставшегося 1%. И если учитывать днищекачество на онлайн-сервисах, то любителей такого не так и много. Куда приятней купить себе в нормальном качестве. Получается. что на сегодня не так и много, основной трафик это ютубы с твичами и стимы.
Порнуху купить? Днищекачество на онлайн-сервисах? И таких любителей не так много? Хм...
Да вроде больше половина тырнета ими набита. А что же там еще видеть надо, кроме волоска на ...опе?!
Вы батенька видно цифровой эстет.
Не там вы ходите, ох не там. Онлайн сервисы с ростом популярности планомерно снижают качество, лет 10 назад ещё можно было расчитывать на нормальную картинку. Лучший выбор на сегодня -- это приобретать на дисках: хороший звук, чёткая картинка. Конечно, это не касается случаев, когда снято на мыльницу 20 летней давности, но сейчас в ходу всё больше 4к камеры. Хорошее качество картинки добавляет деталей и реализма, как и звук, а плохое убивает весь интерес.
Не те новости внесли в топ первоапрельских шуток. :)
>Ошибочный анонс был произведён Ростелекомом (AS12389) 1 апреля в 22:28 (MSK)Это просто шутка была. Ну что вы все?
да, товарищмайору она очень понравилась!
Не понимаю, что все такие серьезные. Прикольная же шутка была!
все потому что там сидят js "программисты"
Ох уж эти русско-индийские айтишники, то одно то другое...