Re: [uanog] Кибервойна россиян с украинскими СМИ

On Mon, Mar 03, 2014 at 12:26:44PM +0100, Pavlo Narozhnyy wrote:

около часа назад такое наблюдалось через wnet.

Сегодня всплыл факт того что Российские пиры начали анонсировать по BGP маршруты /32 на украинские информационные ресурсы. При этом фильтруют трафик у себя. Просьба проверить свои входящие bgp фильтры на fullview и сделать /24+, если это необходимо.  Доказательства: host tsn.ua tsn.ua has address 91.218.213.66 tsn.ua mail is handled by 10 mx.tsn.ua.

Смотрим тут http://lg.kvant-telecom.ru/ BGP routing table entry for 91.218.213.66/32, version 24329903 Paths: (1 available, best #1, table default) Advertised to update-groups: 3 10 11 13 22 41 48  21219 42352, (Received from a RR-client) 178.210.32.1 (metric 300) from 178.210.32.1 (109.106.128.254) Origin incomplete, metric 0, localpref 302, valid, internal, best Community: 43727:123

Смотрим на тот же lg.kvant-telecom.ru (только выбираем router: Moscow), ровно на этот же префикс, видим: Router: Moscow Command: show ip bgp 91.218.213.66 BGP routing table entry for 91.218.213.66/32, version 61560373 Paths: (2 available, best #2, table Default-IP-Routing-Table) Advertised to update-groups: 3 4 7 12 13 21219 42352 193.232.246.6 from 193.232.246.100 (193.232.246.100) Origin incomplete, metric 0, localpref 302, valid, external Community: 43727:123 21219 42352 193.232.244.6 from 193.232.244.100 (193.232.244.100) Origin incomplete, metric 0, localpref 302, valid, external, best Community: 43727:123 ... что он получен от MSK-IX route-servers (next-hop: .6 aka blackhole). Идем на lg.msk-ix.net, видим:

sh ip bgp 91.218.213.66 *** Note: the first route is the BEST *** 91.218.213.66/32 via 193.232.244.6 on bce1 [R21219x1 2014-03-03 11:28:33 from 193.232.244.28] * (100) [AS42352?] Type: BGP unicast univ BGP.router_id: 80.91.161.23 BGP.origin: Incomplete BGP.as_path: 21219 42352 BGP.next_hop: 193.232.244.6 BGP.local_pref: 100 BGP.community: (0,666)

что этот blackhole-маршрут проанонсирован на msk-ix RS c адреса 193.232.244.28 (msk-ix.datagroup.ua.), router-id: 80.91.161.23 (lo0-23.m25.kharkov.datagroup.ua). Зачем datagroup это делает - не знаю.

В итоге все кто получили данный маршрут сайт не увидят.

-- In theory, there is no difference between theory and practice. But, in practice, there is.