"интернет-эксперты пытаются понять, что же именно произошло и как подобного не допустить в будущем." :) 2010/10/12 Anton Turygin :

http://www.gossamer-threads.com/lists/nanog/users/125400

Не оно?

On Mon, 11 Oct 2010, Andrew Stesin wrote:

...

Наткнулся на текст, от которого завернулись мозги. Причем это с одного

ресурса, громко именующего себя "о безопасности" попало на второй такой же.

Помимо того, что в тексте написан явный дистиллированный бред сумасшедшего - см. http://www.bezpeka.com/ru/news/2010/10/11/chinese-redirect.html - все же хочется понять, о чем на самом деле идет речь? что произошло тогда, почему, как именно?

Заранее признателен за пояснения, я :)

-- RAZ-UANIC RAZ-RIPE Technological Systems CJSC Senior Network Engineer

-- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/

On Tue, 12 Oct 2010, Vladimir Litovka wrote:

"интернет-эксперты пытаются понять, что же именно произошло и как подобного не допустить в будущем." :)

Ну учитывая то, что "интернет-эксперты" спали^Wдумали полгода - всего ожидать можно ;-) Как по мне - очередная статья занять обывателя. Ничего особенного. Берется факт, вешаются рюшечки, пару "уважаемых" мнений - имеется сенсация. Хотя, очень странно такое читать на "безпеке". Раньше вроде неплохой ресурс был. 2010/10/12 Anton Turygin :

http://www.gossamer-threads.com/lists/nanog/users/125400

Не оно?

On Mon, 11 Oct 2010, Andrew Stesin wrote:

...

Наткнулся на текст, от которого завернулись мозги. Причем это с одного

ресурса, громко именующего себя "о безопасности" попало на второй такой же.

Помимо того, что в тексте написан явный дистиллированный бред сумасшедшего - см. http://www.bezpeka.com/ru/news/2010/10/11/chinese-redirect.html - все же хочется понять, о чем на самом деле идет речь? что произошло тогда, почему, как именно?

Заранее признателен за пояснения, я :)

-- RAZ-UANIC RAZ-RIPE Technological Systems CJSC Senior Network Engineer

-- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/ -- RAZ-UANIC RAZ-RIPE Technological Systems CJSC Senior Network Engineer

2010/10/11 Valentin Nechayev :

 Tue, Oct 12, 2010 at 00:04:30, pa3op wrote about "Re: [uanog] Народ, а объясните? т.н. "китайский редирект"":

...

http://www.gossamer-threads.com/lists/nanog/users/125400 Не оно?

Очень похоже. Повтор истории двух Bay на новом уровне...

А что, до сих пор фильтрация BGP на Tier1/2 считается дорогим удовольствием?

Как бы повежливее сказать - скорее просто лениво. Как это ни прискорбно, но большинство ISP за пределами старушки Европы считают IRR архаизмом и фильтруют в основном по max-prefix limit. Не все, но многие. Из личного опыта - количество людей c CCIE сертификатами, претендующих на позицию Senior Network Engineer и имеющих нулевое понимание что такое route-object просто удручает :-(

...

...

Помимо того, что в тексте написан явный дистиллированный бред сумасшедшего - см. http://www.bezpeka.com/ru/news/2010/10/11/chinese-redirect.html - все же хочется понять, о чем на самом деле идет речь? что произошло тогда, почему, как именно?

-netch-

-- Regards, Volodymyr.

2010/10/12 Paul Arakelyan :

С другой стороны - все эти фильтрации - лишний гемор при переключении-включении "куда-то ещё". А ещё, что будет, если "дядя рембо потушит ripe DB"? Вместо дяди - пожар/эпидемия/снежный буран и атомная бомба - тоже подойдут. Ошибка обновления фильтров, зоопарк последствий в итоге.

Паша, just FYI - UA-IX работает именно и строго по RIPEdb. Ответь, пожалуйста, на два вопроса: 1) сколько, за десять лет его существования, было проблем с обновлениями и анонсами? 2) чем, с точки зрения работы с RIPEdb, UA-IX отличается от Verizon? -- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/

On Tue, Oct 12, 2010 at 06:32:12PM +0300, Paul Arakelyan wrote: [dd]

...

...

Очень похоже. Повтор истории двух Bay на новом уровне...

А что, до сих пор фильтрация BGP на Tier1/2 считается дорогим удовольствием?

Как бы повежливее сказать - скорее просто лениво. Как это ни прискорбно, но большинство ISP за пределами старушки Европы считают IRR архаизмом и фильтруют в основном по max-prefix limit. Не все, но многие. С другой стороны - все эти фильтрации - лишний гемор при переключении-включении "куда-то ещё". А ещё, что будет, если "дядя рембо потушит ripe DB"? Вместо дяди - пожар/эпидемия/снежный буран и атомная бомба - тоже подойдут. Ошибка обновления фильтров, зоопарк последствий в итоге. Как-то никому не хочется иметь ещё "point of failure", да ещё не зависящий от них. На другой чаше весов - злобный умысел и "ошибки оператора". Так не факт, что этого не произойдёт в окрестностях того же ripe DB. Короче - всё чуть сложнее, чем на подводной лодке. Сравнимо с тем, что на подлодке половина экипажа - шпионы-диверсанты-камикадзе.

List of Routing Registries: http://www.irr.net/docs/list.html У нас несколько включений в Tier1 операторов и все хорошо - каждый из них обновляет информацию из более удобного для них источника. Соотвественно пример с RIPE DB не релевантен и в случае наступления описаного случая - проблема решается одним письмом в одного оператора.

...

Из личного опыта - количество людей c CCIE сертификатами, претендующих на позицию Senior Network Engineer и имеющих нулевое понимание что такое route-object просто удручает :-( Система должна быть - как в армии и на конвеере. Рабочему, крутящему болтики, не обязательно знать, как забивать гвозди. Правильно построенной системой должна запросто рулить кухарка :). Вот только правильно построить надо...

Правильно построенная система автоматически генерирует список обновлений и предоставляет _инженеру_ кнопочку - Commit and Upload. [dd] -- ZA-RIPE||ZA1-UANIC

Привет! 1) провайдеры делятся на два типа: 1. "меньшинство" знает что Райп не совершенен, но понимает, что альтернативы нет и ближайшее время не будет, поэтому, написав небольшой скрипт/ы, автоматизирует процесс настолько, насколько это позволяет собственная паранойя; 2. "большинство" же вместо написания скриптов, предпочитает начать очередной флейм в uanog/facebook/... на тему "а что будет, если ..." и удолетворив собственные писательские таланты, так ничего и не сделать 2) любой "дядя" с буквами CCIE требует зарплату от 5.000 в месяц (не гривен) и посему за эти деньги работодатель вполне вправе потребовать, чтобы он знал локальные best practices. Best wishes, Maxim 2010/10/12 Paul Arakelyan

On Mon, Oct 11, 2010 at 11:48:39PM -0700, Volodymyr Yakovenko wrote:

...

2010/10/11 Valentin Nechayev :

...

Tue, Oct 12, 2010 at 00:04:30, pa3op wrote about "Re: [uanog] Народ, а объясните? т.н. "китайский редирект"":

...

http://www.gossamer-threads.com/lists/nanog/users/125400 Не оно?

Очень похоже. Повтор истории двух Bay на новом уровне...

А что, до сих пор фильтрация BGP на Tier1/2 считается дорогим удовольствием?

Как бы повежливее сказать - скорее просто лениво. Как это ни прискорбно, но большинство ISP за пределами старушки Европы считают IRR архаизмом и фильтруют в основном по max-prefix limit. Не все, но многие. С другой стороны - все эти фильтрации - лишний гемор при переключении-включении "куда-то ещё". А ещё, что будет, если "дядя рембо потушит ripe DB"? Вместо дяди - пожар/эпидемия/снежный буран и атомная бомба - тоже подойдут. Ошибка обновления фильтров, зоопарк последствий в итоге. Как-то никому не хочется иметь ещё "point of failure", да ещё не зависящий от них. На другой чаше весов - злобный умысел и "ошибки оператора". Так не факт, что этого не произойдёт в окрестностях того же ripe DB. Короче - всё чуть сложнее, чем на подводной лодке. Сравнимо с тем, что на подлодке половина экипажа - шпионы-диверсанты-камикадзе.

...

Из личного опыта - количество людей c CCIE сертификатами, претендующих на позицию Senior Network Engineer и имеющих нулевое понимание что такое route-object просто удручает :-( Система должна быть - как в армии и на конвеере. Рабочему, крутящему болтики, не обязательно знать, как забивать гвозди. Правильно построенной системой должна запросто рулить кухарка :). Вот только правильно построить надо...

...

...

...

...

Помимо того, что в тексте написан явный дистиллированный бред сумасшедшего - см. http://www.bezpeka.com/ru/news/2010/10/11/chinese-redirect.html- все же хочется понять, о чем на самом деле идет речь? что произошло тогда, почему, как именно? Ну подумаешь, трафик проехал через Китай. Т.е. "если дядя Сэм знает, что я пишу 10 любовницам - нормально, а вот если товарищ Мао - то уже страшно" - интересная постановка вопроса :).

-- Best regards, Paul Arakelyan.

On Tue, Oct 12, 2010 at 11:55:25PM +0300, Vladimir Litovka wrote:

2010/10/12 Paul Arakelyan :

...

С другой стороны - все эти фильтрации - лишний гемор при переключении-включении "куда-то ещё". А ещё, что будет, если "дядя рембо потушит ripe DB"? Вместо дяди - пожар/эпидемия/снежный буран и атомная бомба - тоже подойдут. Ошибка обновления фильтров, зоопарк последствий в итоге.

Паша, just FYI - UA-IX работает именно и строго по RIPEdb. Ответь, пожалуйста, на два вопроса:

1) сколько, за десять лет его существования, было проблем с обновлениями и анонсами? Хм, а что, часто "дядя рембо с ядрен батоном" захаживали в гости к ripe за это время? А меж тем, с ростом значимости Сети для реальной жизни - вероятность такого растёт. Это не считая "malicious intent/human error" где-то со стороны RIPE.

О методах работы райпа - у мну уже было пару раз желание обзавестись визой и выключить их к *бип-бип* - компания, которая предпринимает радикально деструктивные действия, не предупреждая о них - просто не имеет права на существование. ("Предупреждение" - это не "вам будет хреново", а "вам похреновеет такого-то и во столько-то"). То есть, я уже нарывался на проблемы с райпом, и КАК вы предлагаете в этом случае с них... получить денег, например? (я уже молчу о "на каком основании?"). Идеологически проще поделить IP space между странами (о, как проще станет GeoIP) и райп ваще перестанет быть нужным. (Не хватит IPv4? Ну тада IPv6...).

2) чем, с точки зрения работы с RIPEdb, UA-IX отличается от Verizon? Тем, что если вдруг какие траблы в UA-IX - это не настолько страшно для него самого, как грабли в verizon для verizon (съехал с темы вопроса :), если технически - то мне "тамошние" крупные провайдеры видятся эдакими франкенштейнами - масштабы не сравнимы с UA-IX. "Франкенщтейновость" состоит в том, что наверняка есть зоопарк железа/технологий, и не факт, что всё централизованно управляется). Ну и главное - verizon - американская компания. Для неё работа с ripe - мера "вынужденно-неприятная". Никому в здравом уме не захочется иметь ещё один неконтролируемый "фактор икс", если без него можно обойтись.

-- Best regards, Paul Arakelyan.

On Wed, Oct 13, 2010 at 10:05:15AM +0300, Vladimir Litovka wrote:

Дядя Вова,

поскольку ты не представитель Tier-1 (пока что), то слова твои понятны :) Но если бы так говорил представитель Verizon, то я бы сказал - гнилая отмазка, вызванная ленью и бестолковостью. Я когда работал в "Лень и бестолковость" очень часто синоним "дополнительные расходы", т.е. рабочее время и обучение персонала.

Голдене, то поставил процесс так, что любая заявка на выделение сабнета клиенту должна была сопровождаться заполненной райповской формой. Клиент-ли ее заполнял или его аккаунт-менеджер - мне было пох. Т.е. надо научить аккаунт-менеджера её заполнять. Заставить это делать клиента - может оказаться почти равно его потере, если у соседей этого не надо делать.

И поверь - те же 90% не знали, что от них хотят, так же эскалировали через management chain, но ничё - пожужжали-пожужжали и начали заполнять. Это я к чему - к тому, что если есть понимание, что и зачем ты делаешь, то причин не делать не находится. Не, устроили "почти безвыходное положение", так клиенты и "ж@п@й дышать" научиться могли :).

-- Best regards, Paul Arakelyan.

Fri, Oct 15, 2010 at 07:00:36, unisol wrote about "Re: [uanog] Re: [uanog] Re: [uanog] Народ, а объясните? т.н. "китайский редирект"":

...

2) любой "дядя" с буквами CCIE требует зарплату от 5.000 в месяц (не гривен) и посему за эти деньги работодатель вполне вправе потребовать, чтобы он знал локальные best practices. Постановка вопроса немного не правильная. Работодатель вполне вправе потребовать ровно то, что ему нужно, хоть за 5 копеек. Как и кандидат вправе не согласиться на 5 копеек :). Для работодателя же имеем проблему, что большинство просто не дотягивает до нужного ему уровня - независимо от предлагаемой суммы денег.

Route objects - это наука аж на один рабочий день. У нас что, даже CCIE не умеют учиться? -netch-

On Fri, Oct 15, 2010 at 06:14:26AM +0300, Paul Arakelyan wrote:

On Wed, Oct 13, 2010 at 09:36:27AM +0300, Andrey Zarechansky wrote:

...

On Tue, Oct 12, 2010 at 06:32:12PM +0300, Paul Arakelyan wrote: [dd]

...

...

...

того же ripe DB. Короче - всё чуть сложнее, чем на подводной лодке. Сравнимо с тем, что на подлодке половина экипажа - шпионы-диверсанты-камикадзе.

List of Routing Registries: http://www.irr.net/docs/list.html Они ж все независимые, и написано там совсем разное?

Независимые, но import/export между ними есть.

Кстати, список не блещет актуальностью. А что делать, если информармация в них окажется противоречивой?

1. Знать, кто из твоих uplink'ов откуда обновляется. 2. Сообщать о найденых несоотвествиях: - в одном случае это их же IRR и они могут внутри себя порешать - в другом случае у них куплена платная подписка и они могут за нее требовать поддержки

...

У нас несколько включений в Tier1 операторов и все хорошо - каждый из них У нас было веселее. Месяц всё каким-то чудом жило, потому что у одного из апстримов - фильтры ручками, "когда не лень", обновлялись. Как только это "не лень" наступило - полный капут.

А забить в ТЗ на покупку услуги IP транзита необходимость автоматического обновления фильтров не успели? А пометить в тендерной документации, что соотвествие данному пункту ТЗ является обязательным?

...

обновляет информацию из более удобного для них источника. Соотвественно пример с RIPE DB не релевантен и в случае наступления описаного случая - проблема решается одним письмом в одного оператора. хихи. Письмо не доедет, бо банально "root DNS servers unreachable" :) Звонить придётся :). Ну, или бежать в соседнее место с инетом :).

Если расширять емкости своевременно, можно развернутся в другую сторону и через 5 минут письмо уйдет.

...

...

...

Из личного опыта - количество людей c CCIE сертификатами, претендующих на позицию Senior Network Engineer и имеющих нулевое понимание что такое route-object просто удручает :-( Система должна быть - как в армии и на конвеере. Рабочему, крутящему болтики, не обязательно знать, как забивать гвозди. Правильно построенной системой должна запросто рулить кухарка :). Вот только правильно построить надо...

Правильно построенная система автоматически генерирует список обновлений и предоставляет _инженеру_ кнопочку - Commit and Upload.

Та как того чела не назови - хоть инженер, хоть кухарка - во многих случаях всё сведётся к "кликнуть туда, потом сюда, с важным видом/хихикая до упаду". В нашем случае - ну, исчезли пара роут-обжектов, ну появились пара? "Ну и фиг с ним, слон умный, ему виднее." ?

Значит против подобных слонов будут применятся административные меры, которые воспитают рефлекс хоть немного думать перед тем как нажимать кнопочку. -- ZA-RIPE||ZA1-UANIC