วิธีกรองคำนำหน้าแบบ non-bogon ที่ได้รับผ่าน BGP จาก Internet Exchange (IXP)

14

เมื่อเชื่อมต่อกับ Internet peering exchange (IXP) เป็นวิธีที่ดีในการตรวจสอบให้แน่ใจว่าคนไม่ส่งคำนำหน้าคุณว่าพวกเขาไม่ควรจะประกาศอะไร

เกี่ยวกับ bogons ฉันตระหนักถึงโครงการอ้างอิงของทีม Cymru Bogonแต่เมื่อมาถึงการกรองสิ่งอื่นจากเพื่อนฉันไม่มีความคิดที่จะเริ่มต้น ความเข้าใจของฉันคือสิ่งที่ RPKI และคล้ายกันมีไว้เพื่ออะไร?

bgp  peering 
SimonJGreen
แหล่งที่มา
ทำไมไม่ใช่แค่ eBGP เพียร์กับพวกเขาและคำนำหน้า blackhole ในตารางเส้นทางของพวกเขา?

คำตอบ:

13

ตามที่คนอื่น ๆ ระบุไว้ RPKI จะเป็นวิธีที่จะไป แต่ก็ยังไม่มี ที่จุดแลกเปลี่ยนเรามักจะใส่ขีด จำกัด สูงสุดของคำนำหน้าในทุกเซสชัน

นอกจากนี้เราใช้กฎต่อไปนี้:

  1. ไม่มีเส้นทางเริ่มต้น

  2. ไม่มี bogons รายการนี้มากขึ้น:

    route-filter 0.0.0.0/8 orlonger reject;
route-filter 127.0.0.0/8 orlonger reject;
route-filter 10.0.0.0/8 orlonger reject;
route-filter 172.16.0.0/12 orlonger reject;
route-filter 192.168.0.0/16 orlonger reject;
route-filter 224.0.0.0/4 orlonger reject;
route-filter 240.0.0.0/4 orlonger reject;
route-filter 169.254.0.0/16 orlonger reject;
route-filter 192.0.2.0/24 orlonger reject;
route-filter 198.51.100.0/24 orlonger reject;
route-filter 203.0.113.0/24 orlonger reject;
route-filter 100.64.0.0/10 orlonger reject;

  3. ไม่มีส่วนนำหน้ายาวเกิน / 24

  4. ไม่มีหมายเลข AS ส่วนตัวในเส้นทาง

  5. ไม่มีคำนำหน้าของเราเอง

สำหรับ IPv6 เราทำได้เหมือนกันเฉพาะ bogons เท่านั้นที่แตกต่างกัน ฉันวางตัวกรองของเราด้านล่างนี้ โปรดทราบว่าไวยากรณ์อาจจะค่อนข้างแปลก แต่เป็นเพราะวิธี Juniper ในการจับคู่คำนำหน้า สำหรับไวยากรณ์ของ Cisco คุณสามารถไปที่นี่: คำแนะนำตัวกรอง IPv6 BGP (ตัวอย่าง Juniper บนเพจนั้นมีข้อผิดพลาดโปรดใช้หนึ่งด้านล่างหากคุณต้องการ)

คำ ebgp- ผ่อนคลาย {
    จาก {
        ครอบครัว inet6;
        route-filter 3ffe :: / 16 orlonger;
        route-filter 0000 :: / 8 orlonger;
        route-filter 2001: db8 :: / 32 orlonger;
        route-filter 2001 :: / 32 นโยบายต่อไปที่แน่นอน
        เส้นทางตัวกรอง 2001 :: / 32 อีกต่อไป;
        route-filter 2002 :: / 16 นโยบายต่อไปที่แน่นอน
        เส้นทางกรอง 2002 :: / 16 อีกต่อไป;
        เส้นทางกรอง fe00 :: / 9 orlonger;
        เส้นทางกรอง ff00 :: / 8 หรืออีกต่อไป;
        เส้นทางตัวกรอง 2000 :: / 3 คำนำหน้าความยาวช่วง / 49- / 128;
        route-filter 0 :: / 0 orlonger;
    }
    จากนั้นปฏิเสธ
}
เซบาสเตียนวีสซิงเกอร์
แหล่งที่มา
11

ในขณะนี้ (จนกว่า RPKI จะแพร่หลายมากขึ้น) โดยทั่วไปเราเพียงแค่กรองโบกี้ทั่วไปและใช้ตัวกรองคำนำหน้าสูงสุดเพื่อแลกเปลี่ยนเพียร์ นอกจากนี้เรายังกรอง ASN บางอันที่เรามั่นใจว่าจะไม่ปรากฏในเซสชันการสนทนาส่วนใหญ่เช่น Level3 หรือ Cogent หรือไม่ควรผ่านการแลกเปลี่ยน

เรามักจะพบว่าการรั่วไหลของเส้นทางส่วนใหญ่ไม่อยู่ในช่วง 1-2 หลัก มันยากมากที่จะจับต่อไปเว้นแต่ว่าคุณจะกรองเพื่อนทั้งหมดของคุณด้วยการสร้างคำนำหน้า / รายการ ASN หรือตัวกรองตาม radb ฯลฯ การรั่วไหลส่วนใหญ่จะอยู่ใกล้กับ 10k-100k + ซึ่งถูกจับได้ง่ายโดยค่อนข้างต่ำ (100-500 ) ตัวกรองคำนำหน้าสูงสุด จากนั้นคุณสามารถปรับต่อเซสชันได้ตามต้องการ

Justin Seabrook-Rocha
แหล่งที่มา
7

คุณมีตัวเลือกที่แตกต่างกันสองสามแบบ:

ประการแรกฉันจะครอบคลุม RPKI และพูดว่าในขณะที่มันเป็นสิ่งที่คุณควรไปข้างหน้าและปรับใช้อย่างแน่นอนทั้งสำหรับเส้นทางของคุณเองและการตรวจสอบผู้อื่นมันน่าเสียดายที่การใช้งานต่ำเช่นนี้ที่คุณไม่สามารถทำได้ในตอนนี้ ทางออกที่แท้จริงที่นี่คือ WHOIS - RaDB ของ Merit นั้นดีที่สุดเนื่องจากจะช่วยให้คุณส่งคืนผลลัพธ์สำหรับ RIR ทั้งหมดในครั้งเดียว แต่ถ้าคุณต้องการสอบถาม RIR แต่ละรายการโดยตรงไปเลย

ตอนนี้หากคุณกำลังแลกเปลี่ยนและคุณเพิ่งได้รับกองหน้าจากเส้นทางเซิร์ฟเวอร์ของ IXP ขึ้นอยู่กับเครื่องมือที่คุณมีให้คุณและความสามารถของเราเตอร์ของคุณคุณมีสองทางเลือกดังนี้:

   1. กรองตามแหล่งกำเนิด AS

โดยพื้นฐานแล้วสิ่งนี้ประกอบด้วยการตรวจสอบต้นกำเนิด AS ของคำนำหน้ากับ WHOIS - ถ้าต้นกำเนิด AS ไม่ตรงกับที่อยู่ใน WHOIS คุณจะวางคำนำหน้าและข้อมูลเฉพาะเพิ่มเติมที่อาจมีการประกาศ นี่คือการป้องกันที่ดีต่อการจี้โดยไม่ได้ตั้งใจ คำนำหน้าส่วนใหญ่ควรมีข้อมูลนี้

   2. กรองตามการขนส่ง AS

ขั้นตอนนี้จะเพิ่มอีกขั้นและกรองเส้นทางด้วย AS ใด ๆ ในเส้นทางที่ไม่ได้รับอนุญาตภายใน WHOIS - คุณไม่สามารถทำสิ่งนี้ได้ทุกคำนำหน้าเนื่องจากทุกคนจะไม่ได้สร้างวัตถุที่ระบุว่าใครเป็นผู้ให้บริการ AS ที่ได้รับอนุญาต

ในทางกลับกันถ้าคุณใช้การแลกเปลี่ยนแบบเพียร์กับเพียร์กับผู้อื่นโดยตรงชีวิตของคุณก็จะง่ายขึ้นมาก คุณสามารถค้นหาคำนำหน้าสิ่งที่พวกเขามีใน WHOIS และอนุญาตสิ่งเหล่านั้น การปฏิบัติที่ดีในความคิดของฉันคือการอนุญาตให้เพื่อนประกาศเฉพาะเจาะจงมากถึงความยาวสูงสุดของ / 24 ในขณะที่ยังตั้งค่าคำนำหน้าสูงสุดที่สมเหตุสมผล (เช่นสัดส่วนกับจำนวนเครือข่ายย่อยที่พวกเขามี) บนเพียร์ ไม่ทำให้คุณท่วมเส้นทาง แต่สามารถตอบกลับการจี้คำนำหน้าได้

หากคุณกำลังมองหาเครื่องมือลองใช้IRRToolSetและIRR PowerTools

Olipro
แหล่งที่มา
5

คุณได้ตอบคำถามของคุณเอง สมมติฐานของคุณว่าการใช้ RPKI เป็นวิธีการที่ถูกต้องอย่างแน่นอน การให้สิทธิ์เส้นทางโดยเฉพาะเจาะจงมากขึ้นจะใช้ในการตรวจสอบคำนำหน้ากับ AS เห็นได้ชัดว่าโบกี้จะไม่ถูกต้องเพราะพวกเขาไม่ได้รับมอบหมายให้ใครดังนั้นปัญหาจะดูแลตัวเอง ข้อมูลจำนวนมากนี้สามารถใช้ได้บนหน้า RPKI วิกิพีเดีย ทรัพยากรที่ดีก็คือหน้า RPKI ARIN ของ

หากคุณต้องการความช่วยเหลือในการกำหนดค่าฉันขอแนะนำให้คุณสร้างคำถามอื่นเพื่อขอความช่วยเหลือเกี่ยวกับการกำหนดค่าเฉพาะ

นอกจากนี้ยังเป็นที่น่าสังเกตว่า RPKI จะไม่ทำงานกับทุกสิ่งเพราะทุกคนไม่ได้ใช้งาน ในบางจุดคุณต้องเชื่อใจเส้นทางที่คุณได้รับ

bigmstone
แหล่งที่มา
0

ถามเพื่อนของคุณว่าพวกเขาจะประกาศใช้แมโครอะไรและสร้างตัวกรองสำหรับพวกเขาโดยใช้ IRRToolSet หรือ rpsltool หรือ irrpt กระตุ้นให้พวกเขามีข้อมูลที่ถูกต้องเผยแพร่ใน IRRdb อย่าลืมอัปเดตaut-numวัตถุของคุณเองใน IRRdb ที่ใกล้เคียงที่สุดเพื่อสะท้อนถึงคำคุณศัพท์

RPKI ไม่ใช่ทางไปข้างหน้าเนื่องจากไม่ได้ป้องกันการรั่วไหลของเส้นทาง

นีลส์
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.