Hello, On Thu, 27 Jun 2019 03:48:41 +0000 Michel Py <mic...@arneill-py.sacramento.ca.us> wrote:
> Le blog de CloudFlare qui dit que c'était la faute à Verizon, c'est du > gros bullshit. > https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today/ > > Désolé de le dire, et sans excuser Verizon qui n'avaient pas les > précautions de base en place, c'est de la récupération politique. C'est > pas Verizon qui a merdé. Même si c'est vrai qu'en tant que T1 ils > devraient avoir filtré le bordel, le principe de la patate chaude et de > la confiance qu'on a quand on accepte une session eBGP avec quelqu'un > d'autre sont toujours la base du fonctionnement de la DFZ. C'est un sujet chaud, mais c'est vrai que ca a merde a plein d'endroits. Le premier, c'est surement l'optimiseur. et j'ai encore du mal a comprendre comment un truc pareil peut se permettre de balancer des prefixes sans gros controle... OK, on va dire que c'est la faute a "fat fingers", mais il y a des limites. Ensuite, evidemment, les configs eBGP des upstreams, en cascade... On peut bien tapper sur Verizon, c'est facile, c'est le plus gros, donc il a : - plus d'impact, donc - plus de responsabilite mais aussi - plus de moyen donc - c'est plus sa faute... ;) Moi je dirai juste qu'il y a ... bcp d'annees, j'etais client de UUNet (oui, le meme AS701, mais la version originale, pas celle qui resulte des fusions), et a l'epoque, t'avais pas le choix pour que tes prefixes passent la session : - IRR a jour, - mail avec le filtre (ip access-list, pas as-path filter) a mettre sur la conf de ta session, - 24H de delai, le temps que ca soit matcher avec les DB, et probablement des max-pfx qui trainaient mais que je n'ai jamais vu ;) Aujourd'hui, on cache la complexite d'Internet et de BGP (oui, BGP, c'est complexe !) dans des boites auto-magiques (si 'magiques' ne vous va pas, proposez des remplacements... j'en ai bien un en tete... ;) et on espere que ca va "juste marcher". Mais rien ne "juste marche", "shit happens" ! Alors OK, BGP, c'est qq chose qu'on etablit avec un partenaire de confiance (normalement, meme si la confiance est "commerciale"), mais ca n'empeche pas de faire attention, et de prendre des precautions (tiens, au fait, les route-server des IX, a part RPKI de leur cote, je vois pas trop comment les gerer efficacement en terme de securite). Bref, Michel, tu as raison, c'est pas (que) la faute de Verizon. Moi je suis juste decu que quelque chose qui etait en place chez eux a une epoque, et qui aurait surement limite la portee de l'incident, ait disparu au cours du temps sans reel remplacement (et la, ne me dis pas RPKI, c'est le truc qui me fait penser a ce qu'on attendait/esperer d'IPv6 pour remplacer IPv4). > Les connards qui annoncent des préfixes plus longs que ceux que les > désignataires des préfixes en question le font, faut les éliminer. Dans > leur AS, ils font ce qu'ils veulent. Annoncer la merde que produit un > "optimiseur" BGP comme Noction aux clients, c'est des coups de pied au > cul qui se perdent. Comme je n'ai pas fait mes devoirs sur des boites, qq'un peut m'expliquer comme marchent ces optimiseurs ? J'ai la flemme non pas de Googler ce matin, mais de faire le tri pour trouver un article qui ne dise pas que des aneries marketo-commerciale ;) > Jérome Fleury, j'ai lu ton blog. Le pire, c'est que tu as changé qui > l'avait écrit pour Tom Strickx. Tu crois qu'on avait pas vu çà venir ? > > C'est carrément craintos. Le lien au-dessus, c'était signé par Jérome > Fleury il y a 24 heures. Je ne suis pas le seul à voir remarqué. C'est > vraiment nul à chier. Pas vu... pas regarde... comme je l'ai ecrit plus haut, le sujet est encore trop chaud en ce moment pour que j'aille chercher des infos chez qq'un qui est directement implique - surtout implique comme "victime". Tu le sais, dans ces cas-la, c'est CYA a tout va, et la charge sur VZN, en ne parlant pas (beaucoup) des autres acteurs, n'est probablement pas anodine. Paul --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/