Re: [FRnOG] Ping: il n'y a plus personne ?

[Radu-Adrian Feurdean]

On Tue, 26 Feb 2008 15:43:24 +0100, "jorisd" <[EMAIL PROTECTED]> said:

> Je trouve cette histoire abracadabrante, et j'aimerais comprendre ce qui 
> s'est passé :
> Comment se fait-il que les annonces bidons du même AS que celui de 
> youtube via l'opérateur PCCW aient été prioritaires sur les annonces 
> légitimes des opérateurs avec lesquels Youtube a passé un accord ?

Voir dans un autre reponse, en annoncant plus precis (2 x /24 au lieu du
/23)
Par contre il me semble qu'il y avait des "conseils" de RIPE et APNIC
pour filtrer par des prefix plus courts, notamment dans l'ancien bloc de
"classes A". 

D'un autre cote, le filtrage au niveau des /24 ca se fait encore plus
souvent, et justement, www.youtube.com se trouve dans un /24 (vue BGP
d'aujourd'hui).

> Je crois savoir qu'un attribut localpref permet justement de choisir le 
> "meilleur chemin" administrativement parlant, et normalement cette 
> situation n'aurait jamais du arriver.

Localpref, AS-PATH (utilise par default), voir meme MED (pas taper !!!),
les moyens existent. Par contre, pour apsser au-dela d'un prefix plus
precis il faut filtrer (virer) ce prefix plus precis.

> Donc, je pourrais comprendre que les personnes affectés par ce problème 
> soit tous les AS reliés de près ou de loin à PCCW, mais je ne vois pas 
> pourquoi l'internet dans sa globalité s'est fait berné ?

De loin, on est tous interconectes avec PCCW. C'est l'essence de
l'internet meme.

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Ping: il n'y a plus personne ?

[Cédric BODIGUEL]

Avec des prefixes plus petits donc prioritaires dans la décision de routage.
http://www.merit.edu/mail.archives/nanog/msg06299.html 

 
-Message d'origine-
De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de jorisd
Envoyé : mardi 26 février 2008 15:43
À : Jean-Michel Planche
Cc : frnog@frnog.org
Objet : Re: [FRnOG] Ping: il n'y a plus personne ?

Jean-Michel Planche a écrit :
> Tout le monde est en vacances ou encore sous le choc de la "rigolade" 
> du WE ?
> http://www.jmp.net/wordpress/?p=872
>
>
> -
> Jean-Michel Planche blog: http://www.jmp.net <http://www.jmp.net/> 
> Chairman and co-founder Witbe web : http://www.witbe.net 
> <http://www.witbe.net/> Follow me http://www.twitter.com/jmplanche
> ---
> 2.0 Monitoring : relevant End to End monitoring for critical app. and 
> carrier class services
>
Bonjour,

Je ne suis pas expert en BGP, j'ai juste quelques notions de cours :P

Je trouve cette histoire abracadabrante, et j'aimerais comprendre ce qui s'est 
passé :
Comment se fait-il que les annonces bidons du même AS que celui de youtube via 
l'opérateur PCCW aient été prioritaires sur les annonces légitimes des 
opérateurs avec lesquels Youtube a passé un accord ?

Je crois savoir qu'un attribut localpref permet justement de choisir le 
"meilleur chemin" administrativement parlant, et normalement cette situation 
n'aurait jamais du arriver.

Donc, je pourrais comprendre que les personnes affectés par ce problème soit 
tous les AS reliés de près ou de loin à PCCW, mais je ne vois pas pourquoi 
l'internet dans sa globalité s'est fait berné ?

D'avance merci pour vos explications


Joris,
débutant :D
---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[jorisd]

Jean-Michel Planche a écrit :
Tout le monde est en vacances ou encore sous le choc de la "rigolade" 
du WE ?

http://www.jmp.net/wordpress/?p=872


-
Jean-Michel Planche blog: http://www.jmp.net 
Chairman and co-founder Witbe web : http://www.witbe.net 


Follow me http://www.twitter.com/jmplanche
---
2.0 Monitoring : relevant End to End monitoring for critical app. and 
carrier class services



Bonjour,

Je ne suis pas expert en BGP, j'ai juste quelques notions de cours :P

Je trouve cette histoire abracadabrante, et j'aimerais comprendre ce qui 
s'est passé :
Comment se fait-il que les annonces bidons du même AS que celui de 
youtube via l'opérateur PCCW aient été prioritaires sur les annonces 
légitimes des opérateurs avec lesquels Youtube a passé un accord ?


Je crois savoir qu'un attribut localpref permet justement de choisir le 
"meilleur chemin" administrativement parlant, et normalement cette 
situation n'aurait jamais du arriver.


Donc, je pourrais comprendre que les personnes affectés par ce problème 
soit tous les AS reliés de près ou de loin à PCCW, mais je ne vois pas 
pourquoi l'internet dans sa globalité s'est fait berné ?


D'avance merci pour vos explications


Joris,
débutant :D
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[ポール・ ロラン]

Hello,

On Tue, 26 Feb 2008 10:45:20 +0100
Manuel Guesdon <[EMAIL PROTECTED]> wrote:


> 19k prefixes ? Non agregeables (provenant vraiment de petits blocs
> avec des AS-origin differents) ? Ca fait beaucoup, non ?

C'est un bel AS qui transite bcp de monde.

Paul


-- 
Paul RollandE-Mail : rol(at)witbe.net
Witbe.net SATel. +33 (0)1 47 67 77 77
Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99
F-92057 Paris La DefenseRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur 
"Some people dream of success... while others wake up and work hard at it" 

"I worry about my child and the Internet all the time, even though she's too 
young to have logged on yet. Here's what I worry about. I worry that 10 or 15 
years from now, she will come to me and say 'Daddy, where were you when they 
took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[Manuel Guesdon]

On Tue, 26 Feb 2008 09:12:34 +0100
Paul Rolland (ポール・ロラン) <[EMAIL PROTECTED]> wrote:
PR( >| > En meme temps, si on regarde
PR( >| > http://www.cidr-report.org/as2.0/#General_Status on voit que le plus
PR( >| > grand nombre de prefixes annoncés par un as est de 1582 actuellement
PR( >| > (sous reserve de mesure a peu pres correcte). Chaque border ne
PR( >| > gerant qu'un nombre limité de peer BGP, ca ne fait pas forcement
PR( >| > enormement de filtres par routeur. Cela dit faut un mecanisme de
PR( >| mise a jour bien éprouvé :-) Non, tu oublies de prendre en compte tous
PR( >| les AS qui sont transites par les peer que tu peux avoir... Par
PR( >| exemple, sur FreeIX, j'ai un peer qui m'annonce 19K prefix, un autre
PR( >| 9K, etc... Si je veux faire les choses completement, et mettre du
PR( >| prefix-filter, il me faudrait des filtres de 19K lignes !!! 

19k prefixes ? Non agregeables (provenant vraiment de petits blocs
avec des AS-origin differents) ? Ca fait beaucoup, non ?


Manuel 

--
__
Manuel Guesdon - OXYMIUM <[EMAIL PROTECTED]>
14 rue Jean-Baptiste Clement  -  93200 Saint-Denis  -  France
Standard: 0 811 093 286 (Cout d'un appel local)   Fax: +33 1 7473 3971
LD Support: +33 1 7473 3973   LD:  +33 1 7473 3980
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[ポール・ ロラン]

Hello,

On Tue, 26 Feb 2008 09:34:33 +0100
Jean-Michel Planche <[EMAIL PROTECTED]> wrote:

> Sans compter le Morse que nos enfants n'auraient jamais du perdre  
> l'habitude d'apprendre.
> Au moins c'était clair.

Pour le morse, rien n'est perdu :
http://ele-zeta.com.ar/morse/

... a condition evidemment que le site ne soit pas victime d'une erreur 
pakistanaise ;)

Paul

-- 
Paul RollandE-Mail : rol(at)witbe.net
Witbe.net SATel. +33 (0)1 47 67 77 77
Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99
F-92057 Paris La DefenseRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur 
"Some people dream of success... while others wake up and work hard at it" 

"I worry about my child and the Internet all the time, even though she's too 
young to have logged on yet. Here's what I worry about. I worry that 10 or 15 
years from now, she will come to me and say 'Daddy, where were you when they 
took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[Jean-Michel Planche]

Sans tomber dans la panaroia, cela se produit régulièrement ... et  
comme dit sur différentes listes, c'est souvent moins "médiatique" que  
Pakistan versus Youtube.
D'ailleurs, une partie des adresses annoncées ne sont pas  
intégralement routées (ie: accessibles à tous) sur Internet. Dommage  
pour ceux qui en font partie :-)
Et il ne faut pas croire qu'avant cela fonctionnait tout seul non  
plus ...  rappelez vous (mode Papy = On) le temps de la NSFNet ... il  
y avait les clients des opérateurs IP qui y avaient accès et les autres.
Rappelez vous le 24 Décembre 1993 (si ma mémoire est bonne) ... un  
joli réveillon gâché par un #@// (censuré) qui avait un peu trop  
annoncé de routes pour les 32 Mo (je me demande même si ce n'était pas  
16, non c'était 16 en version haut de gamme + 16 en carte rajoutée au  
chausse pied) de mémoire des Cisco AGS+ de la planète.
Entre les proxy, les routages "politiques", les asymétries, les  
traversées de couches hétérogènes (Fibre / ATM / Ethernet / Wifi /  
GSM ...), faut vraiment que l'IP soit bien conçu pour résister. Il y a  
longtemps je disais qu'Internet passe partout, même sur de la moquette  
chargée électrostatiquemement, c'est peut être ça l'avenir ...  
unissons nos carpettes et recréons un réseau overlay multicast best  
effort à forte cooptation. Si on n'avait pas le problème des flux  
audio visuel, je préconiserais même de re-sortir les tables UUCP et  
l'adressage email avec des ! partout :-)
Sans compter le Morse que nos enfants n'auraient jamais du perdre  
l'habitude d'apprendre.

Au moins c'était clair.



Le 26 févr. 08 à 09:16, [EMAIL PROTECTED] a écrit :

L'inquiétant c'est que si cela se produit régulièrement le seul  
mécanisme de contrôle d'annonces est humain, basé sur de la bonne  
volonté.
Sans entrer dans les hypothèses conspirationnistes, ça ferait un bon  
système de DoS sans netbots, relativement cheap à mettre en oeuvre  
(ça peut même se faire par erreur apparemment).




-
Jean-Michel Planche blog: 
http://www.jmp.net
Chairman and co-founder Witbe   web : 
http://www.witbe.net
Follow me   
http://www.twitter.com/jmplanche
---
Internet, Intranet, Voice, VOIP, Video, VoD, IPTV REAL End to End  
monitoring

Re: [FRnOG] Ping: il n'y a plus personne ?

[steven]

Quoting Thomas Kernen <[EMAIL PROTECTED]>:



Jean-Michel Planche wrote:
Tout le monde est en vacances ou encore sous le choc de la   
"rigolade" du WE ?

http://www.jmp.net/wordpress/?p=872



echo reply



cela demontre que les operateurs ne sont toujours pas tous a
jours et ne n'ont toujours pas compris l'interet de filtrer les
announces de leurs clients BGP.



L'inquiétant c'est que si cela se produit régulièrement le seul  
mécanisme de contrôle d'annonces est humain, basé sur de la bonne  
volonté.
Sans entrer dans les hypothèses conspirationnistes, ça ferait un bon  
système de DoS sans netbots, relativement cheap à mettre en oeuvre (ça  
peut même se faire par erreur apparemment).










---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[ポール・ ロラン]

Bonjour,

On Mon, 25 Feb 2008 20:54:22 +0100
Manuel Guesdon <[EMAIL PROTECTED]> wrote:

> On Mon, 25 Feb 2008 19:46:08 +0100
> Paul Rolland (ポール・ロラン) <[EMAIL PROTECTED]> wrote:
> PR( >| Le RIPE gere des informations "administratives"... 
> 
> C'est justement l'interessant: le 'droit' d'annoncer des routes est 
> administratif, non ?
Oui, bien sur ! Je ne critique pas le fonctionnement du RIPE, bien au
contraire. Je pense que c'est ce qui devrait servir de modeles aux autres
RIR. Ca aurait peut-etre eviter de voir fleurir des bases RIR chez chaque
gros operateur cote US, et ainsi largement compliquer le travail.
 
> Cela dit, les autres RIRs pourraient s'y mettre (hum, ca va peut etre
> prendre quelques années...)
Mouais... quelques, c'est a partir de 2... mais sans borne haute :(

> PR( >| Et il est fort possible que la taille de la configuration au final ne
> PR( >| rentre pas dans les routeurs qui sont supposes les mettre en
> oeuvre ;)
> 
> En meme temps, si on regarde
> http://www.cidr-report.org/as2.0/#General_Status on voit que le plus grand
> nombre de prefixes annoncés par un as est de 1582 actuellement (sous
> reserve de mesure a peu pres correcte). Chaque border ne gerant qu'un
> nombre limité de peer BGP, ca ne fait pas forcement enormement de filtres
> par routeur. Cela dit faut un mecanisme de mise a jour bien éprouvé :-)
Non, tu oublies de prendre en compte tous les AS qui sont transites par les
peer que tu peux avoir... Par exemple, sur FreeIX, j'ai un peer qui m'annonce
19K prefix, un autre 9K, etc... Si je veux faire les choses completement,
et mettre du prefix-filter, il me faudrait des filtres de 19K lignes !!!

> PR( >| > souvent des problemes, genre l'apprenti BGPien qui laisse passer
> des PR( >| > routes qui ne lui 'appartiennent' pas (enfin j'imagine)...
> PR( >| Helas, si les gens apprenaient un peu du passe ! La, ca a fait du
> PR( >| bruit parce que YouTube, mais ce n'est ni la premiere (ca, c'est de
> PR( >| l'histoire), ni la derniere (ca, c'est du realisme) fois que ca se
> PR( >| produit ! 
> 
> Oui, il n'y a qu'a voir les annonces de blocs non attribués...

Et les sessions qui sont Active le matin, et que le routeur te classe en
Max-Pfx, parce qu'il y a eu une operation de nuit ;)
 
Paul

-- 
Paul RollandE-Mail : rol(at)witbe.net
Witbe.net SATel. +33 (0)1 47 67 77 77
Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99
F-92057 Paris La DefenseRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur 
"Some people dream of success... while others wake up and work hard at it" 

"I worry about my child and the Internet all the time, even though she's too 
young to have logged on yet. Here's what I worry about. I worry that 10 or 15 
years from now, she will come to me and say 'Daddy, where were you when they 
took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[ポール・ ロラン]

Hello,

On Mon, 25 Feb 2008 23:55:41 +0100
Jean-Claude MICHOT <[EMAIL PROTECTED]> wrote:

> On Mon, Feb 25, 2008 at 07:46:08PM +0100, Paul Rolland said:
> > Bonsoir,
> > 
> A une époque lointaine (en temps Internet), Caribou Telecom aka
> Tata Telecom avais une veille Sun dont c'etait l'unique job. Je
> sais pas ce qu'il en est aujourd'hui, mais les techniques sont
> toujours les meme, c'est donc plus une question de volonté/cout/facilité 
> et temps de déploiement qu'un gros probleme technique.

H... Il fut un temps aussi, il y avait des route-servers... Je crois 
que c'est le Linx qui avait fait qq choses dans ce sens-la : route-server,
les ope. connectes peerent avec le RS, celui-ci importe les infos RIPE et
appliquent les filtres, et il redistribue les routes "filtrees".
Mais je crois que c'est reste au stade d'expe. Si certains ont plus d'info

Cela dit, ca ne s'applique surement dans le cadre d'une relation 
client vs upstream...
 

> Non mais comme c'est pas la premiere fois que des clients PCCW foute le
> boxon loin de chez eux un jour ou l'autre ca va mal finir.
Que veux-tu ? Ils ont leur Jerome Kirviel a eux :)

Paul

-- 
Paul RollandE-Mail : rol(at)witbe.net
Witbe.net SATel. +33 (0)1 47 67 77 77
Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99
F-92057 Paris La DefenseRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur 
"Some people dream of success... while others wake up and work hard at it" 

"I worry about my child and the Internet all the time, even though she's too 
young to have logged on yet. Here's what I worry about. I worry that 10 or 15 
years from now, she will come to me and say 'Daddy, where were you when they 
took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[ポール・ ロラン]

Hello,

> fibres dans le golfe persique.) La seule chose que ça nous apprend c'est
> juste que TOUT AS (et pas seulement les carriers IPs) doivent soigneusement
> renseigner leurs imports et exports, surtout quand il a la chance de
> dépendre du RIPE (Pakistan Telekom) qui est de loin le RIR le plus
> rigoureux.

H Je doute que Pakistan Telekom ait renseigne son export des prefix
de YT (ce qui est correct), et le probleme est donc :
 - l'"erreur" de manip (route leak) de leur part,
 - la non-utilisation des infos RIR par Pa.Tel. pour filtrer ses annonces,
 - la non-utilisation des infos RIR par les upstream.

Mais je ne vois pas en quoi avoir mieux renseigne la base RIPE aurait aide...

Paul

-- 
Paul RollandE-Mail : rol(at)witbe.net
Witbe.net SATel. +33 (0)1 47 67 77 77
Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99
F-92057 Paris La DefenseRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur 
"Some people dream of success... while others wake up and work hard at it" 

"I worry about my child and the Internet all the time, even though she's too 
young to have logged on yet. Here's what I worry about. I worry that 10 or 15 
years from now, she will come to me and say 'Daddy, where were you when they 
took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[Nicolas Hyvernat]

On Mon, Feb 25, 2008 at 11:55:41PM +0100, Jean-Claude MICHOT wrote:
> > Le RIPE gere des informations "administratives"... Ensuite, il faut en faire
> > des configurations... Et c'est la que le bat blesse !
>   
> A une époque lointaine (en temps Internet), Caribou Telecom aka
> Tata Telecom avais une veille Sun dont c'etait l'unique job. Je
> sais pas ce qu'il en est aujourd'hui, mais les techniques sont
> toujours les meme, c'est donc plus une question de volonté/cout/facilité 
> et temps de déploiement qu'un gros probleme technique.

C'est toujours le cas, le script s'est juste adapté/bonifié avec les
années. Des prefix-lists sont générés automatiquement et régulièrement.
Cela demande juste un peu de temps humain pour mettre à jour l'outil en
fonction des différentes évolutions de réseau ou de base de données.

-- 
Nicolas Hyvernat
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[Jean-Claude MICHOT]

On Mon, Feb 25, 2008 at 07:46:08PM +0100, Paul Rolland said:
> Bonsoir,
> 
> On Mon, 25 Feb 2008 18:40:36 +0100
> Manuel Guesdon <[EMAIL PROTECTED]> wrote:
> 
> > On Mon, 25 Feb 2008 17:55:20 +0100
> > Steven Le Roux <[EMAIL PROTECTED]> wrote:
> > SLR >| Quelle est la solution... ? que rien ne soit distribué et qu'un "GIE"
> > s'occupe des routes de la planetes ? je doute... 
> > 
> > Le RIPE gère déjà ca sur les IPs qu'ils attribuent: avec leur bases on peut
> > savoir pour une route donnée qui est autorisé a l'annoncer. Au niveau des
> > autres organismes, je ne sais pas s'ils ont le même type de rigueur et
> > d'organisation...
>
> Le RIPE gere des informations "administratives"... Ensuite, il faut en faire
> des configurations... Et c'est la que le bat blesse !
> Ensuite (lire Nanog), ce que fait RIPE sur le maintien d'une relation entre
> les inetnum et les routes, ca ne se fait pas chez les autres RIRs. Donc, 
> en dehors de l'Europe, l'utilisation des equivalents RIPE pour faire du
> filtrage est plutot un jeu dangereux...
  
A une époque lointaine (en temps Internet), Caribou Telecom aka
Tata Telecom avais une veille Sun dont c'etait l'unique job. Je
sais pas ce qu'il en est aujourd'hui, mais les techniques sont
toujours les meme, c'est donc plus une question de volonté/cout/facilité 
et temps de déploiement qu'un gros probleme technique.

> > Après reste plus qu'à mouliner les infos pour faire des filtres. Au niveau
> > des gros opérateurs c'est sur que ca risque de faire un gros packet de
> > filtres
> Et il est fort possible que la taille de la configuration au final ne rentre
> pas dans les routeurs qui sont supposes les mettre en oeuvre ;)
> 
> > En tout cas les upstream de beaucoup d'acteurs BGP lambda filtrent déjà 
> > les annonces de leurs clients... Ceux qui ne le font pas doivent avoir 
> Et pourtant, hier soir, YouTube disparaissait... et je doute que PCCW soit un
> acteur "lambda"...

Non mais comme c'est pas la premiere fois que des clients PCCW foute le
boxon loin de chez eux un jour ou l'autre ca va mal finir.

> > souvent des problemes, genre l'apprenti BGPien qui laisse passer des 
> > routes qui ne lui 'appartiennent' pas (enfin j'imagine)...
> Helas, si les gens apprenaient un peu du passe ! La, ca a fait du bruit parce
> que YouTube, mais ce n'est ni la premiere (ca, c'est de l'histoire), ni la
> derniere (ca, c'est du realisme) fois que ca se produit !
> 
> Oui, l'Internet est capable de resister a beaucoup de pannes materielles,
> mais la, c'est de l'utilisation d'Internet pour bloquer Internet... et ca 
> marche !

Oui, jusqu'a un certain point.

JC

-- 
"Je critique pas le côté farce
   mais pour le fair play y aurait quand même à dire" Audiard
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[Thomas Kernen]

Jean-Michel Planche wrote:
Tout le monde est en vacances ou encore sous le choc de la "rigolade" du 
WE ?

http://www.jmp.net/wordpress/?p=872



Il n'y a rien a dire. Malgre tous les "tutorials", les seances de 
"hands-on", les presentations lors des evenements phares (NANOG, RIPE, 
APRICOT), cela demontre que les operateurs ne sont toujours pas tous a 
jours et ne n'ont toujours pas compris l'interet de filtrer les 
announces de leurs clients BGP.


Ce qui me fait le plus rire ce sont les theories de conspirations de 
certains nos camarades operateurs bases en Amerique.


Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[Pierre Col | UbicMedia]

Oui, l'Internet est capable de resister a beaucoup de pannes
materielles, mais la, c'est de l'utilisation d'Internet pour bloquer
Internet... et ca marche !


Quand même, ça troue la fouille ! (c) Jesaisplusqui

--
Pierre Col - Directeur Marketing et Business Développement
[EMAIL PROTECTED] - 04 78 54 29 08 - 06 11 78 29 01 UbicMedia -
9 rue des Tuiliers - 69003 LYON - www.ubicmedia.com - www.pumit.com

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[Greg VILLAIN]

On Feb 25, 2008, at 6:40 PM, Manuel Guesdon wrote:


On Mon, 25 Feb 2008 17:55:20 +0100
Steven Le Roux <[EMAIL PROTECTED]> wrote:
SLR >| Quelle est la solution... ? que rien ne soit distribué et  
qu'un "GIE"

s'occupe des routes de la planetes ? je doute...

Le RIPE gère déjà ca sur les IPs qu'ils attribuent: avec leur bases  
on peut
savoir pour une route donnée qui est autorisé a l'annoncer. Au  
niveau des

autres organismes, je ne sais pas s'ils ont le même type de rigueur et
d'organisation...

Après reste plus qu'à mouliner les infos pour faire des filtres. Au  
niveau

des gros opérateurs c'est sur que ca risque de faire un gros packet de
filtres
Et ? "With great powers comes great responsibility" ... ca a toujours  
fait partie de leur métier non ?



En tout cas les upstream de beaucoup d'acteurs BGP lambda filtrent  
déjà

les annonces de leurs clients... Ceux qui ne le font pas doivent avoir
souvent des problemes, genre l'apprenti BGPien qui laisse passer des
routes qui ne lui 'appartiennent' pas (enfin j'imagine)...
Ca arrive régulièrement ( vous vous souvenez l'AS7007 ? http://www.merit.edu/mail.archives/nanog/1997-04/msg00444.html 
 ), on n'en parle pas quand il s'agit d'un Micro AS, c'est une  
affaire d'état quand il s'agit de YouTube Vs Pakistan (surtout suite  
aux coupures récentes de fibres dans le golfe persique.)
La seule chose que ça nous apprend c'est juste que TOUT AS (et pas  
seulement les carriers IPs) doivent soigneusement renseigner leurs  
imports et exports, surtout quand il a la chance de dépendre du RIPE  
(Pakistan Telekom) qui est de loin le RIR le plus rigoureux.


Manuel


Greg VILLAIN



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[Damien Bobillot]

Le 25 févr. 08 à 17:55, Steven Le Roux a écrit :

Une solution ne serait-elle pas d'amender l'opérateur pour les  
dégats occasionnés ? (si ce n'est pas fait)


Amender, pourquoi pas, mais sur quelle base juridique ? Dans un pays  
donné, on pourrait porter l'affaire devant un tribunal civil, afin de  
récupérer des dommages et intérêts.


Mais que faire quand c'est un pays lui même qui en est à l'origine ?  
Impossible de déposer plainte chez lui...


Quand à imposer un blacklistage de l'opérateur en question (ou de lui  
faire payer une amende via une surfacturation de son interconnexion  
avec le reste du monde), c'est plutôt difficile à réaliser, cf  
l'affaire RBN.


Quelle est la solution... ? que rien ne soit distribué et qu'un  
"GIE" s'occupe des routes de la planetes ? je doute...


Peut-être, mais ne pas oublier qu'il est inconcevable de remplacer BGP  
dans le cœur de réseau avant quelques dizaines d'années. Il n'y a qu'à  
voir ce qui se passe avec la migration IPv4 vers IPv6.


Ou alors, un GIE (ou autre type de groupement) qui met en place un  
moyen efficace de contre-carrer ce type d'attaques. La principale  
mesure de protection, c'est de contacter les opérateurs qui ont un  
peering avec l'opérateur/entreprise/état fautif, et de leurs demander  
de bloquer les annonces BGP falsifiées.


Le top 100 des opérateurs mondiaux pourraient avoir des procédures  
facilitant ce types de demandes entre eux. Par exemple des procédures  
prévalidées que les NOC pourraient déclencher chez leurs homologues.  
Ils pourraient aussi créer des listes d'opérateurs à risques, une  
cartographie des interconnexions entre opérateurs... Reste qu'il y  
aura toujours un délai incompressible, même avec des procédures les  
plus huilées possible, je pense de l'ordre de 1 ou 2H.


En revanche, et puisque c'est la mode des mesures débiles à base de  
fnac/dadvsi/etc... Si tu amendes un pays par le bloquage de ses  
plages à la suite de ce genre de comportement plus que douteux et  
arbitraire, je pense que leur activité économique va leur faire  
reconsidérer largement la question et on verrai bcp moins de joueur  
de flipper BGP.


Ça devient de la diplomatie, chose qui ne relève généralement pas de  
la logique. Blacklister un pays d'internet, ça revient à faire un  
blocus. Ça n'est pas du tout neutre, et je pense que vu l'état des  
mécanismes de sécurité actuels des systèmes connectés à internet, il  
ne faut absolument pas donner l'idée à un pays de lancer une  
cyberguerre.


Et puis, il y a des pays qui sont (restés) en blocus physique depuis  
pas mal de temps (cuba, iraq par exemple). Ce n'est pas ça qui a fait  
fléchir les gouvernements.


--
Damien Bobillot

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[Manuel Guesdon]

On Mon, 25 Feb 2008 19:46:08 +0100
Paul Rolland (ポール・ロラン) <[EMAIL PROTECTED]> wrote:
PR( >| Le RIPE gere des informations "administratives"... 

C'est justement l'interessant: le 'droit' d'annoncer des routes est 
administratif, non ?

PR( >| Ensuite, il faut en
PR( >| faire des configurations... Et c'est la que le bat blesse !

Oui :-)


PR( >| Ensuite (lire Nanog), ce que fait RIPE sur le maintien d'une relation
PR( >| entre les inetnum et les routes, ca ne se fait pas chez les autres
PR( >| RIRs. Donc, en dehors de l'Europe, l'utilisation des equivalents RIPE
PR( >| pour faire du filtrage est plutot un jeu dangereux...

Cela dit, les autres RIRs pourraient s'y mettre (hum, ca va peut etre prendre
quelques années...)



PR( >| Et il est fort possible que la taille de la configuration au final ne
PR( >| rentre pas dans les routeurs qui sont supposes les mettre en oeuvre ;)

En meme temps, si on regarde  http://www.cidr-report.org/as2.0/#General_Status
on voit que le plus grand nombre de prefixes annoncés par un as est de 1582
actuellement (sous reserve de mesure a peu pres correcte). 
Chaque border ne gerant qu'un nombre limité de peer BGP, ca ne fait pas
forcement enormement de filtres par routeur.
Cela dit faut un mecanisme de mise a jour bien éprouvé :-)



PR( >| > En tout cas les upstream de beaucoup d'acteurs BGP lambda filtrent
PR( >| > déjà les annonces de leurs clients... Ceux qui ne le font pas
PR( >| doivent avoir Et pourtant, hier soir, YouTube disparaissait... et je
PR( >| doute que PCCW soit un acteur "lambda"...

Dans ce cas précis, c'est plus une relation de 'gros' opérateur a 'gros'
opérateur donc effectivement, ils ne filtrent (filtraient) peut etre pas
(AS17557 semble balancer 300 et quelques prefixes dont un bon packet de /24).



PR( >| > souvent des problemes, genre l'apprenti BGPien qui laisse passer des 
PR( >| > routes qui ne lui 'appartiennent' pas (enfin j'imagine)...
PR( >| Helas, si les gens apprenaient un peu du passe ! La, ca a fait du
PR( >| bruit parce que YouTube, mais ce n'est ni la premiere (ca, c'est de
PR( >| l'histoire), ni la derniere (ca, c'est du realisme) fois que ca se
PR( >| produit ! 

Oui, il n'y a qu'a voir les annonces de blocs non attribués...


PR( >| Oui, l'Internet est capable de resister a beaucoup de pannes
PR( >| materielles, mais la, c'est de l'utilisation d'Internet pour bloquer
PR( >| Internet... et ca marche !

Oui :-(
Idem il n'a pas été trop concu dans un cadre mercantil mais plutot
collaboratif, du coup quand 2 opérateurs jouent au plus c*, ca pose probleme
aussi...


Manuel 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[frederic]

> Tout le monde est en vacances ou encore sous le choc de la "rigolade"
> du WE ?
> http://www.jmp.net/wordpress/?p=872
>

Ca fait longtemps que je propose de faire le routage sur le couple :

AS:IP source  et AS:IP destination.

CA nous debarasse du ripe et consors... (on reduit à la gestion d'une base
d'AS).
et de cette connerie d'ipv6

;)

a+
Frederic



>
> -
> Jean-Michel Planche   blog: 
> http://www.jmp.net
> Chairman and co-founder Witbe web : 
> http://www.witbe.net
> Follow me 
> http://www.twitter.com/jmplanche
> ---
> 2.0 Monitoring : relevant End to End monitoring for critical app. and
> carrier class services
>
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[ポール・ ロラン]

Bonsoir,

On Mon, 25 Feb 2008 18:40:36 +0100
Manuel Guesdon <[EMAIL PROTECTED]> wrote:

> On Mon, 25 Feb 2008 17:55:20 +0100
> Steven Le Roux <[EMAIL PROTECTED]> wrote:
> SLR >| Quelle est la solution... ? que rien ne soit distribué et qu'un "GIE"
> s'occupe des routes de la planetes ? je doute... 
> 
> Le RIPE gère déjà ca sur les IPs qu'ils attribuent: avec leur bases on peut
> savoir pour une route donnée qui est autorisé a l'annoncer. Au niveau des
> autres organismes, je ne sais pas s'ils ont le même type de rigueur et
> d'organisation...
Le RIPE gere des informations "administratives"... Ensuite, il faut en faire
des configurations... Et c'est la que le bat blesse !
Ensuite (lire Nanog), ce que fait RIPE sur le maintien d'une relation entre
les inetnum et les routes, ca ne se fait pas chez les autres RIRs. Donc, 
en dehors de l'Europe, l'utilisation des equivalents RIPE pour faire du
filtrage est plutot un jeu dangereux...
 
> Après reste plus qu'à mouliner les infos pour faire des filtres. Au niveau
> des gros opérateurs c'est sur que ca risque de faire un gros packet de
> filtres
Et il est fort possible que la taille de la configuration au final ne rentre
pas dans les routeurs qui sont supposes les mettre en oeuvre ;)

> En tout cas les upstream de beaucoup d'acteurs BGP lambda filtrent déjà 
> les annonces de leurs clients... Ceux qui ne le font pas doivent avoir 
Et pourtant, hier soir, YouTube disparaissait... et je doute que PCCW soit un
acteur "lambda"...
 
> souvent des problemes, genre l'apprenti BGPien qui laisse passer des 
> routes qui ne lui 'appartiennent' pas (enfin j'imagine)...
Helas, si les gens apprenaient un peu du passe ! La, ca a fait du bruit parce
que YouTube, mais ce n'est ni la premiere (ca, c'est de l'histoire), ni la
derniere (ca, c'est du realisme) fois que ca se produit !

Oui, l'Internet est capable de resister a beaucoup de pannes materielles,
mais la, c'est de l'utilisation d'Internet pour bloquer Internet... et ca 
marche !

Paul 

-- 
Paul RollandE-Mail : rol(at)witbe.net
Witbe.net SATel. +33 (0)1 47 67 77 77
Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99
F-92057 Paris La DefenseRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur 
"Some people dream of success... while others wake up and work hard at it" 

"I worry about my child and the Internet all the time, even though she's too 
young to have logged on yet. Here's what I worry about. I worry that 10 or 15 
years from now, she will come to me and say 'Daddy, where were you when they 
took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[Manuel Guesdon]

On Mon, 25 Feb 2008 17:55:20 +0100
Steven Le Roux <[EMAIL PROTECTED]> wrote:
SLR >| Quelle est la solution... ? que rien ne soit distribué et qu'un "GIE"
s'occupe des routes de la planetes ? je doute... 

Le RIPE gère déjà ca sur les IPs qu'ils attribuent: avec leur bases on peut
savoir pour une route donnée qui est autorisé a l'annoncer. Au niveau des
autres organismes, je ne sais pas s'ils ont le même type de rigueur et
d'organisation...

Après reste plus qu'à mouliner les infos pour faire des filtres. Au niveau
des gros opérateurs c'est sur que ca risque de faire un gros packet de
filtres

En tout cas les upstream de beaucoup d'acteurs BGP lambda filtrent déjà 
les annonces de leurs clients... Ceux qui ne le font pas doivent avoir 
souvent des problemes, genre l'apprenti BGPien qui laisse passer des 
routes qui ne lui 'appartiennent' pas (enfin j'imagine)...


Manuel 

--
__
Manuel Guesdon - OXYMIUM <[EMAIL PROTECTED]>
14 rue Jean-Baptiste Clement  -  93200 Saint-Denis  -  France
Standard: 0 811 093 286 (Cout d'un appel local)   Fax: +33 1 7473 3971
LD Support: +33 1 7473 3973   LD:  +33 1 7473 3980
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Ping: il n'y a plus personne ?

[Steven Le Roux]

On Mon, 25 Feb 2008 16:55:27 +0100, Jean-Michel Planche <[EMAIL PROTECTED]> 
wrote:
> Tout le monde est en vacances ou encore sous le choc de la "rigolade"
> du WE ?
> http://www.jmp.net/wordpress/?p=872
> 

Une solution ne serait-elle pas d'amender l'opérateur pour les dégats 
occasionnés ? (si ce n'est pas fait)

Sur un portail comme youtube... la somme devrait faire un peu peur à celui qui 
joue, mais ça n'enlève pas le caractère non sécuritaire dont tu parles : 
n'importe qui peut être routé n'importe où. Mais un "petit" n'aurait pas le 
même pouvoir dissuasif qu'un gros. 

Quelle est la solution... ? que rien ne soit distribué et qu'un "GIE" s'occupe 
des routes de la planetes ? je doute... 

En revenche, et puisque c'est la mode des mesures débiles à base de 
fnac/dadvsi/etc... Si tu amendes un pays par le bloquage de ses plages à la 
suite de ce genre de comportement plus que douteux et arbitraire, je pense que 
leur activité économique va leur faire reconsidérer largement la question et on 
verrai bcp moins de joueur de flipper BGP. 

Seulement... ce n'est pas faisable. Et même si ça l'était, personne n'aurait 
les burnes pour le faire.

-- 
Steven Le Roux
[EMAIL PROTECTED]
xmpp:[EMAIL PROTECTED]

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Ping: il n'y a plus personne ?

[Jean-Michel Planche]

Tout le monde est en vacances ou encore sous le choc de la "rigolade"  
du WE ?

http://www.jmp.net/wordpress/?p=872


-
Jean-Michel Planche blog: 
http://www.jmp.net
Chairman and co-founder Witbe   web : 
http://www.witbe.net
Follow me   
http://www.twitter.com/jmplanche
---
2.0 Monitoring : relevant End to End monitoring for critical app. and  
carrier class services