Буду краток.
Размер BGP full-view приблизился к отметке в 512K записей, что начало приводить к проблемам у старых маршрутизаторов. Подвержены как минимум Cisco 7600, Cisco ASR 9000, Cisco ASR 1000 и Cisco Catalyst 6500.
Проблемы с доступом возникли, в частности, у Comcast, LastPass и eBay, местами недоступны российские ресурсы.
В качестве временного решения предлагается увеличение IPv4 таблицы маршрутизации за счёт таблицы IPv6.
Читать полностью »
Рубрика «BGP» - 8
Проблемы со связностью интернета из-за разрастания BGP full-view
2014-08-14 в 1:49, admin, рубрики: BGP, связность, Сетевые технологии, системное администрированиеХакеры воровали криптовалюту подменой BGP-анонсов mining pool’ов
2014-08-11 в 10:39, admin, рубрики: BGP, bitcoin, информационная безопасность, Сетевые технологии 
По информации от команды Dell SecureWorks Counter Threat Unit, неизвестные лица анонсировали IP-адреса крупных mining pool'ов криптовалют Bitcoin, Dogecoin, HoboNickels и Worldcoin в течение 4 месяцев: с 3 февраля по 12 мая 2014 года. Провернуть такое было возможно из-за отсутствия как проверки подлинности сервера, так и шифрования в протоколе Stratum, который используется большинством пулов.
Первые ноты подозрительной активности заметил пользователь caution с форума bitcointalk 22 марта. Его майнеры подключились к неизвестному IP-адресу и, по какой-то причине, перестали майнить.
Злоумышленники анонсировали IP-адреса пулов только на короткое время, вероятно, всего в течение нескольких минут или секунд, завершали TCP-соединение, всем переподключившимся майнерам отправляли команду reconnect с указанием адреса своего mining pool, затем убирали анонс. Всего им удалось заполучить около $83000 за все 4 месяца. Читать полностью »
Защита от DDOS атак средствами BGP
2014-02-11 в 8:26, admin, рубрики: BGP, blackhole, ddos, juniper, информационная безопасность, Сетевые технологии, метки: BGP, blackhole, ddos, juniper Сервера, размещенные в сети администрируемой мной AS, часто подвергаются различным DDOS атакам. Целью атакующих могут быть, как отдельные ресурсы размещенные на серверах, сами сервера и вся площадка в целом. С каждым месяцем количество, сложность и мощность атак возрастает. Атаки в 300-400Мб/с выросли до 70-80Гб/с. В этой ситуации не все атаки могут быть отражены тюнингом серверов, а крупные атаки могут помешать работе и всей площадки в целом. Бороться с такими атаками необходимо силами всей команды хостинга. Сетевые администраторы также должны иметь средства борьбы с такими атаками на сетевом уровне. О таких средствах и пойдет речь под катом.
Читать полностью »
Защита от DoS/DDoS атак с помощью фильтрации по номеру автономной системы (ASN)
2013-12-27 в 8:18, admin, рубрики: asn, BGP, ddos, geoip, iptables, linux, Блог компании FastVPS LLC, метки: asn, BGP, ddos, geoip, iptables, linuxВведение
В свете новогодних праздников с их неотъемлемым атрибутом — повышенной активностью DoS/DDoS атак хотелось бы поднять один довольно редко используемый (но при этом довольно эффективный) способ отражения атак — блокировка на основании принадлежности блоков IP адресов определенному провайдеру/Дата Центру.
.jpg "Защита от DoS/DDoS атак с помощью фильтрации по номеру автономной системы (ASN)")
Читать полностью »
Сертификация CCNP Service Provider
2013-12-24 в 11:33, admin, рубрики: BGP, ccnp, certification, Cisco, MPLS, Сетевые технологии, метки: BGP, ccnp, certification, Cisco, MPLS Приветствую!
В силу профессиональных интересов, я довольно часто натыкаюсь на статьи о том, как готовиться и сдавать те или иные сертификационные экзамены небезызвестного вендора Cisco. Но вот беда! Не все направления сертификации одинаково популярны. Про всеми любимый Routing and Switching (R&S) пишут всегда и везде, чуть реже обсуждают Voice и Security, а некоторые треки и вовсе остаются без внимания. На днях я закончил сдавать трек CCNP Service Provider. Достижение небольшое, то ли дело коллеги, сдающие CCIE. Цель, как ни крути, благородная, даже если работаешь с разными вендорами.
Уровень «Professional» можно достичь гораздо быстрее, о нём и поговорим.
Балансировка каналов — два провайдера, AS, BGP, NAT
2013-09-02 в 22:46, admin, рубрики: BGP, linux, nat, Алгоритмы, балансировка трафика, маршрутизация, Сетевые технологии, метки: BGP, nat, АС, балансировка трафика, маршрутизация Спасибо Хабру, много полезного тут для себя нашел. Думаю, пора «отдавать долги».
Хочу описать алгоритм, который работает больше года на моем шлюзе для балансировки каналов (Гбит трафика, 8k клиентов, 2 провайдера, AS на 1k адресов, большинство клиентов за NAT). Возможно, кому-то пригодится. Во всяком случае, ничего похожего не встречал и когда специально искал — не нашел. Так что полностью мое детище.
Конечно, указанный алгоритм нельзя считать универсальным, подойдет только в подходящих условиях.
Итак, исходные:
— Шлюз на Linux (Debian 6). Используется пакет quagga (бывший zebra).
— Два провайдера (пусть будут ТТК и РТК). Каждый дает канал определенной толщины, «лишнее» режет.
— AS на 1k адресов (пусть будет 1.1.144.0/22). AS0000.
— Большинство клиентов имеют серые адреса (пусть будет 192.168.0.0/16), «клиентские» сети 192.168.1-99.0/24, на шлюзе натятся.
— Небольшая часть клиентов имеют белые адреса в пространстве моей AS.
Задача:
Обеспечить равномерную загрузку каналов ТТК и РТК входящим трафиком для исключения перегрузки каналов.
Читать полностью »
Сети для самых маленьких. Часть восьмая. BGP и IP SLA
2013-06-24 в 7:53, admin, рубрики: BGP, ip sla, linkmeup, балансировка трафика, Сетевые технологии, сети для самых маленьких, системное администрирование, Телекомы, метки: BGP, ip sla, linkmeup, АС, балансировка трафика, сети для самых маленькихВсе выпуски
7. Сети для самых маленьких. Часть седьмая. VPN
6. Сети для самых маленьких. Часть шестая. Динамическая маршрутизация
5. Сети для самых маленьких: Часть пятая. NAT и ACL
4. Сети для самых маленьких: Часть четвёртая. STP
3. Сети для самых маленьких: Часть третья. Статическая маршрутизация
2. Сети для самых маленьких. Часть вторая. Коммутация
1. Сети для самых маленьких. Часть первая. Подключение к оборудованию cisco
0. Сети для самых маленьких. Часть нулевая. Планирование
6. Сети для самых маленьких. Часть шестая. Динамическая маршрутизация
5. Сети для самых маленьких: Часть пятая. NAT и ACL
4. Сети для самых маленьких: Часть четвёртая. STP
3. Сети для самых маленьких: Часть третья. Статическая маршрутизация
2. Сети для самых маленьких. Часть вторая. Коммутация
1. Сети для самых маленьких. Часть первая. Подключение к оборудованию cisco
0. Сети для самых маленьких. Часть нулевая. Планирование
До сих пор мы варились в собственном соку – VLAN’ы, статические маршруты, OSPF. Плавно росли над собой из зелёных студентов в крепких инженеров.
Теперь отставим в сторону эти игрушки, пришло время BGP.
Сегодня мы
- Разбираемся с протоколом BGP: виды, атрибуты, принципы работы, настройка
- Подключаемся к провайдеру по BGP
- Организуем резервирование и распределение нагрузки между несколькими линками
- Рассмотрим вариант резервирования без использования BGP – IP SLA
BGP community routing policy
2013-05-15 в 10:03, admin, рубрики: BGP, community, маршрутизация, Сетевые технологии, Телекомы, метки: BGP, community, маршрутизация 
В этой статье пойдёт речь об использовании атрибута community протокола BGP для управления анонсированием сетей. Статья будет полезна новичкам в BGP, имеющим базовое представление об этом протоколе. Тут не будет листингов с конфигами, которые всё равно никто не читает, да и у разных вендоров они отличаются, но будет объяснение принципов и возможностей использования community.
Миллион PPS в секунду — связанность и балансировка
2013-05-13 в 15:18, admin, рубрики: BGP, deploy, highload, salt, Песочница, метки: BGP, deploy, highload, salt 
На последней конференции РИТ++ мне посчастливилось стать впервые докладчиком конференции такого масштаба и такой значимости. В этой статье я не просто хочу пересказать всё, о чём я докладывал. Выступать впервые перед такой большой аудиторией для меня было непривычно и я половину забыл рассказать, нервничал немного. Речь пойдет о создании с нуля собственной отказоустойчивой структуры для веб-проектов. Мало кому из системных администраторов дается возможность с нуля запустить в production крупный проект. Мне повезло.
Как я уже написал, я не смог рассказать всё, что планировал со сцены, в этой статье я восполню эти пробелы, да и для того, кто не смог там присутствовать — это будет приятно, видео с конференции так и не дали бесплатно всем. Да и стать пользователем Хабра я хотел давно, вот только не было времени. Майские праздники дали время и силы. Статья будет не столько технической с кучей конфигов и графиков — статья будет принципиальная, все пробелы мелких технических вопросов можно будет восполнить в комментариях.
Читать полностью »
Border Gateway Protocol. Лабораторная работа
2013-04-21 в 8:40, admin, рубрики: BGP, GNS3, Песочница, Сетевые технологии, Телекомы, метки: BGP, GNS3 Привет! Моя первая статья и в ней я хочу представить небольшую лабораторную работу по конфигурации протокола BGP (Border Gateway Protocol) на маршрутизаторах Cisco. Многие из вас слышали что такое BGP, но не всем довелось опробовать данный протокол на практике. Именно для них и будет интересна данная лабораторная работа.
В статье будет мало теории, поэтому для тех кто впервые слышит о BGP отправляю сначала посетить это, это или, собственно, это.
Читать полностью »