[GTER] BOGON - ASN 23456 sendo anunciado na Ucrania e Russia

Andre Gustavo de C. Albuquerque gustavo.albuquerque at gmail.com
Wed Jul 1 20:38:42 -03 2009 

Caros,
Tive a informação de um cliente que há alguns anúncios na Internet
originados teoricamente do AS_TRANS (23456), que deveria estar reservado
apenas para transição de implementações BGP de ASN de 2 para 4 bytes.

Este cliente me citou os prefixos 91.213.29.0/24, 194.0.68.0/22 e
195.88.154.0/23 como exemplo de anúncios com AS_TRANS.

O prefixo 193.178.118.0/24 é um exemplo de um originado em um ASN de 4
bytes.

Utilizando uma implementação BGP New Speaker disponível na Internet (
route-views4.routeviews.org), pude avaliar estes prefixos e verificar que há
de fato vazamento deste AS_TRANS na Internet, de forma indevida.

Provavelmente o vazamento decorre de agregação de prefixos originados em ASN
de 4 bytes em implementações BGP Old Speakers, quando se perde a informação
de AS4_PATH.

Vejam:
route-views4.routeviews.org> sh ip bgp 91.213.29.0/24
BGP routing table entry for 91.213.29.0/24
Paths: (7 available, best #5, table Default-IP-Routing-Table)
  Not advertised to any peer
  3267 9002 40965 23456
    194.85.40.15 from 194.85.40.15 (193.232.80.7)
      Origin IGP, localpref 100, valid, external
      Last update: Wed Jul  1 12:26:55 2009

  31500 3267 9002 40965 23456
    95.140.80.254 from 95.140.80.254 (1.0.0.10)
      Origin IGP, metric 0, localpref 100, valid, external
      Last update: Wed Jul  1 12:55:23 2009

  48285 16150 9002 40965 23456
    194.71.0.1 from 194.71.0.1 (194.71.0.1)
      Origin IGP, localpref 100, valid, external
      Community: 48285:100
      Last update: Wed Jul  1 12:26:42 2009

  3727 2914 2914 9002 40965 23456
    198.58.5.127 from 198.58.5.127 (198.58.5.127)
      Origin IGP, localpref 100, valid, external
      Last update: Wed Jul  1 12:26:35 2009

*  2914 9002 40965 23456*
*    129.250.1.248 from 129.250.1.248 (129.250.0.124)*
*      Origin IGP, metric 642, localpref 100, valid, external, best*
*      Community: 2914:410 2914:2202 2914:3200*
*      Last update: Wed Jul  1 12:26:34 2009*

  293 2914 9002 40965 23456
    198.124.216.237 from 198.124.216.237 (134.55.200.100)
      Origin IGP, localpref 100, valid, external
      Community: 293:14
      Last update: Wed Jul  1 12:26:33 2009

  11537 3549 9002 40965 23456
    64.57.29.241 from 64.57.29.241 (64.57.29.241)
      Origin IGP, metric 0, localpref 100, valid, external
      Community: 11537:25200
      Last update: Wed Jul  1 12:26:40 2009

O que há de comum nestes anúncios é que passaram todos pelos ASNs
40965 (EASTNET-UA-AS, Rise-v, Ltd., Ucrania) e 9002 (RETN-AS, ReTN.net
Autonomous System,UK e Russia)

Que ações vocês têm tomados em relação a isso? Filtrado como bogon?

(Obs: não estou falando de implementações Old Speakers, que não suportam ASN
de 4 bytes, e que devem aceitar o ASN 23456 sem filtrar).

Abs, Gustavo

More information about the gter mailing list