[GTER] Problema BGP - Cisco 7200 - IOS 15.X

Douglas Fischer fischerdouglas at gmail.com
Tue Nov 6 15:40:57 -02 2012 

Esse link aponta para uma thread meio velhinha, mas faz algum sentido
considerando a vizinhança com route-servers.
   http://www.gossamer-threads.com/lists/cisco/nsp/136079

As partes que achei interessante foram:
  - "bgp maxas-limit"
  - "no bgp enforce-first-as"
  - Referência ao bug CSCsy27511
  - "dont-capability-negotiate"

Em 6 de novembro de 2012 15:20, Douglas Fischer
<fischerdouglas at gmail.com>escreveu:

> Guilherme,
> existe uma vulnerabilidade utilizando atributos mal formados que comprome
> tem o seu IOS.
>
> http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-bgp
>       - Se o seu problema advir dessa vulnerabilidade você for para o
> release T, isso deve ser corrigido.
>
> Existe também um registro de assinatura para ataques de negação de serviço
> utilizando essa vulnerabilidade.
>
> http://tools.cisco.com/security/center/viewIpsSignature.x?signatureId=1346&signatureSubId=0
>
>
> Em 6 de novembro de 2012 14:49, Douglas Fischer <fischerdouglas at gmail.com>escreveu:
>
> Tem como mandar a configuração do BGP e respectivos filtros?
>>  - Não esqueça de suprimir informações confidenciais.
>>
>> Isso acontece especificamente no neighbor do PTT ou em outros mais?
>>    Tentou ativar o debug do BGP para esse neighbor e limpar a sessão?
>>    ***Qual PTT? Se forem muitas rotas, não faça o debug. Podes congelar
>> o roter***
>>
>>
>> Em 6 de novembro de 2012 05:52, Guilherme de Freitas Figueiredo <
>> gff at wkve.com.br> escreveu:
>>
>> Senhores,
>>>
>>>  Estou com um problema estranho acontecendo com o router de borda com o
>>> PTT.
>>>
>>>  De acordo com várias pesquisas no google, o que indica é que estou
>>> recebendo mais de 255 AS Hops e que a solução seria a opção de limitar a
>>> quantidade de hops utilizando o bgp maxas-limit , tentei de diversas
>>> maneiras mas não obtive sucesso.
>>>
>>>  O que acontece é o seguinte, com a IOS 15.0 a sessão nem subia, quando
>>> recebia a mensagem de erro ela automaticamente caia. Com a IOS 15.2 a
>>> sessão sobe, envio os prefixos ao PTT mas não recebo nenhum dele.
>>>
>>>  As mensagens de erro que recebo são as seguintes:
>>>
>>> Nov  6 05:36:08.567 GMT-2: %BGP-6-MSGDUMP_LIMIT: unsupported or
>>> mal-formatted message received from 187.16.216.254:
>>> FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0058 0200 0000 1940 0101 0050
>>> 0200 0A02
>>> 0200 006E 0500 006E 0540 0304 BB10 D89B 14BB 3ED0 16C8 E5EC 16C8 E5E8
>>> 16C8 E5E4
>>> 16C8 E5E0 14C8 E5E0 16BB 3EDC 16BB 3ED8 16BB 3ED4 16BB 3ED0
>>> Nov  6 05:36:08.567 GMT-2: %BGP-6-MALFORMEDATTR: Malformed optional
>>> transitive attribute in (BGP(0) Prefixes: 187.62.208.0/20
>>> 200.229.236.0/22 200.229.232.0/22 ) received from 187.16.216.254,
>>> Nov  6 05:37:49.830 GMT-2: %BGP-6-MSGDUMP_LIMIT: unsupported or
>>> mal-formatted message received from 187.16.216.253:
>>> FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF 0063 0200 0000 2840 0101 0050
>>> 0200 1202
>>> 0400 0032 BD00 002D 4400 004A 2E00 006B 0B40 0304 BB10 D8B1 C008 0466
>>> 3232 BD14
>>> 4012 3017 4012 3E18 4012 3118 4012 3418 4012 3518 4012 3018 4012 3A18
>>> 4012 3B18
>>> 4012 3C
>>> Nov  6 05:37:49.830 GMT-2: %BGP-6-MALFORMEDATTR: Malformed optional
>>> transitive attribute in (BGP(0) Prefixes: 64.18.48.0/20 64.18.62.0/23
>>> 64.18.49.0/24 ) received from 187.16.216.253,
>>>
>>>
>>>  Alguém já passou por algum problema semelhante a esse? Estou meio que
>>> descartando o downgrade do IOS por causa do suporte a AS de 32bits.
>>>
>>>  Já utilizei as seguintes IOSs:
>>>
>>> c7200p-adventerprisek9-mz.150-**1.M9.bin
>>> c7200p-adventerprisek9-mz.152-**4.S.bin
>>>
>>> --
>>> Att,
>>>
>>> Guilherme de Freitas Figueiredo - gff at wkve.com.br - 33.9140.3666
>>> Gerência de Redes - WKVE Telecom - http://www.wkve.com.br - 33.2102.3332
>>> Rua João Pinheiro, 599 - Lj 1 - Centro - Governador Valadares - MG
>>>
>>> --
>>> gter list    https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>>>
>>
>>
>>
>> --
>> Douglas Fernando Fischer
>> Engº de Controle e Automação
>>
>>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
>
>


-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list