[GTER] Ataques entrando pelo PTT-SPO com origem ASN 6939 ( HE )

Douglas Fischer fischerdouglas at gmail.com
Thu Jul 14 11:06:35 -03 2016 

P.S.: Segue abaixo um RFG - Request For Gambiarra!
      Chá de cogumelo é pouco!

O que teria como ser feito(mais é um baita enjambre) é quebrar o protocolo
e inventar um "campo" de para definir ações de communities que seria válido
EXCLUSIVAMENTE dentro do escopo do PTT.

Como poderíamos fazer isso?
Considerando que não existem ASNs verdadeiros que tenham número maior que
536870911(bin11111111111111111111111111111), e presumindo que vão demorar
MUITO para existir, poderíamos roubar os 3 primeiros bits da palavra de
dados da Community.

Hipotética tabela de ações de Community:
 111 - 57344 - 3758096384 - BLACKHOLE GERAL dessa rota
 110 - 49152 - 3221225472 - BLACKHOLE dessa rota somente para ASN "Tal"
 101 - 40960 - 2684354560 - Não divulgar para o ASN "Tal"
 100 - 32768 - 2147483648 - Divulgar Apenas para o ASN "Tal"
 011 - 24576 - 1610612736 - Futuras definições
 010 - 16384 - 1073741824 - Futuras definições
 001 -  8192 -  536870912 - Futuras definições
 000 -     0 -          0 - Nulo(igual a outras communities)
                              - mantém fora das ações de community do IX.BR
Aonde "Tal" seria um ASN de até 29 bits que receberia a ação desejada na
tabela acima.




Para ASNs de destino que sejam 16 bits(até 65535)
a utilização dessa metodologia de communities seria bem straightforward

Exemplos para o Google(AS15169)
 - Por favor senhor RouteServer, repasse o meu prefixo
   129.66.10.10/32 como BlackHole para TODO MUNDO desse IX
   Community -> 57344:0
 - Por favor senhor RouteServer, repasse o meu prefixo
   129.66.10.10/32 como BlackHole para o Google
   Community -> 49152:15169
 - Por favor senhor RouteServer, NÃO repasse o meu prefixo
   129.66.10.0/24 para o Google
   Community -> 40960:15169
 - Por favor senhor RouteServer, repasse o meu prefixo
   129.66.10.0/24 SOMENTE o Google
   Community -> 32768:15169


Para ASNs de destino que sejam 32 bits(maiores que 65535)
a definição do ASN seria MUITÍSSIMO MAIS TRABALHOSA, dependendo de cálculos
matemáticos:

Exemplos para o TIVIT(AS263071 ou AS4:927)
 - Por favor senhor RouteServer, repasse o meu prefixo
   129.66.10.10/32 como BlackHole para TODO MUNDO desse IX
   Community -> 3758096384 ou 57344:0
 - Por favor senhor RouteServer, repasse o meu prefixo
   129.66.10.10/32 como BlackHole para a TIVIT
   Community -> 3221488543 ou 49156:927
 - Por favor senhor RouteServer, não repasse o meu prefixo
   129.66.10.0/24 para o TIVIT
   Community -> 2684617631 ou 40964:927
 - Por favor senhor RouteServer, repasse o meu prefixo
   129.66.10.0/24 SOMENTE o TIVIT
   Community -> 2147746719 ou 32772:927


Em 14 de julho de 2016 10:00, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

> Não!
> Extended community(salvo engano) é só uma tabelinha de "nomes mnemônicos
> vs código numérico".
>
> No BGP a palavra de dados para community é de 32 bits.
> Não tem como fazer caber mais dados ali dentro...
>
>
>
> Em 13 de julho de 2016 19:26, Josivan Barbosa <josivan.barbosa01 at gmail.com
> > escreveu:
>
>> Extended community[1] poderia resolver essa questão?
>>
>> [1] - https://tools.ietf.org/html/rfc5668
>> <
>> https://mailtrack.io/trace/link/e6a6017e7211f38e26d1dd0e007a576ec7580e0c?url=https%3A%2F%2Ftools.ietf.org%2Fhtml%2Frfc5668&signature=3cd0ec739b616ab8
>> >
>>
>>
>>
>>
>> Em 13 de julho de 2016 13:35, Douglas Fischer <fischerdouglas at gmail.com>
>> escreveu:
>>
>> > Qual seria a community de negar as rotas para o AS Hipotético de número
>> > 3500000000?
>> >
>> > Em 13 de julho de 2016 12:40, Josivan Barbosa <
>> josivan.barbosa01 at gmail.com
>> > >
>> > escreveu:
>> >
>> > > Exemplo de um IXP com algumas políticas com communities:
>> > >
>> > > aut-num:        AS8550
>> > > org:            ORG-LL117-RIPE
>> > > as-name:        LONAP-MLP
>> > > admin-c:        AS8330-RIPE
>> > > tech-c:         AS8330-RIPE
>> > > remarks:        For information on "status:" attribute read
>> > >
>> >
>> https://www.ripe.net/data-tools/db/faq/faq-status-values-legacy-resources
>> > > <
>> > >
>> >
>> https://mailtrack.io/trace/link/943d9055c720c2aa9ed865740585f638a58f3157?url=https%3A%2F%2Fwww.ripe.net%2Fdata-tools%2Fdb%2Ffaq%2Ffaq-status-values-legacy-resources&signature=d2d2eb94f6187b27
>> > > >
>> > > status:         ASSIGNED
>> > > mnt-by:         AS8330-MNT
>> > > mnt-by:         RIPE-NCC-END-MNT
>> > > created:        2005-02-22T09:16:15Z
>> > > last-modified:  2016-04-14T10:16:00Z
>> > > source:         RIPE
>> > > remarks:        For connected networks see AS-LONAP-MLP or
>> > AS-LONAP-MLP-v6
>> > > remarks:
>> --------------------------------------------------------
>> > > remarks:        Communities to control route re-distribution:
>> > > remarks:        8550:8550 - propagate to all destination networks
>> > > remarks:        8550:n - propagate to AS n
>> > >
>> > >
>> > >
>> > > remarks:        0:8550 - deny to all destination networks
>> > >
>> > >
>> > >
>> > > remarks:        0:n - deny to AS n
>> > >
>> > >
>> > >
>> > > remarks:        Default policy is PERMIT ALL, so for a closed peering
>> > >
>> > >
>> > >
>> > > remarks:        policy set 0:8550 on all routes.
>> > >
>> > >
>> > >
>> > > remarks:
>> > >
>> > >
>> > >
>> > > remarks:
>> --------------------------------------------------------
>> > >
>> > >
>> > >
>> > >
>> > >
>> > > Em 13 de julho de 2016 12:05, Douglas Fischer <
>> fischerdouglas at gmail.com>
>> > > escreveu:
>> > >
>> > > > Por isso da sugestão do encampe pelo CGI ou da criação de um novo
>> > serviço
>> > > > também pelo GCI.
>> > > >
>> > > >
>> > > >
>> > > > Em 13 de julho de 2016 11:05, Leonardo Amaral - Listas <
>> > > > listas at leonardoamaral.com.br> escreveu:
>> > > >
>> > > > > Fato conhecido que o irr.net.br pode cair "a revelia".
>> > > > >
>> > > > > Att,
>> > > > >
>> > > > >
>> > > > >
>> > > > > [image: --]
>> > > > >
>> > > > > Leonardo Amaral
>> > > > > [image: https://]about.me/leonardo.amaral
>> > > > > <
>> > > > >
>> > > >
>> > >
>> >
>> https://about.me/leonardo.amaral?promo=email_sig&utm_source=email_sig&utm_medium=email_sig&utm_campaign=external_links
>> > > > > >
>> > > > >
>> > > > > Em 12 de julho de 2016 18:46, Rubens Kuhl <rubensk at gmail.com>
>> > > escreveu:
>> > > > >
>> > > > > > 2016-07-12 13:55 GMT-03:00 Douglas Fischer <
>> > fischerdouglas at gmail.com
>> > > >:
>> > > > > >
>> > > > > > > ix.[BR]
>> > > > > > > irr.net.[BR]
>> > > > > >
>> > > > > >
>> > > > > > Todo brasileiro pode registrar um domínio .net.[BR]... ;-)
>> > > > > >
>> > > > > > Sobre o irr.net.br, os diversos membros estrangeiros do IX.br
>> não
>> > o
>> > > > > usam -
>> > > > > > e muitas vezes são os que geram mais tráfego como Google,
>> Facebook,
>> > > > > Akamai
>> > > > > > etc. Vários AS brasileiros usam o RADB ou outros IRR e não o
>> > > > irr.net.br
>> > > > > > pois querem a percepção de nível de serviço gerada por pagar por
>> > > > isso...
>> > > > > >
>> > > > > > ... tanto não é factível restringir que praticamente todos os
>> IRRs
>> > > > > espelham
>> > > > > > os outros. E aí a informação tem qualidade variada: vai desde o
>> > RIPE
>> > > > > onde o
>> > > > > > IRR é apenas uma forma diferente de listar os objetos do banco
>> de
>> > > dados
>> > > > > > deles, até IRRs totalmente desacoplados de autoridades de
>> alocação
>> > > (ex:
>> > > > > > RADB).
>> > > > > >
>> > > > > >
>> > > > > > Rubens
>> > > > > > --
>> > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
>> > > > > >
>> > > > > --
>> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
>> > > > >
>> > > >
>> > > >
>> > > >
>> > > > --
>> > > > Douglas Fernando Fischer
>> > > > Engº de Controle e Automação
>> > > > --
>> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
>> > > >
>> > >
>> > >
>> > >
>> > > --
>> > > Att
>> > >
>> > > Josivan Barbosa
>> > > --
>> > > gter list    https://eng.registro.br/mailman/listinfo/gter
>> > >
>> >
>> >
>> >
>> > --
>> > Douglas Fernando Fischer
>> > Engº de Controle e Automação
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>>
>>
>>
>> --
>> Att
>>
>> Josivan Barbosa
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list