Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
ASN left neighbours
21-09-2020, 15:02 door Anoniem, 4 reacties
Ripe heeft een tool om AS informatie op te halen.
https://stat.ripe.net/AS99999
Nu zie ik bij één ASN dat deze twee left Neighbours heeft:
ASN 1: datacenterinfrastructuurbedrijf
ASN 2: Anti-DDoS bedrijf
Hoe moet ik dit lezen: dat verkeer altijd via ASN 1 of ASN 2 wordt gerouteerd?
Waarom staat den Anti-DDoS ASN al voorgeconfigureerd? Is dit vanwege snelheid?
https://stat.ripe.net/AS99999
Nu zie ik bij één ASN dat deze twee left Neighbours heeft:
ASN 1: datacenterinfrastructuurbedrijf
ASN 2: Anti-DDoS bedrijf
Hoe moet ik dit lezen: dat verkeer altijd via ASN 1 of ASN 2 wordt gerouteerd?
Waarom staat den Anti-DDoS ASN al voorgeconfigureerd? Is dit vanwege snelheid?
Reacties (4)
Door Anoniem: Ripe heeft een tool om AS informatie op te halen.
https://stat.ripe.net/AS99999
Nu zie ik bij één ASN dat deze twee left Neighbours heeft:
ASN 1: datacenterinfrastructuurbedrijf
ASN 2: Anti-DDoS bedrijf
Hoe moet ik dit lezen: dat verkeer altijd via ASN 1 of ASN 2 wordt gerouteerd?
Waarom staat den Anti-DDoS ASN al voorgeconfigureerd? Is dit vanwege snelheid?
https://stat.ripe.net/AS99999
Nu zie ik bij één ASN dat deze twee left Neighbours heeft:
ASN 1: datacenterinfrastructuurbedrijf
ASN 2: Anti-DDoS bedrijf
Hoe moet ik dit lezen: dat verkeer altijd via ASN 1 of ASN 2 wordt gerouteerd?
Waarom staat den Anti-DDoS ASN al voorgeconfigureerd? Is dit vanwege snelheid?
Als je het echte AS noemt kan ik kijken.
'left neighbour' is geen normale routing term.
Als ze een anti-DDoS filter-AS willen (kunnen) gebruiken als upstream zullen ze dat inderdaad tevoren moeten opnemen in de RIPE DB - moeten, omdat netwerken die netjes filteren op BGP updates hun policies bouwen op basis van wat in de routing registries staat.
Als ze een anti-DDoS filter-AS willen (kunnen) gebruiken als upstream zullen ze dat inderdaad tevoren moeten opnemen in de RIPE DB - moeten, omdat netwerken die netjes filteren op BGP updates hun policies bouwen op basis van wat in de routing registries staat.
Hetgeen overigens geen keihard feit is / of het best gezegd: incorrect gebruik van het woord "moeten".Door Anoniem:
Als ze een anti-DDoS filter-AS willen (kunnen) gebruiken als upstream zullen ze dat inderdaad tevoren moeten opnemen in de RIPE DB - moeten, omdat netwerken die netjes filteren op BGP updates hun policies bouwen op basis van wat in de routing registries staat.
Hetgeen overigens geen keihard feit is / of het best gezegd: incorrect gebruik van het woord "moeten".tsja, het verschil tussen 5 regels forum post en een design document.
Je bent wel een mierenneuker , want de uitleg van het 'moeten' staat er nog bij : netwerken die netjes filteren verwachten in toenemende mate dat in de RIPE (+andere registries) te vinden is wat er verwacht mag worden aan prefixen/AS bronnen.
Met je _directe_ partners (upstream/peers) kun je dan rechtstreeks aangeven wat je doet -en willen ze misschien accepteren dat je je administratie slordig doet - als 'verderop' besluit strict te filteren op basis van de databases heb je pech wanneer je dat niet bijgewerkt hebt.
Er zijn geen left of right neighbors. Waar komt deze kwatsch vandaan?
Een ASN routeert niet. Je BGP server doet dat al na gelang de BGP config, paths, routes, TOS enzovoort.
Je peers kun je op betrouwbaarheid instellen.
Waarschijnlijk kijk jij in een Looking Glass tool en ziet een weergave van 1 BGP path met een schematische voorstelling van ASNs. Missschien staan ze daarom links van je op je HTML output van de Looking Glass tool.
Om je vraag te beantwoorden.. Nee het verkeer gaat niet altijd zo. Pak eens een goeie LG tool en check van meerdere geografische lokaties over een langere tijd i.p.v. een snapshot. Als het goed is zul je andere paden ontdekken tenzij je te maken hebt met een MKBer die niet op een IX zit en verder niet aan peering doet.
Maar goed... voor mij is dit ook weer 16 jaar geleden deze materie
Een ASN routeert niet. Je BGP server doet dat al na gelang de BGP config, paths, routes, TOS enzovoort.
Je peers kun je op betrouwbaarheid instellen.
Waarschijnlijk kijk jij in een Looking Glass tool en ziet een weergave van 1 BGP path met een schematische voorstelling van ASNs. Missschien staan ze daarom links van je op je HTML output van de Looking Glass tool.
Om je vraag te beantwoorden.. Nee het verkeer gaat niet altijd zo. Pak eens een goeie LG tool en check van meerdere geografische lokaties over een langere tijd i.p.v. een snapshot. Als het goed is zul je andere paden ontdekken tenzij je te maken hebt met een MKBer die niet op een IX zit en verder niet aan peering doet.
Maar goed... voor mij is dit ook weer 16 jaar geleden deze materie
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
