Вопрос по сетям — в связи с санкциями. Можно ли встроить в EBGP свою AS без её регистрации в IANA?
Навеяно поведением компании Cisco.
Извините, всё-таки обучение по Болонской системе имеет явные недостатки. Рассказывают, что и как работает, если всё идёт штатно. Стивенс Уильям думал иначе и показывал на практике отличия реализации от RFC на примере конкретной ОС.
Меня это тоже заставило задуматься и вспомнить устройство интернета.
Допустим, на Россию наложат санкции и IANA перестанет выдавать IP-адреса…
Ну ладно, свои корневые серверы имён у нас есть, поднять дочерние не проблема. Все адреса IPv6 ещё не распределены, поэтому можно самостоятельно взять парочку блоков из нераспределённых. Да и из распределённых тоже — всё-таки конфликт IP-адресов бывает только внутри одной сети. Да и дело не в адресе, а в построении маршрута к нему. А чтобы встроиться в схему маршрутизации BGP, нужно иметь свою автономную систему (AS) – но ASN (номера AS) так же присваиваются (и регистрируются) IANA. Так вот, оказывается, я очень мало знаю по принципам работы AS. Есть ли способ встраиваться в интернет-систему, игнорируя IANA и прописывать свои маршруты к конкретным IP-адресам? Я могу провести такой эксперимент у себя дома, но извините — интернет не домашняя сеть, а маршрутизаторы в ней должны доверять друг другу. Скормить интернет-маршрутизатору External BGP парочку левых маршрутов — задачка немножко более сложная и явно превышает возможности домашнего эксперимента.
Я не питаю иллюзий: выдаваемые адреса привязаны к местности и определить, какой стране принадлежит конкретный адрес и заблокировать его — даже наш Роскомнадзор успешно справляется, заблокировать так же всю Россию — у США хватит и сил, и возможностей. Нет, внутри страны интернет никуда не денется, да и с другими странами связь не прервётся. Да и не пойдут на это скорее всего… но чисто гипотетически — есть ли способ изменить маршрут к конкретному IP-адресу, игнорируя регистрацию автономной системы в IANA? И в принципе возможно ли создать свою систему для регистрации AS, независимую от США?
Ну теперь начнутся многочисленные попытки создать велосипеды свои собственные.... Вон в КНДР за помощью обратитесь, у них в этом деле успех большой, на всю страну одна единственная AS
Keffer, всё уже создано, изобретать велосипеды не вижу смысла.
Речь только о возможной замене существующей системы.
Ну или как минимум внесения в неё помех с целью нарушения работоспособности.
DDoS-атаки построены на том же принципе, но их почему-то к "изобретениям велосипедов" не причисляют.
В принципе ничего не мешает отдать в EBGP все что угодно, включая несуществующие AS и не принадлежащие вам роуты. Но у нормальных магистральных провайдеров на бордерах должны быть фильтры, которые подобное безобразие будут, в теории, отсекать. Хотя прецеденты BGP-hijacking были, и не раз.
В масштабах всей страны конечно можно попытаться выстроить "параллельный интернет" со своими автономными системами и таблицами маршрутизации. Как известно, Роскомнадзор пытается это сделать. Только вот нужно ли?
Дмитрий, Не знаю, нужно ли, просто интересуюсь, есть ли такая возможность хотя бы гипотетически.
Не люблю, когда какую-либо страну (особенно свою) шантажируют санкциями.
Поэтому возможность выбить почву из-под ног шантажиста хотелось бы иметь. Спасибо Вам за ответ.
Сергей Сахаров, внутри своей инфраструктуры и между двумя разными сетями по взаимному договору можно делать что угодно. Светить этим наружу нельзя. Фиктивные AS вполне себе делают для собственных нужд многие.
shurshur, да даже в своей инфраструктуре - поднимаю две сети с одинаковыми ip и разруливаю их так, чтобы из РФ попадали в одну сеть, из США - в другую, фейковую.
И сайты на них вешаю разные: если американцы заходят - видят "НЕТ ВОЙНЕ", если наши - нормальный сайт.
Сергей Сахаров, а если светить этим наружу - сделают а-та-та. Хорошо если просто отругают - могут и настоять на отключении всех линков, если будет повторяться или ещё хуже будет явно умышленное.
Сергей Сахаров, какая Америка? Какую Россию? Тут речь исключительно о техническом взаимодействии по скучным регламентам. Если совсем левая сетка, не описанная в дампах RIPE и других региональных регистраторов, появится в full view, то тут же у кучи операторов загорится мониторинг, и от греха подальше проблемная сетка полетит в null route.
shurshur, вопрос читал? Я так вангую, IANA может просто отменить регистрацию российских AS и все сетки РФ будут отправлены в Null Route - такой вариант возможен? И если да, то как этого избежать?
Сергей Сахаров, эта страшилка о том как "нас отключат" не имеет смысла. Они даже Северную Корею не отключают. Отключат не нас с той стороны, а наши отсюда. RIPE не будет удалять российские AS из базы. Это полный бред. А вот рубильник по инициативе наших властей - это не бред.
По направлению блокировки всегда можно понять, кто и зачем это делает. СССР глушил "голоса", однако при этом свободно распространял свою пропаганду в "Спутнике" огромным тиражом на множестве языков мира. Китай никто не блокирует - Китай блокирует сам себя. Северная Корея так вообще полностью огорожена по своей инициативе.
shurshur, в фашистской Германии вражеские "голоса" не глушили.
Давайте исходить из того, что "наши отсюда" нас не отключат, а "с той стороны" - вполне вероятно.
Да, суть моего вопроса в том, что я предполагаю именно "невозможные" варианты.
Сергей Сахаров, во времена фашистской Германии не было радиоприёмника у каждого сантехника.
Давайте исходить из того, что "наши отсюда" нас не отключат, а "с той стороны" - вполне вероятно.
Не надо исходить из изначально неверных предположений.
И дело не только в том, что так никто до сих пор не делал. В RIPE была бурная дискуссия, и очень много весьма авторитетных людей высказались категорически против удаления российских AS из базы. Потому что отключение страны от сети не решит никаких проблем, зато оставит пользователей один на один с государственной пропагандой. Повторюсь: если будут рубить, то будут здесь, а не там. Как в Белоруссии и Казахстане во время их протестов.
shurshur, Ещё раз: меня интересует не объективная реальность, а чисто гипотетическая возможность.
В принципе, ответ на свой вопрос я уже получил. Но спасибо и Вам за ответ.
И в принципе возможно ли создать свою систему для регистрации AS, независимую от США?
Да. Надо создать регионального регистратора по аналогии с RIPE NCC и возложить на него обязанности вести реестр ASN и IP-блоков. Но при стыке с внешними сетями в Европе маршруты из этого реестра будут отбрасываться, так как фильтры у европейских операторов строятся по реестру RIPE NCC. Круче будет, если RIPE NCC отберёт ASN и IP у России и продаст их в другие страны другим оператором. В принципе, вот это и будет пресловутый «железный занавес», опущенный с внешней стороны.
Простой
Простой
