<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><span style="background-color: rgba(255, 255, 255, 0);">Douglas,</span><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div><span style="background-color: rgba(255, 255, 255, 0);">Muito obrigado pela partilha e análise a fundo dos casos anteriormente espelhados.</span></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div><span style="background-color: rgba(255, 255, 255, 0);">Como se não bastasse “routing-hijack” agora vamos partir para o “IRR-hijack”... Insane.... </span></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div><span style="background-color: rgba(255, 255, 255, 0);">Pior é que o anteriormente dito é verdade: Apenas no futuro, depois de ter uma melhor referência de qual o tamanho do dragão com que terão que lutar, é que decidirão como esses prefixos serão descartados. </span></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div><span style="background-color: rgba(255, 255, 255, 0);">@BPF team, escrever um artigo “on how to do it” não seria uma mais valia? <br><br></span><div dir="ltr"><span style="background-color: rgba(255, 255, 255, 0);">Best Regards,</span><div><span style="background-color: rgba(255, 255, 255, 0);">Cumprimentos,</span></div><div><span style="background-color: rgba(255, 255, 255, 0);">Darwin-.</span></div></div></div><div dir="ltr"><br>On Sep 10, 2019, at 21:51, Luis Balbinot <<a href="mailto:luis@luisbalbinot.com">luis@luisbalbinot.com</a>> wrote:<br><br></div><blockquote type="cite"><div dir="ltr"><div dir="ltr">Ótimo trabalho! Eu também gostaria de entender essa lógica. Aqui na empresa fazemos cadastro de proxy quando não existe entrada, mas muitas vezes elas existem e estão erradas. Olha o exemplo do prefixo <a href="http://177.152.184.0/22">177.152.184.0/22</a> de um de nossos ASs abaixo. Ele está registrado como proxy por nós (MAINT-AS14840), mas aparece com o AS errado em outras duas.<br><br>$ whois -h <a href="http://whois.radb.net">whois.radb.net</a> <a href="http://177.152.184.0/22">177.152.184.0/22</a><br>route: <a href="http://177.152.184.0/22">177.152.184.0/22</a><br>descr: Vultr Customer Route<br><b>origin: AS264409<br></b>notify: <a href="mailto:network@choopa.com">network@choopa.com</a><br>mnt-by: MAINT-AS20473<br>changed: <a href="mailto:network@choopa.com">network@choopa.com</a> 20190603 #12:36:37Z<br>source: RADB<br><br>route: <a href="http://177.152.184.0/22">177.152.184.0/22</a><br>descr: This is a Commcorp Telecom customer proxy route object that was created because no existing route object with the same origin was found. Please contact <a href="mailto:noc@commcorp.com.br">noc@commcorp.com.br</a> if you have any questions regarding this object.<br>origin: AS61889<br>mnt-by: MAINT-AS14840<br>changed: <a href="mailto:gacosta@commcorp.com.br">gacosta@commcorp.com.br</a> 20151028 #11:12:00Z<br>source: RADB<br><br>route: <a href="http://177.152.184.0/22">177.152.184.0/22</a><br>descr: G8 Networks<br><b>origin: AS264409<br></b>mnt-by: MAINT-AS28329<br>changed: <a href="mailto:no-reply@g8.net.br">no-reply@g8.net.br</a> 20190909<br>source: BBOI<br><br>Me parece que tem alguém utilizando o IRR com outra finalidade e pedindo o cadastro desses objetos por algum motivo bizarro.<br><br>Luis</div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Sep 10, 2019 at 4:37 PM Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com">fischerdouglas@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">TL-DR;</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">------<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Vários ASNs registrando em IRRs prefixos de seus clientes como se fosse de seus ASNs.</span></div><span style="font-family:monospace"> - Principalmente no RADB.<br></span><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Está gerando sujeira nas bases de IRR.</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Prefix-lists geradas automaticamente estão ficando muito longas, consumindo recurso do routers.<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Impossibilita a validação de AS-Path.<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Fizemos uma consulta nos IRR dos prefixos delegados pelo <a href="http://NIC.BR" target="_blank">NIC.BR</a> que estavam registrados para outros ASNs.<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Agrupamos esses prefixos pelo campo maintainer e contamos a quantidade. Segue a lista dos mais significativos:<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Quantidade - Maintainer <br> 2686 - MAINT-AS8966<br></span></div><div class="gmail_default" style="font-size:small"><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"> 865 - MAINT-AS18678<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"> 604 - MAINT-AS28283<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"> 494 - MAINT-AS28329<br></span></div><span style="font-family:monospace"> 453 - MAINT-AS20473</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Este é o Link para a planilha com as informações.</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><a href="https://drive.google.com/file/d/1KFUfptAnZsAmbSVvVFyHK8bPH7yrOOhr/view?usp=sharing" target="_blank">https://drive.google.com/file/d/1KFUfptAnZsAmbSVvVFyHK8bPH7yrOOhr/view?usp=sharing</a><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Lá consta uma planilha dinâmica, e também planilhas com o detalhado dos 5 Mantainers com mais registro errados.<br></span></div><span style="font-family:monospace"><br></span><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">Contando a historinha do</span><span class="gmail_default" style="font-size:small"> problema</span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">-----------------------------------<br></span></span></div><div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Há cerca de uns 4 meses, um amigo identificou que algumas empresas brasileiras estavam fazendo registros ERRADOS nos IRRs.<br></span><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Ele me passou a informação e eu fiquei bastante triste com o que vi.<br></span></div><div><span style="font-family:monospace"><br></span></div></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">O procedimento deles era:<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Listar todos os prefixos do cone de AS do cliente deles</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Registrar como sendo de seu próprio ASN.<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><span style="font-family:monospace">E<span class="gmail_default" style="font-size:small">u pessoalmente entrei em contato por telefone com algumas dessas empresas, e questionei o porque de eles fazerem isso.<br></span></span><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"><br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">A resposta deles foi:<br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">"Muitos desses prefixos já estão registrados como proxyed por outros ASNs, e quando tentamos registrar esses prefixos, não conseguimos... Então registramos como nossos."<br> - Eu expliquei a eles porque fazer esse registro como seu próprio ASN era errado, que era uma solução grosseira e de força bruta.<br> - Mencionei que dependendo de como as empresas consultem as bases de IRR isso iria fazer com que os as prefix-Lists geradas automaticamente ficassem com entradas duplicadas, muito longas, aumentando os recursos de processamento dos routers para processar as mensagens de anúncio de rotas.</span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"> - E expliquei também que isso iria prejudicar os próximos passos de segurança de roteamento, que é a validação de caminho(além da de origem).<br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"><br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">Felizmente por algumas empresas essa informação foi muito bem recebida.</span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">Inclusive desenvolvi relação de amizade por conta disso com um técnico dessas empresas.<br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"> Tive a oportunidade de sugerir que no script de automação deles incluíssem o teste:</span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"> (Se prefixo já existe registrado, usa registro atual.</span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"> Se prefixo não existe registrado, cria registro como proxyed.)<br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"><br></span></span></div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">Infelizmente, algumas poucas empresas encararam a crítica negativamente.<br></span></span><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">- Alguns me atenderam, fizeram mil elogios por telefone, se comprometeram a corrigir, e não fizeram nada.<br></span></span></div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">- Alguns se sentiram ofendidos com </span><span class="gmail_default" style="font-size:small">a crítica(se sentiram ofendidos, e me ofenderam).<br></span></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">- Alguns nem se deram ao trabalho de responder.</span></div><div><span style="font-family:monospace"><br></span></div><div><span style="font-family:monospace"><br></span></div><div><div class="gmail_default"><span style="font-family:monospace"><font size="2">O problema só está aumentando!</font></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">------------------------------</span></div></div><div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Observando a lista dos TOP-5, podemos ver que o MAINT-AS8966 - Emix - Emirates Telecommunications - está no topo da lista, com mais do que 3 vezes mais prefixos errados que o segundo colocado.<br><br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Bom, eu confesso que não entendi direito qual é o objetivo desses registros...<br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Mas a grande maioria(talvez até a totalidade) dos prefixos estão com a "descr: ChinaTel via EMIX".<br><br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Outra coisa que só aumentou as minhas dúvidas é que existem casos em que o MAINT-AS8966 registrou um prefixos para vários Origin.</span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Como é o caso do prefixo <a href="http://45.70.72.0/22" target="_blank">45.70.72.0/22</a>, que está registrado pela EMIX para AS266319, AS52965, AS53144.<br><a href="https://www.radb.net/query?advanced_query=&keywords=45.70.72.0%2F22&-T+option=&ip_option=&-i+option=" target="_blank">https://www.radb.net/query?advanced_query=&keywords=45.70.72.0%2F22&-T+option=&ip_option=&-i+option=</a></span></div></div><div><span style="font-family:monospace"><br></span></div><div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Segue uma lista dos Prefixos Brasileiros registrados pelo MAINT-AS8966.<br>Quantidade AS-Origin IRR<br> 773 AS61832 RADB<br> 475 AS53144 RADB<br> 450 AS52965 RADB<br> 313 AS52551 RADB<br> 154 AS52720 RADB<br></span></div><span style="font-family:monospace"><br></span></div><div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Alguém conseguiu entender a lógica disso?<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Isso está correto?<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Se não está correto, quem deve ser acionado para corrigir?<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Porque estou cutucando isso agora?</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">------------------------------</span><span style="font-family:monospace">----</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">O Google, em seus GGCs e PNIs, começou a fazer filtrar prefixos baseado em registros de IRR.<br>Isso foi informado em maio [1][2] deste ano no Lacnic 31 pelo Sr. Arturo.<br>E os triangulozinhos de alerta nos prefixos mostrados em <a href="https://peering.google.com/" target="_blank">https://peering.google.com/</a> estão gerando um alvoroço entre os ISPs.<br>E eu estou feliz por isso!<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Depois de 20 anos de RPSL, os ASNs estão se preocupando em cadastrar seus prefixos corretamente nos IRRs.<br><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Eu acredito que o medo de ficar sem acesso ao ASN do Google é que está desencadeando essas ações um pouco desesperadas...<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">P.S.1: Tenham calma!</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Segundo informações do próprio Google, por enquanto esses prefixos estão apenas sendo tageados.</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Apenas
no futuro, depois de ter uma melhor referência de qual o tamanho do
dragão com que terão que lutar, é que decidirão como esses prefixos
serão descartados.<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">P.S.2: Reitero meu agradecimento ao Google por isso!<br>E aproveito para provocar Facebook, Cloudflare, Netflix, e até o ICCAN, a fazerem o mesmo.</span></div></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"><br></span></span><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">[1] <a href="https://www.lacnic.net/innovaportal/file/3635/1/26-route-filtering-at-the-edge-as15169.pdf" target="_blank">https://www.lacnic.net/innovaportal/file/3635/1/26-route-filtering-at-the-edge-as15169.pdf</a><br>[2] <a href="https://youtu.be/OT9at07N7qM" target="_blank">https://youtu.be/OT9at07N7qM</a></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"><br></span></span></div><div><span style="font-family:monospace">-- <br></span><div dir="ltr" class="gmail-m_-1097190971157255925m_9050076165786791467gmail_signature"><span style="font-family:monospace"><font size="2">Douglas Fernando Fischer<br>Engº de Controle e Automação</font></span><div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;color:black;text-align:left;line-height:130%"></div></div></div></div></div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div>
</div></blockquote><blockquote type="cite"><div dir="ltr"><span>_______________________________________________</span><br><span>LACNOG mailing list</span><br><span><a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a></span><br><span><a href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a></span><br><span>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a></span><br></div></blockquote></body></html>