<div dir="ltr"><br><div>O que eu achei curioso é que eu imaginava que só os upstreams estariam nessa shame-list de proxy, mas o maior deles parece ser um caso de peering. </div><div><br></div><div>Algo a notar no caso de upstreams é que eles tinham a opção de cadastrar o AS do cliente sob sua administração, mas cadastram só os blocos do do cliente. </div><div>Isso é um problema self-inflicted, e o ponto é como a comunidade pode amplificar essa dor para mudar esse comportamento. </div><div><br></div><div><br></div><div>Rubens</div><div><br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Sep 10, 2019 at 1:37 PM Douglas Fischer <<a href="mailto:fischerdouglas@gmail.com">fischerdouglas@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">TL-DR;</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">------<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Vários ASNs registrando em IRRs prefixos de seus clientes como se fosse de seus ASNs.</span></div><span style="font-family:monospace">    - Principalmente no RADB.<br></span><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Está gerando sujeira nas bases de IRR.</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Prefix-lists geradas automaticamente estão ficando muito longas, consumindo recurso do routers.<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Impossibilita a validação de AS-Path.<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Fizemos uma consulta nos IRR dos prefixos delegados pelo <a href="http://NIC.BR" target="_blank">NIC.BR</a> que estavam registrados para outros ASNs.<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Agrupamos esses prefixos pelo campo maintainer e contamos a quantidade. Segue a lista dos mais significativos:<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Quantidade - Maintainer    <br>      2686 - MAINT-AS8966<br></span></div><div class="gmail_default" style="font-size:small"><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">       865 - MAINT-AS18678<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">       604 - MAINT-AS28283<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">       494 - MAINT-AS28329<br></span></div><span style="font-family:monospace">       453 - MAINT-AS20473</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Este é o Link para a planilha com as informações.</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><a href="https://drive.google.com/file/d/1KFUfptAnZsAmbSVvVFyHK8bPH7yrOOhr/view?usp=sharing" target="_blank">https://drive.google.com/file/d/1KFUfptAnZsAmbSVvVFyHK8bPH7yrOOhr/view?usp=sharing</a><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Lá consta uma planilha dinâmica, e também planilhas com o detalhado dos 5 Mantainers com mais registro errados.<br></span></div><span style="font-family:monospace"><br></span><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">Contando a historinha do</span><span class="gmail_default" style="font-size:small"> problema</span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">-----------------------------------<br></span></span></div><div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Há cerca de uns 4 meses, um amigo identificou que algumas empresas brasileiras estavam fazendo registros ERRADOS nos IRRs.<br></span><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Ele me passou a informação e eu fiquei bastante triste com o que vi.<br></span></div><div><span style="font-family:monospace"><br></span></div></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">O procedimento deles era:<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Listar todos os prefixos do cone de AS do cliente deles</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">- Registrar como sendo de seu próprio ASN.<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><span style="font-family:monospace">E<span class="gmail_default" style="font-size:small">u pessoalmente entrei em contato por telefone com algumas dessas empresas, e questionei o porque de eles fazerem isso.<br></span></span><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"><br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">A resposta deles foi:<br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">"Muitos desses prefixos já estão registrados como proxyed por outros ASNs, e quando tentamos registrar esses prefixos, não conseguimos... Então registramos como nossos."<br> - Eu expliquei a eles porque fazer esse registro como seu próprio ASN era errado, que era uma solução grosseira e de força bruta.<br> - Mencionei que dependendo de como as empresas consultem as bases de IRR isso iria fazer com que os as prefix-Lists geradas automaticamente ficassem com entradas duplicadas, muito longas, aumentando os recursos de processamento dos routers para processar as mensagens de anúncio de rotas.</span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"> - E expliquei também que isso iria prejudicar os próximos passos de segurança de roteamento, que é a validação de caminho(além da de origem).<br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"><br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">Felizmente por algumas empresas essa informação foi muito bem recebida.</span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">Inclusive desenvolvi relação de amizade por conta disso com um técnico dessas empresas.<br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">   Tive a oportunidade de sugerir que no script de automação deles incluíssem o teste:</span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">       (Se prefixo já existe registrado, usa registro atual.</span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">        Se prefixo não existe registrado, cria registro como proxyed.)<br></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"><br></span></span></div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">Infelizmente, algumas poucas empresas encararam a crítica negativamente.<br></span></span><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">- Alguns me atenderam, fizeram mil elogios por telefone, se comprometeram a corrigir, e não fizeram nada.<br></span></span></div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">- Alguns se sentiram ofendidos com </span><span class="gmail_default" style="font-size:small">a crítica(se sentiram ofendidos, e me ofenderam).<br></span></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">- Alguns nem se deram ao trabalho de responder.</span></div><div><span style="font-family:monospace"><br></span></div><div><span style="font-family:monospace"><br></span></div><div><div class="gmail_default"><span style="font-family:monospace"><font size="2">O problema só está aumentando!</font></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">------------------------------</span></div></div><div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Observando a lista dos TOP-5, podemos ver que o MAINT-AS8966 - Emix - Emirates Telecommunications - está no topo da lista, com mais do que 3 vezes mais prefixos errados que o segundo colocado.<br><br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Bom, eu confesso que não entendi direito qual é o objetivo desses registros...<br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Mas a grande maioria(talvez até a totalidade) dos prefixos estão com a "descr: ChinaTel via EMIX".<br><br></span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Outra coisa que só aumentou as minhas dúvidas é que existem casos em que o MAINT-AS8966 registrou um prefixos para vários Origin.</span></div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Como é o caso do prefixo <a href="http://45.70.72.0/22" target="_blank">45.70.72.0/22</a>, que está registrado pela EMIX para AS266319, AS52965, AS53144.<br><a href="https://www.radb.net/query?advanced_query=&keywords=45.70.72.0%2F22&-T+option=&ip_option=&-i+option=" target="_blank">https://www.radb.net/query?advanced_query=&keywords=45.70.72.0%2F22&-T+option=&ip_option=&-i+option=</a></span></div></div><div><span style="font-family:monospace"><br></span></div><div><div style="font-size:small" class="gmail_default"><span style="font-family:monospace">Segue uma lista dos Prefixos Brasileiros registrados pelo MAINT-AS8966.<br>Quantidade AS-Origin IRR<br>       773  AS61832   RADB<br>       475  AS53144         RADB<br>       450  AS52965         RADB<br>       313  AS52551         RADB<br>       154  AS52720         RADB<br></span></div><span style="font-family:monospace"><br></span></div><div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Alguém conseguiu entender a lógica disso?<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Isso está correto?<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Se não está correto, quem deve ser acionado para corrigir?<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Porque estou cutucando isso agora?</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">------------------------------</span><span style="font-family:monospace">----</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">O Google, em seus GGCs e PNIs, começou a fazer filtrar prefixos baseado em registros de IRR.<br>Isso foi informado em maio [1][2] deste ano no Lacnic 31 pelo Sr. Arturo.<br>E os triangulozinhos de alerta nos prefixos mostrados em <a href="https://peering.google.com/" target="_blank">https://peering.google.com/</a> estão gerando um alvoroço entre os ISPs.<br>E eu estou feliz por isso!<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Depois de 20 anos de RPSL, os ASNs estão se preocupando em cadastrar seus prefixos corretamente nos IRRs.<br><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Eu acredito que o medo de ficar sem acesso ao ASN do Google é que está desencadeando essas ações um pouco desesperadas...<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">P.S.1: Tenham calma!</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Segundo informações do próprio Google, por enquanto esses prefixos estão apenas sendo tageados.</span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">Apenas
 no futuro, depois de ter uma melhor referência de qual o tamanho do 
dragão com que terão que lutar, é que decidirão como esses prefixos 
serão descartados.<br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace"><br></span></div><div class="gmail_default" style="font-size:small"><span style="font-family:monospace">P.S.2: Reitero meu agradecimento ao Google por isso!<br>E aproveito para provocar Facebook, Cloudflare, Netflix, e até o ICCAN, a fazerem o mesmo.</span></div></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"><br></span></span><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small">[1] <a href="https://www.lacnic.net/innovaportal/file/3635/1/26-route-filtering-at-the-edge-as15169.pdf" target="_blank">https://www.lacnic.net/innovaportal/file/3635/1/26-route-filtering-at-the-edge-as15169.pdf</a><br>[2] <a href="https://youtu.be/OT9at07N7qM" target="_blank">https://youtu.be/OT9at07N7qM</a></span></span></div><div><span style="font-family:monospace"><span class="gmail_default" style="font-size:small"><br></span></span></div><div><span style="font-family:monospace">-- <br></span><div dir="ltr" class="gmail-m_-5733343991988144518m_9050076165786791467gmail_signature"><span style="font-family:monospace"><font size="2">Douglas Fernando Fischer<br>Engº de Controle e Automação</font></span><div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;color:black;text-align:left;line-height:130%"></div></div></div></div></div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div>