Всем привет! 👋
🚀 У нас заметное обновление в рамках real-time мониторинга BGP-инцидентов! Переработали письма с алертами, чтобы они стали красивее и полезнее:
🔗Action links. Добавили ссылки на советы по устранению инцидента (Incident Response) и управление алертами (Manage Alerts)
📱Mobile friendly. Стало удобно просматривать письма с мобильных телефонов
⏩Forward it. При пересылке письмо не ломается
📦Grouping. Инциденты, которые отличаются только одной характеристикой, объединены в один алерт, без потери информативности
📝Bogon description. Добавили описание для зарезервированных номеров AS
🧑🎨Визуальные обозначения помогут не запутаться:
- Отслеживаемая AS выделена жирным
- Виновник инцидента (AS и префикс) – в фиолетовой рамке
- Origin AS — в голубой рамке
- Bogon AS и префиксы — пунктирная рамка
- Стыки Change in relations внутри AS path — выделены цветами, как на графе
Полистайте скриншоты!
Подробное описание в Learn
Хорошего вечера! 😊
🚀 У нас заметное обновление в рамках real-time мониторинга BGP-инцидентов! Переработали письма с алертами, чтобы они стали красивее и полезнее:
🔗Action links. Добавили ссылки на советы по устранению инцидента (Incident Response) и управление алертами (Manage Alerts)
📱Mobile friendly. Стало удобно просматривать письма с мобильных телефонов
⏩Forward it. При пересылке письмо не ломается
📦Grouping. Инциденты, которые отличаются только одной характеристикой, объединены в один алерт, без потери информативности
📝Bogon description. Добавили описание для зарезервированных номеров AS
🧑🎨Визуальные обозначения помогут не запутаться:
- Отслеживаемая AS выделена жирным
- Виновник инцидента (AS и префикс) – в фиолетовой рамке
- Origin AS — в голубой рамке
- Bogon AS и префиксы — пунктирная рамка
- Стыки Change in relations внутри AS path — выделены цветами, как на графе
Полистайте скриншоты!
Подробное описание в Learn
Хорошего вечера! 😊
🔥7👍3🤩3🏆2
Forwarded from CURATOR | DDoS‑защита, AntiBot, WAF
📡 Глобальные BGP-инциденты во 2 квартале 2025 года
Во 2 квартале мы зафиксировали 14 глобальных инцидентов BGP — это максимум за последние два года. Среди них:
🔸 10 глобальных утечек маршрутов
🔸 4 глобальных BGP-перехвата
📊 По месяцам:
Апрель — 4 утечки, 2 перехвата
Май — 3 утечки, 1 перехват
Июнь — 3 утечки, 1 перехват
После неожиданного затишья в прошлом квартале (3 утечки, 0 перехватов), количество глобальных инцидентов BGP резко выросло.
Полагаем, что аномалией было скорее это зимнее затишье, чем нынешний всплеск — поскольку защитные механизмы от утечек маршрутов, такие как RFC9234 и ASPA, пока далеки от широкого внедрения, подобные инциденты продолжат происходить достаточно часто.
Больше подробностей о DDoS-атаках, бот-активности и BGP инцидентах во 2 кв 2025 — в нашем квартальном отчете.
Во 2 квартале мы зафиксировали 14 глобальных инцидентов BGP — это максимум за последние два года. Среди них:
🔸 10 глобальных утечек маршрутов
🔸 4 глобальных BGP-перехвата
📊 По месяцам:
Апрель — 4 утечки, 2 перехвата
Май — 3 утечки, 1 перехват
Июнь — 3 утечки, 1 перехват
После неожиданного затишья в прошлом квартале (3 утечки, 0 перехватов), количество глобальных инцидентов BGP резко выросло.
Полагаем, что аномалией было скорее это зимнее затишье, чем нынешний всплеск — поскольку защитные механизмы от утечек маршрутов, такие как RFC9234 и ASPA, пока далеки от широкого внедрения, подобные инциденты продолжат происходить достаточно часто.
Больше подробностей о DDoS-атаках, бот-активности и BGP инцидентах во 2 кв 2025 — в нашем квартальном отчете.
👍4🔥4💯2
Всем привет! 👋
🛠 Обновление Community версии.
Продолжаем делать сервис информативнее и удобнее!
📊 На страничку с Overview AS добавили информацию о покрытии подсетей объектами RPKI ROA и IRR Route Objects.
👀 Теперь сразу видно, кто уже молодец ✅, а кому еще нужно подписать свои префиксы ☑️ :)
Подписывайте префиксы!
Будте добры 🙏
🛠 Обновление Community версии.
Продолжаем делать сервис информативнее и удобнее!
📊 На страничку с Overview AS добавили информацию о покрытии подсетей объектами RPKI ROA и IRR Route Objects.
👀 Теперь сразу видно, кто уже молодец ✅, а кому еще нужно подписать свои префиксы ☑️ :)
Подписывайте префиксы!
Будте добры 🙏
🔥8❤4👍2👏1🏆1
Привет! 👋
🛰 Как многие наверняка читали, вчера был глобальный сбой у SpaceX-Starlink (AS14593)
🔻 Продолжался около 5 минут, с 04:28 до 04:33 UTC 🔻
Аналитика Radar позволяет посмотреть, как это происходило с точки зрения BGP:
🔹 выбираем один из 1636 префиксов, принадлежащих AS14593,
🔹 открываем Graph, проматываем до нужного времени и масштабируем,
🔹 видим провал видимости на точках наблюдения с 100% до 16%.
Дальше можем прокликать таймлайн сбоя и увидеть на графе, как отваливалась связность с Tier-1 провайдерами, например с ZAYO (AS6461) и Opentransit (AS5511), вследствие чего и произошла потеря видимости подсетей Starlink пользователями.
Всем Радар!
🛰 Как многие наверняка читали, вчера был глобальный сбой у SpaceX-Starlink (AS14593)
🔻 Продолжался около 5 минут, с 04:28 до 04:33 UTC 🔻
Аналитика Radar позволяет посмотреть, как это происходило с точки зрения BGP:
🔹 выбираем один из 1636 префиксов, принадлежащих AS14593,
🔹 открываем Graph, проматываем до нужного времени и масштабируем,
🔹 видим провал видимости на точках наблюдения с 100% до 16%.
Дальше можем прокликать таймлайн сбоя и увидеть на графе, как отваливалась связность с Tier-1 провайдерами, например с ZAYO (AS6461) и Opentransit (AS5511), вследствие чего и произошла потеря видимости подсетей Starlink пользователями.
Всем Радар!
🔥10👍6❤4
👋
Из жизни ОТС атрибута
ℹ️ Сегодня мы начали получать BGP маршруты с интересной проблемой. Маршруты содержали недопустимый OTC атрибут (type 35, он же 0x23 в дампе).
🛠 Атрибут OTC был неправильно установлен с флагом Extended Length, что привело к неверному расчёту длины атрибута. Более того, общая длина атрибута оказалась короче длины OTC.
🚨 Данное поведение не обрабатывается корректно всеми прошивками маршрутизаторов и, особенно старыми, в некоторых случаях, приводит к ресетам BGP сессий.
Надеемся, что Вас не затронуло!
Обновляйте ПО 🙏
Из жизни ОТС атрибута
ℹ️ Сегодня мы начали получать BGP маршруты с интересной проблемой. Маршруты содержали недопустимый OTC атрибут (type 35, он же 0x23 в дампе).
🛠 Атрибут OTC был неправильно установлен с флагом Extended Length, что привело к неверному расчёту длины атрибута. Более того, общая длина атрибута оказалась короче длины OTC.
🚨 Данное поведение не обрабатывается корректно всеми прошивками маршрутизаторов и, особенно старыми, в некоторых случаях, приводит к ресетам BGP сессий.
Надеемся, что Вас не затронуло!
Обновляйте ПО 🙏
🔥10🤓2
👋 Ку!
Похоже, что сегодня произошла пиринговая утечка через 🇨🇳 China Telecom Global (AS23764).
⏱️ Всплеск анонсов был в 12:27 МСК.
Видим, что ~5 тыс. префиксов наших операторов, в первую очередь 🇷🇺 Билайн (AS3216) и 🇷🇺 Мегафон (AS31133), начали распространяться по миру через 🇨🇳 Китай. Такие маршруты были признаны как best path для 5% наших точек наблюдения.
Так же, через Китай, были перенаправлены и маршруты 🇰🇿 AS9198 (Казахтелеком), 🇰🇷 AS9848 (Sejong Telecom) – 1/3 наших точек наблюдения определила их как best path, всего по 800 префиксов.
Маршруты магистралов 🇺🇸 AS2914 (NTT), 🇺🇸 AS6939 (HE), 🇮🇹 AS6762 (Seabone), 🇩🇪 ... тоже затронуло.
🙏
Похоже, что сегодня произошла пиринговая утечка через 🇨🇳 China Telecom Global (AS23764).
⏱️ Всплеск анонсов был в 12:27 МСК.
Видим, что ~5 тыс. префиксов наших операторов, в первую очередь 🇷🇺 Билайн (AS3216) и 🇷🇺 Мегафон (AS31133), начали распространяться по миру через 🇨🇳 Китай. Такие маршруты были признаны как best path для 5% наших точек наблюдения.
Так же, через Китай, были перенаправлены и маршруты 🇰🇿 AS9198 (Казахтелеком), 🇰🇷 AS9848 (Sejong Telecom) – 1/3 наших точек наблюдения определила их как best path, всего по 800 префиксов.
Маршруты магистралов 🇺🇸 AS2914 (NTT), 🇺🇸 AS6939 (HE), 🇮🇹 AS6762 (Seabone), 🇩🇪 ... тоже затронуло.
🙏
⚡5👍5
Forwarded from Патчкорд
Если вдруг слышали подземные стуки сегодня с Интернетом, как на картинках, с задержками 300мс и транзитом через China Telecom Global - так выглядит утечка маршрутов, о чём пишет Qrator Radar. На обоих скринах транзитом был Билайн. Спасибо большое друзьям за картинки.
🔥8🤣3👀3
Доброго дня 👋
По заявкам пользователей, в продолжение истории c "неверным" OTC, написали небольшой пост-описание инцидента.
🛠 В посте описываем:
- Что такое и как работает атрибут OTC
- Почему некорректный атрибут привел к сбросу BGP-сессий
- Разбор механики проблемы, бонусом – немного парсинга HEX-дампа.
Пост уже
👉 в блоге Радара (EN)
👉 на сайте Curator (RU)
Приятного чтения! 🤓
По заявкам пользователей, в продолжение истории c "неверным" OTC, написали небольшой пост-описание инцидента.
🛠 В посте описываем:
- Что такое и как работает атрибут OTC
- Почему некорректный атрибут привел к сбросу BGP-сессий
- Разбор механики проблемы, бонусом – немного парсинга HEX-дампа.
Пост уже
👉 в блоге Радара (EN)
👉 на сайте Curator (RU)
Приятного чтения! 🤓
Telegram
Qrator.Radar
👋
Из жизни ОТС атрибута
ℹ️ Сегодня мы начали получать BGP маршруты с интересной проблемой. Маршруты содержали недопустимый OTC атрибут (type 35, он же 0x23 в дампе).
🛠 Атрибут OTC был неправильно установлен с флагом Extended Length, что привело к неверному…
Из жизни ОТС атрибута
ℹ️ Сегодня мы начали получать BGP маршруты с интересной проблемой. Маршруты содержали недопустимый OTC атрибут (type 35, он же 0x23 в дампе).
🛠 Атрибут OTC был неправильно установлен с флагом Extended Length, что привело к неверному…
👍7👀1
⏱️ Время идет и трафик продолжает идти, через 🇨🇳 Китай.
Утечка никуда не делась. Добавляем в коллекцию еще один пример трейса пиринговой утечки, через China Telecom Global (AS23764) и Hurricane (AS6939). Сверху докидываем содержащие лик BGP маршруты от разных спикеров к префиксу из трейса.
За трейс спасибо @Kirya2k
Утечка никуда не делась. Добавляем в коллекцию еще один пример трейса пиринговой утечки, через China Telecom Global (AS23764) и Hurricane (AS6939). Сверху докидываем содержащие лик BGP маршруты от разных спикеров к префиксу из трейса.
За трейс спасибо @Kirya2k
😱3🐳3😎3🙈2
Forwarded from kipchat
В интернетах время от времени случаются неправильные маршруты (BGP route leaks). Они случаютсяиз-за недосмотра, незнания или злонамеренности технического персонала - какая-та AS начинает анонсить не свои префиксы и не префиксы своих клиентов или не туда. И трафик не туда разворачивается и либо теряется по пути - такой роут лик сразу находится, виноватых награждают, непричастных отчитывают. Или удлинняется время путешествия пакетов по сети. Такие роут лики могут жить долго, пока какой-нибудь занудный клиент или любопытный инженер не найдут косяк и тихо не исправят. А бывает роут лик между парой префиксов есть, а трафика между ними нет. Ну не надо никому из клиентов оператора А взаимодействовать с клиентами оператора Б. Они через Макс переписываются, если им надо, а не на прямую. Да им сегодня напрямую никак не связаться - нет таких сервисов и инструменетов у них. И компетенции такие остались только у настоящих хакеров.
Но у всех есть пинг. И можно пингануть и найти такой роутлик. И ни один. Раньше, когда инструментов анализа таблиц маршрутизации было меньше, когд они были менее совершенными, и не информировали о роутликах так, как это сейчас можно, считалось, что до 5% анонсов ведут к роут ликам, но трафика в этих ошибках на порядки меньше и это не нарастающая лавина проблем, а перманентная самоустраняющаяся сущность интернета.
____
Так в последнее время оказалось, что между Комкором и Мегафоном есть best path маршруты через ЧайнаТелеком и через Херикейн тоже. Трафик из множества маршрутов всегда выбирает best path маршруты. То есть национальный трафик идет через иностранных оперторов.
По этому поводу с начала декабря шумят qrator.radar тут и сегодня тут, а еще патчкорд тут.
То что утечка маршрутов существует долго позволяет предположить, что:
1. Это малотрафиковые утечки, которые на экономику сетей или на качество услуг попавших в инцедент операторов не влияют.
2. Трафик там есть и кто-то за его перепробег переплачивает. И это некая борьба операторов, вынуждающих отправкой трафика на петлю, например, заплатить за установление или расширение прямого пирингового стыка или может быть масса других вариантов конкурентного бодания.
Раньше, отправка трафика на петли через европу ил вообще америку, была достаточно типичной практикой принуждения маленьких операторов платить большим или страдать от задержек и оплаты трансмиссий на запад. Но с тех пор много воды утекло.
Теперь,
во-первых, есть Приказа Роскомнадзора №224 от 31.07.2019
"Об утверждении Правил маршрутизации сообщений электросвязи в случае осуществления централизованного управления сетью связи общего пользования"
и им запрещено обменивать национальный трафик через зарубеж, обогащая зарубеж нашими платежами и подставляя национальный трафик под опасность люстрации чужими органами,
во-вторых, у нас сздан центр управления маршрутизацией с информационной системой ИС ЦМУ ССОП РКН Минцыфры, следящие за соблюдением законодательства, и,
в-третьих, есть еще трансгран ТСПУ, которые реально видят трафик и должны уж, если не убивают неправомерный петлевой трафик, то сигнализировать о его наличии.
Но не сигнализируют, не управляют, не исполняют.
Что ж выходит? Что утечки маршрутов нет, трафика на утекших маршрутах нет или управляющие надзорные и карательные органы так увлечены борьбой со Spedtest, с Roblox, c голосом через мессенджеры и тп и тд, что свои базовые функции защиты и противодействия угрозам не успевают выполнять? Или не умеют. Или они так намекают, что надо бы увеличить им бюджет бы и штат бы, и полномочия бы, и чтоб их не штрафовали за езду на красный?
Но у всех есть пинг. И можно пингануть и найти такой роутлик. И ни один. Раньше, когда инструментов анализа таблиц маршрутизации было меньше, когд они были менее совершенными, и не информировали о роутликах так, как это сейчас можно, считалось, что до 5% анонсов ведут к роут ликам, но трафика в этих ошибках на порядки меньше и это не нарастающая лавина проблем, а перманентная самоустраняющаяся сущность интернета.
____
Так в последнее время оказалось, что между Комкором и Мегафоном есть best path маршруты через ЧайнаТелеком и через Херикейн тоже. Трафик из множества маршрутов всегда выбирает best path маршруты. То есть национальный трафик идет через иностранных оперторов.
По этому поводу с начала декабря шумят qrator.radar тут и сегодня тут, а еще патчкорд тут.
То что утечка маршрутов существует долго позволяет предположить, что:
1. Это малотрафиковые утечки, которые на экономику сетей или на качество услуг попавших в инцедент операторов не влияют.
2. Трафик там есть и кто-то за его перепробег переплачивает. И это некая борьба операторов, вынуждающих отправкой трафика на петлю, например, заплатить за установление или расширение прямого пирингового стыка или может быть масса других вариантов конкурентного бодания.
Раньше, отправка трафика на петли через европу ил вообще америку, была достаточно типичной практикой принуждения маленьких операторов платить большим или страдать от задержек и оплаты трансмиссий на запад. Но с тех пор много воды утекло.
Теперь,
во-первых, есть Приказа Роскомнадзора №224 от 31.07.2019
"Об утверждении Правил маршрутизации сообщений электросвязи в случае осуществления централизованного управления сетью связи общего пользования"
и им запрещено обменивать национальный трафик через зарубеж, обогащая зарубеж нашими платежами и подставляя национальный трафик под опасность люстрации чужими органами,
во-вторых, у нас сздан центр управления маршрутизацией с информационной системой ИС ЦМУ ССОП РКН Минцыфры, следящие за соблюдением законодательства, и,
в-третьих, есть еще трансгран ТСПУ, которые реально видят трафик и должны уж, если не убивают неправомерный петлевой трафик, то сигнализировать о его наличии.
Но не сигнализируют, не управляют, не исполняют.
Что ж выходит? Что утечки маршрутов нет, трафика на утекших маршрутах нет или управляющие надзорные и карательные органы так увлечены борьбой со Spedtest, с Roblox, c голосом через мессенджеры и тп и тд, что свои базовые функции защиты и противодействия угрозам не успевают выполнять? Или не умеют. Или они так намекают, что надо бы увеличить им бюджет бы и штат бы, и полномочия бы, и чтоб их не штрафовали за езду на красный?
🔥4👍3