[NAP CABASE ROS] [Lista ArNOG] IMPORTANTE: Route Leaking originado por AS52236 (G2KHosting S.A.) sobre AS7303 (TECO)
Federico Kearney (WNinternet)
federico en wninternet.com
Lun Abr 29 17:32:32 ART 2019
El sabado a la mañana cuando me levnate le avise a mauro, no se habia enterado
From: Ivan Chapero
Sent: Monday, April 29, 2019 4:57 PM
To: lista en arnog.com.ar
Cc: NOC Cabase ; abuse en g2khosting.com ; CAO_TECO ; Lista de NAP CABASE ; mferraro en g2k.com.ar
Subject: Re: [NAP CABASE ROS] [Lista ArNOG] IMPORTANTE: Route Leaking originado por AS52236 (G2KHosting S.A.) sobre AS7303 (TECO)
Alguno recibió alguna novedad del caso de los responsables del Hosting? alguna tarea preventiva para evitar su repetición?
De TECO no recibí ningún tipo de respuesta.
Saludos.
El sáb., 27 abr. 2019 a las 1:59, Ezequiel Biavaschi (<jbezequiel en gmail.com>) escribió:
Sumo en copia un mail de Mauro Ferraro (CEO de G2K) que tengo de mails viejos, no sé si seguirá teniendo el mismo mail, estimo que si.
On 27 Apr 2019, at 01:52, Ivan Chapero <info en ivanchapero.com.ar> wrote:
Estimados,
por el presente informo que el 26/04 a las 18:00hs la detección de un route leaking involucrando al AS52236 (G2KHosting S.A.) como propagador hacia su carrier/upstream AS7303 (TECO) de todas las redes anunciadas por los miembros en CABASE (y posiblemente TODO lo que AS52236 tenga en su RIB BGP).
Ademas del error en los filtros de AS52236 (al actuar como transito de todos los miembros de CABASE contra su carrier), TECO también admitió y propago con éxito el anuncio a sus carriers por unos minutos de todos los prefijos involucrados.
Posiblemente a SEABONE se logro propagar solamente prefijos mas específicos de ASNs que fueron o son clientes de TECO, y hayan solicitado la apertura correspondiente. No lo puedo confirmar que sea masivo en dicho punto del path dado que los ASNs que tengo administración tienen todos aperturas de filtros solicitadas en TECO. Caso contrario también habría un leak a reportar entre 7303 y 6762.
Si alguien tiene contacto con la gente de G2KHosting seria interesante reportarle el incidente, solo existe el mail de abuse genérico en el WHOIS.
En copia CAO de TECO para alguna respuesta y/o acción pertinente.
En nuestros casos genero serios inconvenientes sobre el trafico y los equipos de CDNs dentro del ASN durante el periodo del leaking:
<imagen.png>
Desde un equipo haciendo peering BGP con TECO, se aprecia el incremento sustancial de prefijos propagados por el AS7303 producto del leaking con AS52236 (G2KHosting S.A.)
<imagen.png>
Este BGPviews es de un prefijo que NO tiene visibilidad en la tabla global, sino que en situación normal solo existe como anuncio mas especifico dentro de CABASE por el miembro ASN de ORIGEN:
<imagen.png>
Aguardamos y agradecemos contacto y mas información de los actores involucrados.
Saludos.
--
Ivan Chapero
Área Técnica y Soporte
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID: ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina
_______________________________________________
Lista mailing list
Lista en arnog.com.ar
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
_______________________________________________
Lista mailing list
Lista en arnog.com.ar
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
--
Ivan Chapero
Área Técnica y Soporte
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID: ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.cabase.org.ar/pipermail/naprosario/attachments/20190429/d70c2208/attachment.html>
Más información sobre la lista de distribución Naprosario