
<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<title></title>

</head>

<body>

<div name="messageBodySection">

<div dir="auto">Hi Stephane, NANOG –

<div dir="auto"><br /></div>

<div dir="auto">Do the math for all pertained prefixes in the pastes, those 3 prefixes were just examples I had at hand, </div>

<div dir="auto">and the event is still of quite some significance. Albeit ROA-validating routers being an argument that </div>

<div dir="auto">extenuates probabilities and the ensuing effect, deployment of such still lacks, hence my mention of </div>

<div dir="auto">reaching levels of (random guess) 90% global visibility still, taken the attacker understands ROA.</div>

<div dir="auto"><br /></div>

<div dir="auto">It is certainly unlikely that networks that are known for rather puerile filtering, or lack of adequate filtering </div>

<div dir="auto">to filter the networks, so ultimately they will inevitably still transpire in the global tables. An impression </div>

<div dir="auto">emerges that commitment in resolving this incident lacks, apart from  the guys over at NTT which, </div>

<div dir="auto">from what I gathered, suspended their IRR account temporarily to prevent further damage. </div>

</div>

</div>

<div name="messageSignatureSection"><br />

<div dir="auto"><font style="font-size: 12px;">—</font></div>

<div dir="auto"><font style="font-size: 12px;">Cheers,</font></div>

<font style="font-size: 12px;"><b>Florian Brandstetter</b></font></div>

<div name="messageReplySection">On 27. Jan 2020, 7:03 PM +0100, Stephane Bortzmeyer <bortzmeyer@nic.fr>, wrote:<br />

<blockquote type="cite" class="spark_quote" style="margin: 5px 5px; padding-left: 10px; border-left: thin solid #1abc9c;">On Sat, Jan 25, 2020 at 12:06:51AM +0100,<br />

Florian Brandstetter <florianb@globalone.io> wrote<br />

a message of 53 lines which said:<br />

<br />

<blockquote type="cite" class="spark_quote" style="margin: 5px 5px; padding-left: 10px; border-left: thin solid #e67e22;">Examples of affected networks are:<br />

<br />

193.30.32.0/23<br />

45.129.92.0/23<br />

45.129.94.0/24<br /></blockquote>

<br />

Note that 193.30.32.0/23 has also a ROA (announces by 42198). So,<br />

announces by AS8100 would be RPKI-invalid.<br />

<br />

45.129.92.0/23 also has a ROA. Strangely, the prefix stopped being<br />

announced on sunday 26.<br />

<br />

45.129.94.0/24 has a ROA and is normally announced.<br />

<br />

So, if AS8100 were to use its abnormal route objects , announces would<br />

still be refused by ROA-validating routers.<br />

<br />

<br /></blockquote>

</div>

</body>

</html>