ጤና ይስጥልኝ ስሜ አሌክሳንደር አዚሞቭ ነው። በ Yandex ውስጥ, የተለያዩ የክትትል ስርዓቶችን, እንዲሁም የትራንስፖርት አውታር ስነ-ህንፃዎችን እገነባለሁ. ግን ዛሬ ስለ BGP ፕሮቶኮል እንነጋገራለን.
ከሳምንት በፊት Yandex ከሁሉም አቻ አጋሮች እና እንዲሁም የትራፊክ መለዋወጫ ነጥቦችን በመገናኛዎች ላይ ROV (Route Origin Validation)ን አንቅቷል። ይህ ለምን እንደተደረገ እና ከቴሌኮም ኦፕሬተሮች ጋር ያለውን ግንኙነት እንዴት እንደሚጎዳ ከዚህ በታች ያንብቡ።
BGP እና ምን ችግር አለው
BGP የተነደፈው እንደ ኢንተርዶሜይን ማዘዋወር ፕሮቶኮል መሆኑን ያውቁ ይሆናል። ሆኖም በመንገዱ ላይ የአጠቃቀም ጉዳዮች ቁጥር ማደግ ችሏል፡ ዛሬ ቢጂፒ ለብዙ ቅጥያዎች ምስጋና ይግባውና ወደ መልእክት አውቶቡስነት ተቀይሯል ከኦፕሬተር ቪፒኤን እስከ አሁን ፋሽን የሆነው ኤስዲ-WAN ድረስ ያለውን ተግባር ይሸፍናል እና አፕሊኬሽኑንም አግኝቷል። ለኤስዲኤን መሰል መቆጣጠሪያ ማጓጓዣ፣ የርቀት ቬክተር BGPን ወደ ማገናኛው ተመሳሳይ ነገር በመቀየር ፕሮቶኮል ተቀምጧል።
ምስል አስራ አምስት.
BGP ለምን ብዙ አጠቃቀሞችን ተቀብሏል (እና ማግኘቱን ይቀጥላል)? ሁለት ዋና ዋና ምክንያቶች አሉ፡-
- BGP በራስ ገዝ ስርዓቶች (AS) መካከል የሚሰራ ብቸኛው ፕሮቶኮል ነው።
- BGP ባህሪያትን በTLV (አይነት-ርዝመት-እሴት) ቅርጸት ይደግፋል። አዎን ፣ ፕሮቶኮሉ በዚህ ውስጥ ብቻውን አይደለም ፣ ግን በቴሌኮም ኦፕሬተሮች መካከል ባለው መገናኛ ላይ የሚተካ ምንም ነገር ስለሌለ ፣ ሁልጊዜ ተጨማሪ የማዞሪያ ፕሮቶኮልን ከመደገፍ ይልቅ ሌላ ተግባራዊ አካል ማያያዝ የበለጠ ትርፋማ ይሆናል።
ምን አመጣው? በአጭሩ፣ ፕሮቶኮሉ የተቀበለውን መረጃ ትክክለኛነት ለማረጋገጥ አብሮ የተሰሩ ስልቶች የሉትም። ያም ማለት BGP የቅድሚያ እምነት ፕሮቶኮል ነው፡ አሁን የ Rostelecom፣ MTS ወይም Yandex አውታረመረብ ባለቤት መሆንዎን ለአለም መንገር ከፈለጉ እባክዎን!
IRRDB ላይ የተመሰረተ ማጣሪያ - ከመጥፎዎች ውስጥ ምርጡ
ጥያቄው የሚነሳው ለምንድን ነው በይነመረቡ አሁንም በእንደዚህ ዓይነት ሁኔታ ውስጥ የሚሰራው? አዎን, ብዙ ጊዜ ይሰራል, ግን በተመሳሳይ ጊዜ አልፎ አልፎ ይፈነዳል, ይህም አጠቃላይ ብሄራዊ ክፍሎችን ተደራሽ ያደርገዋል. ምንም እንኳን በBGP ውስጥ የጠላፊ እንቅስቃሴ እየጨመረ ቢሆንም፣ አብዛኛዎቹ ያልተለመዱ ችግሮች አሁንም በትልች ይከሰታሉ። የዘንድሮው ምሳሌ ነው። በቤላሩስ ውስጥ ለሜጋፎን ተጠቃሚዎች ለግማሽ ሰዓት ያህል ጉልህ የሆነ የበይነመረብ ክፍል እንዳይደርስ አድርጓል። ሌላ ምሳሌ፡- በዓለም ላይ ካሉት ትልቁ የሲዲኤን አውታረ መረቦች አንዱን ሰበረ።
ሩዝ. 2. Cloudflare የትራፊክ መጥለፍ
ግን አሁንም ፣ እንደዚህ ያሉ ያልተለመዱ ችግሮች በየስድስት ወሩ አንድ ጊዜ ለምን ይከሰታሉ ፣ እና በየቀኑ አይደሉም? ምክንያቱም አጓጓዦች ከBGP ጎረቤቶች ምን እንደሚቀበሉ ለማረጋገጥ የማዘዋወር መረጃን ውጫዊ ዳታቤዝ ይጠቀማሉ። ብዙ እንደዚህ ያሉ የመረጃ ቋቶች አሉ ፣ አንዳንዶቹ በመዝጋቢዎች የሚተዳደሩ ናቸው (RIPE ፣ APNIC ፣ ARIN ፣ AFRINIC) ፣ የተወሰኑት ገለልተኛ ተጫዋቾች ናቸው (በጣም ታዋቂው RADB ነው) እና በትላልቅ ኩባንያዎች ባለቤትነት የተያዙ አጠቃላይ የመዝጋቢዎች ስብስብም አለ (ደረጃ 3) ፣ NTT ፣ ወዘተ.) የኢንተር-ጎራ ማዘዋወር የስራውን አንጻራዊ መረጋጋት የሚጠብቀው ለእነዚህ የውሂብ ጎታዎች ምስጋና ይግባው ነው።
ሆኖም ግን, ልዩነቶች አሉ. የማዞሪያ መረጃ የሚመረመረው በROUTE-OBJECTS እና AS-SET ነገሮች ላይ በመመስረት ነው። እና የመጀመሪያው የሚያመለክተው ለ IRRDB ክፍል ፈቃድን ነው፣ ከዚያ ለሁለተኛው ክፍል እንደ ክፍል ምንም ፈቃድ የለም። ያም ማለት ማንኛውም ሰው ማንንም ወደ ስብስባቸው ማከል እና በዚህም የላይኞቹን አቅራቢዎች ማጣሪያ ማለፍ ይችላል። ከዚህም በላይ የ AS-SET ስያሜ በተለያዩ የ IRR መሠረቶች መካከል ያለው ልዩነት ዋስትና የለውም, ይህም ለቴሌኮም ኦፕሬተር ድንገተኛ የግንኙነት መጥፋት በሚያስደንቅ ሁኔታ ወደ አስገራሚ ውጤቶች ሊያመራ ይችላል, እሱም በበኩሉ ምንም ለውጥ አላመጣም.
ተጨማሪ ፈተና የ AS-SET የአጠቃቀም ንድፍ ነው። እዚህ ሁለት ነጥቦች አሉ.
- አንድ ኦፕሬተር አዲስ ደንበኛ ሲያገኝ፣ ወደ AS-SET ይጨምረዋል፣ ግን በጭራሽ አያስወግደውም።
- ማጣሪያዎቹ እራሳቸው የተዋቀሩ ከደንበኞች ጋር ባሉ መገናኛዎች ላይ ብቻ ነው.
በውጤቱም፣ የBGP ማጣሪያዎች ዘመናዊ ቅርፀት ከደንበኞች ጋር ባሉ መገናኛዎች ላይ ቀስ በቀስ የሚያዋርድ ማጣሪያዎችን እና ከአቻ አጋሮች እና የአይፒ ትራንዚት አቅራቢዎች በሚመጡት ነገሮች ላይ እምነትን ያካትታል።
በ AS-SET ላይ በመመስረት ቅድመ ቅጥያ ማጣሪያዎችን የሚተካው ምንድን ነው? በጣም የሚያስደስት ነገር በአጭር ጊዜ ውስጥ - ምንም አይደለም. ነገር ግን በ IRRDB ላይ የተመሰረቱ ማጣሪያዎች ሥራን የሚያሟሉ ተጨማሪ ዘዴዎች እየመጡ ነው, እና በመጀመሪያ, ይህ በእርግጥ, RPKI ነው.
አርፒኪ
ቀለል ባለ መንገድ፣ የ RPKI አርክቴክቸር መዝገቦቹ ምስጢራዊ በሆነ መልኩ ሊረጋገጡ የሚችሉ እንደ የተከፋፈለ የውሂብ ጎታ ተደርጎ ሊወሰድ ይችላል። በROA (Route Object Authorization) ሁኔታ ፈራሚው የአድራሻ ቦታው ባለቤት ነው፣ እና መዝገቡ ራሱ ሶስት እጥፍ (ቅድመ ቅጥያ፣ አስን፣ ከፍተኛ_ርዝመት) ነው። በመሰረቱ ይህ ግቤት የሚከተለውን ይለጠፋል፡ የ$ ቅድመ ቅጥያ አድራሻ ቦታ ባለቤት የAS ቁጥር $asn ከ$max_length የማይበልጥ ርዝመት ያላቸውን ቅድመ ቅጥያዎችን እንዲያስተዋውቅ ፈቅዶለታል። እና ራውተሮች፣ የ RPKI መሸጎጫ በመጠቀም፣ ጥንዶቹን ለማክበር ማረጋገጥ ይችላሉ። ቅድመ ቅጥያ - በመንገድ ላይ የመጀመሪያው ተናጋሪ.
ምስል 3. RPKI architecture
የ ROA ዕቃዎች ደረጃቸውን የጠበቁ ለረጅም ጊዜ ነው፣ ግን እስከ ቅርብ ጊዜ ድረስ በ IETF ጆርናል ላይ በወረቀት ላይ ብቻ ይቆያሉ። በእኔ አስተያየት የዚህ ምክንያቱ አስፈሪ ይመስላል - መጥፎ ግብይት። ደረጃውን የጠበቀ አሰራር ከተጠናቀቀ በኋላ፣ ማበረታቻው ROA ከBGP ጠለፋ እንዲከላከል ነበር - ይህ እውነት አልነበረም። አጥቂዎች በመንገዱ መጀመሪያ ላይ ትክክለኛውን የAC ቁጥር በማስገባት ROA ላይ የተመሰረቱ ማጣሪያዎችን በቀላሉ ማለፍ ይችላሉ። እና ይህ ግንዛቤ እንደመጣ, ቀጣዩ ምክንያታዊ እርምጃ የ ROA አጠቃቀምን መተው ነበር. እና በእውነቱ, ካልሰራ ቴክኖሎጂ ለምን ያስፈልገናል?
ሐሳብህን ለመለወጥ ጊዜው ለምን ሆነ? ምክንያቱም ይህ ሙሉው እውነት አይደለም. ROA በBGP ውስጥ ከጠላፊ እንቅስቃሴ አይከላከልም፣ ነገር ግን ድንገተኛ የትራፊክ ጠለፋዎችን ይከላከላልለምሳሌ በBGP ውስጥ ከሚታዩ የማይታዩ ፍንጣቂዎች፣ ይህም በጣም እየተለመደ ነው። እንዲሁም፣ ከአይአርአር ላይ ከተመሰረቱ ማጣሪያዎች በተለየ፣ ROV ከደንበኞች ጋር በሚገናኙበት መገናኛዎች ላይ ብቻ ሳይሆን ከእኩዮች እና አቅራቢዎች ጋር ባሉ መገናኛዎችም መጠቀም ይቻላል። ማለትም፣ ከ RPKI መግቢያ ጋር፣ የቅድሚያ እምነት ቀስ በቀስ ከBGP እየጠፋ ነው።
አሁን ROA ላይ የተመሰረተ የመንገድ ፍተሻ ቀስ በቀስ በቁልፍ ተጫዋቾች እየተተገበረ ነው፡ ትልቁ የአውሮፓ IX ቀድሞውንም የተሳሳቱ መንገዶችን እየጣለ ነው፡ ከደረጃ 1 ኦፕሬተሮች መካከል AT&T ማድመቅ ተገቢ ነው፣ ይህም ከአቻ አጋሮቹ ጋር በይነ መረብ ማጣሪያዎችን ያስቻለ። ትልቁ የይዘት አቅራቢዎችም ወደ ፕሮጀክቱ እየቀረቡ ነው። እና በደርዘን የሚቆጠሩ መካከለኛ መጠን ያላቸው የመጓጓዣ ኦፕሬተሮች ለማንም ሳይነግሩ በጸጥታ ተግባራዊ አድርገውታል። ለምንድነው እነዚህ ሁሉ ኦፕሬተሮች RPKI የሚተገብሩት? መልሱ ቀላል ነው፡ የእርስዎን ወጪ ትራፊክ ከሌሎች ሰዎች ስህተት ለመጠበቅ። ለዚያም ነው Yandex በአውታረ መረቡ ጠርዝ ላይ ROV ን ለማካተት በሩሲያ ፌዴሬሽን ውስጥ የመጀመሪያዎቹ አንዱ የሆነው።
ቀጥሎ ምን ይሆናል?
አሁን የትራፊክ መረጃን ከትራፊክ መለዋወጫ ነጥቦች እና ከግል አቻዎች ጋር በመገናኛዎች ላይ ማረጋገጥን አስችለናል። በቅርብ ጊዜ ውስጥ፣ ከትራፊክ አቅራቢዎች ጋር ማረጋገጥም ይነቃል።
ይህ ለእርስዎ ምን ልዩነት አለው? በአውታረ መረብዎ እና በ Yandex መካከል ያለውን የትራፊክ ማዘዋወር ደህንነትን ለመጨመር ከፈለጉ እኛ እንመክራለን-
- የአድራሻ ቦታዎን ይፈርሙ - ቀላል ነው, በአማካይ ከ5-10 ደቂቃዎች ይወስዳል. ይህ አንድ ሰው ሳያስበው የአድራሻ ቦታዎን ቢሰርቅ የእኛን ግንኙነት ይጠብቀናል (እና ይህ በእርግጠኝነት ፈጥኖም ሆነ ዘግይቶ ይከሰታል);
- ከክፍት ምንጭ RPKI መሸጎጫዎች አንዱን ጫን (, ) እና በኔትወርኩ ድንበር ላይ የመንገድ መፈተሻን አንቃ - ይህ ተጨማሪ ጊዜ ይወስዳል, ግን እንደገና, ምንም አይነት ቴክኒካዊ ችግሮች አያስከትልም.
Yandex እንዲሁ በአዲሱ የ RPKI ነገር ላይ የተመሠረተ የማጣሪያ ስርዓት ልማትን ይደግፋል - (ራስ ገዝ የስርዓት አቅራቢ ፈቃድ)። በ ASPA እና ROA ነገሮች ላይ የተመሰረቱ ማጣሪያዎች "leaky" AS-SETsን መተካት ብቻ ሳይሆን BGPን በመጠቀም የMiTM ጥቃቶችን ጉዳዮችንም መዝጋት ይችላሉ።
በሚቀጥለው ሆፕ ኮንፈረንስ በአንድ ወር ውስጥ ስለ ASPA በዝርዝር እናገራለሁ. ከ Netflix ፣ Facebook ፣ Dropbox ፣ Juniper ፣ Mellanox እና Yandex ያሉ ባልደረቦች እዚያ ይናገራሉ ። ለወደፊቱ የአውታረ መረብ ቁልል እና እድገቱ ፍላጎት ካሎት ይምጡ .
ምንጭ: hab.com