በተሳሳተ የBGP ማስታወቂያ ምክንያት ከ8800 በላይ የውጭ አውታረ መረብ ቅድመ ቅጥያዎች በ Rostelecom አውታረመረብ በኩል ለአጭር ጊዜ የመንገዶች ውድቀት ፣ የአውታረ መረብ ግንኙነት መቋረጥ እና በዓለም ዙሪያ ያሉ አንዳንድ አገልግሎቶችን የማግኘት ችግሮች እንዲፈጠሩ ምክንያት ሆኗል ። ችግር አካማይ፣ ክላውድፍላር፣ ዲጂታል ውቅያኖስ፣ Amazon AWS፣ Hetzner፣ Level200፣ Facebook፣ Alibaba እና Linodeን ጨምሮ በዋና ዋና የኢንተርኔት ኩባንያዎች ባለቤትነት የተያዙ ከ3 በላይ ራሳቸውን የቻሉ ስርዓቶች እና የይዘት አቅርቦት ኔትወርኮች።
የተሳሳተው ማስታወቂያ በRostelecom (AS12389) ኤፕሪል 1 ቀን 22፡28 (ኤምኤስኬ)፣ ከዚያም በአገልግሎት አቅራቢው Rascom (AS20764) ተወሰደ እና በሰንሰለቱ ተጨማሪ ወደ Cogent (AS174) እና Level3 (AS3356) ተሰራጭቷል። በመጀመሪያ ደረጃ ሁሉንም የበይነመረብ አቅራቢዎችን የሚሸፍነው መስክ (). BGP ስለ ችግሩ ወዲያውኑ ለሮstelecom አሳወቀ፣ ስለዚህ ክስተቱ ለ10 ደቂቃ ያህል ቆየ (በዚህም መሰረት ውጤቱ ለአንድ ሰዓት ያህል ታይቷል).
ይህ በRostelecom በኩል ስህተትን የሚያካትት የመጀመሪያው ክስተት አይደለም። በ 2017 በ 5-7 ደቂቃዎች ውስጥ በ Rostelecom በኩል ቪዛ እና ማስተር ካርድን ጨምሮ የትላልቅ ባንኮች እና የፋይናንስ አገልግሎቶች አውታረ መረቦች። በሁለቱም ሁኔታዎች የችግሩ ምንጭ ይመስላል ከትራፊክ አስተዳደር ጋር የተገናኘ ሥራ ለምሳሌ የውስጥ ቁጥጥርን ሲያደራጅ፣ ቅድሚያ ሲሰጥ ወይም በ Rostelecom በኩል የሚያልፈውን ትራፊክ በማንፀባረቅ ለተወሰኑ አገልግሎቶች እና ሲዲኤን (በመገባደጃ ላይ ከቤት በጅምላ በሚሠራው ሥራ ምክንያት የኔትወርክ ጭነት መጨመር ምክንያት የመንገድ ፍሰት) ሊከሰት ይችላል። መጋቢት የአገር ውስጥ ሀብቶችን በመደገፍ ለውጭ አገልግሎቶች ትራፊክ ቅድሚያ የመቀነስ ጉዳይ). ለምሳሌ ከበርካታ አመታት በፊት በፓኪስታን አንድ ሙከራ ተደርጓል ባዶ በይነገጽ ላይ ያሉት የዩቲዩብ ንኡስ መረቦች እነዚህ ንዑስ መረቦች በBGP ማስታወቂያ ላይ እንዲታዩ እና ሁሉም የዩቲዩብ ትራፊክ ወደ ፓኪስታን እንዲፈስ አድርጓል።
ከ Rostelecom ጋር ከመከሰቱ አንድ ቀን በፊት ትንሹ አቅራቢ “አዲስ እውነታ” (AS50048) ከከተማው መገኘቱ ትኩረት የሚስብ ነው። በ Transtelecom በኩል ነበር። 2658 ቅድመ-ቅጥያዎች ኦሬንጅ፣ አካማይ፣ Rostelecom እና ከ300 በላይ ኩባንያዎች አውታረ መረቦችን የሚነኩ ናቸው። የመንገዱ መፍሰስ ለብዙ ደቂቃዎች የሚቆይ በርካታ የትራፊክ ማዞሪያዎችን አስከትሏል። ከፍተኛ ደረጃ ላይ ሲደርስ ችግሩ እስከ 13.5 ሚሊዮን አይ ፒ አድራሻዎች ተነካ። ትራንስቴሌኮም ለእያንዳንዱ ደንበኛ የመንገድ ገደቦችን በመጠቀሙ ምክንያት ጉልህ የሆነ ዓለም አቀፍ መስተጓጎል ቀርቷል።
በይነመረብ ላይ ተመሳሳይ ክስተቶች ይከሰታሉ እና በሁሉም ቦታ እስኪተገበሩ ድረስ ይቀጥላሉ የBGP ማስታወቂያዎች በRPKI (BGP Origin Validation) ላይ የተመሠረቱ፣ ማስታወቂያዎችን ከአውታረ መረብ ባለቤቶች ብቻ እንዲቀበሉ የሚፈቅዱ። ያለፈቃድ፣ ማንኛውም ኦፕሬተር ስለመንገድ ርዝማኔው ምናባዊ መረጃ ያለው ንኡስ መረብ ማስተዋወቅ እና የማስታወቂያ ማጣሪያን ከማይተገበሩ ሌሎች ስርዓቶች በከፊል የትራፊክ ፍሰትን ማስጀመር ይችላል።
በተመሳሳይ ጊዜ፣ እየተገመገመ ባለው ክስተት፣ የ RIPE RPKI ማከማቻን በመጠቀም የተደረገ ቼክ ሆነ። . በአጋጣሚ በ Rostelecom ውስጥ የቢጂፒ መንገድ ከመፍሰሱ ከሶስት ሰዓታት በፊት ፣ የ RIPE ሶፍትዌርን በማዘመን ሂደት ውስጥ ፣ 4100 ROA መዝገቦች (RPKI Route Origin License)። ዳታቤዙ የተመለሰው በኤፕሪል 2 ብቻ ነው፣ እና በዚህ ጊዜ ሁሉ ቼኩ ለRIPE ደንበኞች የማይሰራ ነበር (ችግሩ የሌሎች መዝጋቢዎችን የ RPKI ማከማቻዎች ላይ ተጽዕኖ አላሳደረም)። ዛሬ RIPE አዲስ ችግሮች እና የ RPKI ማከማቻ በ7 ሰአታት ውስጥ አለው። .
በመመዝገቢያ ላይ የተመሰረተ ማጣሪያ ፍሳሾችን ለማገድ እንደ መፍትሄም ሊያገለግል ይችላል። (የኢንተርኔት ራውቲንግ መዝገብ ቤት)፣ የተወሰኑ ቅድመ ቅጥያዎችን ማዘዋወር የሚፈቀድባቸው ራስ ገዝ ስርዓቶችን ይገልጻል። ከትናንሽ ኦፕሬተሮች ጋር በሚገናኙበት ጊዜ, የሰዎችን ስህተቶች ተፅእኖ ለመቀነስ, ለ EBGP ክፍለ ጊዜዎች (ከፍተኛው ቅድመ-ቅጥያ ቅንብር) ከፍተኛውን ተቀባይነት ያላቸው ቅድመ ቅጥያዎችን መገደብ ይችላሉ.
በአብዛኛዎቹ አጋጣሚዎች ክስተቶች በአጋጣሚ የሰራተኞች ስህተቶች ውጤቶች ናቸው, ነገር ግን በቅርብ ጊዜ የተነጣጠሩ ጥቃቶችም አሉ, በዚህ ጊዜ አጥቂዎች የአቅራቢዎችን መሠረተ ልማት ያበላሻሉ. и ትራፊክ ለ የዲኤንኤስ ምላሾችን ለመተካት የ MiTM ጥቃትን በማደራጀት የተወሰኑ ጣቢያዎች።
እንደዚህ ባሉ ጥቃቶች ወቅት የTLS ሰርተፍኬቶችን ለማግኘት የበለጠ አስቸጋሪ ለማድረግ፣ የምስክር ወረቀት ባለስልጣን እናመስጥር የተለያዩ ንኡስ መረቦችን በመጠቀም ወደ ባለብዙ አቀማመጥ ጎራ ማጣራት። ይህንን ቼክ ለማለፍ አጥቂው በአንድ ጊዜ የተለያዩ አገናኞች ላሏቸው አቅራቢዎች የመንገድ አቅጣጫ አቅጣጫ ማሳካት ይኖርበታል፣ ይህም አንድን መንገድ ከማዞር የበለጠ ከባድ ነው።
ምንጭ: opennet.ru