نتيجة لإعلان خاطئ عن BGP، تم تدمير أكثر من 8800 بادئة للشبكة الأجنبية من خلال شبكة Rostelecom، مما أدى إلى انهيار التوجيه على المدى القصير وتعطيل الاتصال بالشبكة ومشاكل في الوصول إلى بعض الخدمات حول العالم. مشكلة أكثر من 200 نظام مستقل تملكه شركات الإنترنت الكبرى وشبكات توصيل المحتوى، بما في ذلك Akamai وCloudflare وDigital Ocean وAmazon AWS وHetzner وLevel3 وFacebook وAlibaba وLinode.
تم إصدار الإعلان الخاطئ بواسطة Rostelecom (AS12389) في 1 أبريل الساعة 22:28 (MSK)، ثم تم التقاطه من قبل المزود Rascom (AS20764) ثم انتشر على طول السلسلة إلى Cogent (AS174) وLevel3 (AS3356). والذي يغطي مجاله تقريبًا جميع مزودي خدمة الإنترنت من المستوى الأول (). أبلغت BGP شركة Rostelecom على الفور بالمشكلة، لذلك استمر الحادث حوالي 10 دقائق (وفقًا لـ وقد لوحظت التأثيرات لمدة ساعة تقريبًا).
هذه ليست الحادثة الأولى التي تنطوي على خطأ من جانب Rostelecom. في عام 2017 في غضون 5-7 دقائق عبر Rostelecom شبكات من أكبر البنوك والخدمات المالية، بما في ذلك فيزا وماستركارد. وفي كلتا الحالتين، يبدو أن مصدر المشكلة هو العمل المتعلق بإدارة حركة المرور، على سبيل المثال، يمكن أن يحدث تسرب للطرق عند تنظيم المراقبة الداخلية أو تحديد الأولويات أو عكس حركة المرور التي تمر عبر Rostelecom لبعض الخدمات وشبكات CDN (بسبب زيادة حمل الشبكة بسبب العمل الجماعي من المنزل في نهاية يمشي مسألة تخفيض أولوية حركة الخدمات الخارجية لصالح الموارد المحلية). على سبيل المثال، قبل عدة سنوات جرت محاولة في باكستان أدت شبكات YouTube الفرعية على الواجهة الفارغة إلى ظهور هذه الشبكات الفرعية في إعلانات BGP وتدفق كل حركة مرور YouTube إلى باكستان.
ومن المثير للاهتمام أنه في اليوم السابق لحادثة Rostelecom، المزود الصغير "New Reality" (AS50048) من المدينة. من خلال Transtelecom كان 2658 بادئة تؤثر على Orange وAkamai وRostelecom وشبكات أكثر من 300 شركة. أدى تسرب المسار إلى عدة موجات من عمليات إعادة توجيه حركة المرور استمرت عدة دقائق. وفي ذروتها، أثرت المشكلة على ما يصل إلى 13.5 مليون عنوان IP. تم تجنب حدوث اضطراب عالمي ملحوظ بفضل استخدام Transtelecom لقيود المسار لكل عميل.
تحدث حوادث مماثلة على شبكة الإنترنت وسوف تستمر حتى يتم تنفيذها في كل مكان إعلانات BGP المستندة إلى RPKI (التحقق من أصل BGP)، مما يسمح باستقبال الإعلانات من مالكي الشبكة فقط. بدون تصريح، يمكن لأي مشغل الإعلان عن شبكة فرعية تحتوي على معلومات وهمية حول طول المسار وبدء النقل عبر جزء من حركة المرور من الأنظمة الأخرى التي لا تطبق تصفية الإعلانات.
في الوقت نفسه، في الحادث قيد النظر، تبين أن التحقق باستخدام مستودع RIPE RPKI . بالصدفة، قبل ثلاث ساعات من تسرب مسار BGP في Rostelecom، أثناء عملية تحديث برنامج RIPE، 4100 سجلات ROA (ترخيص أصل طريق RPKI). تمت استعادة قاعدة البيانات في 2 أبريل فقط، وطوال هذا الوقت كان الفحص غير صالح لعملاء RIPE (لم تؤثر المشكلة على مستودعات RPKI للمسجلين الآخرين). تواجه RIPE اليوم مشكلات جديدة ومستودع RPKI في غضون 7 ساعات .
يمكن أيضًا استخدام التصفية المستندة إلى التسجيل كحل لمنع التسريبات (سجل توجيه الإنترنت)، الذي يحدد الأنظمة المستقلة التي يُسمح من خلالها بتوجيه البادئات المحددة. عند التفاعل مع المشغلين الصغار، لتقليل تأثير الأخطاء البشرية، يمكنك تحديد الحد الأقصى لعدد البادئات المقبولة لجلسات EBGP (إعداد الحد الأقصى للبادئة).
في معظم الحالات، تكون الحوادث نتيجة لأخطاء عرضية من جانب الموظفين، ولكن في الآونة الأخيرة حدثت أيضًا هجمات مستهدفة، حيث قام المهاجمون بتهديد البنية التحتية لمقدمي الخدمات и حركة المرور ل مواقع محددة من خلال تنظيم هجوم MiTM لاستبدال استجابات DNS.
ولجعل الأمر أكثر صعوبة في الحصول على شهادات TLS أثناء مثل هذه الهجمات، فقد تم استخدام المرجع المصدق Let's Encrypt لفحص المجال متعدد المواضع باستخدام شبكات فرعية مختلفة. لتجاوز هذا الفحص، سيحتاج المهاجم إلى تحقيق إعادة توجيه المسار في الوقت نفسه للعديد من الأنظمة المستقلة لمقدمي الخدمة ذوي الوصلات الصاعدة المختلفة، وهو أمر أصعب بكثير من إعادة توجيه مسار واحد.
المصدر: opennet.ru