Səhv BGP elanı nəticəsində 8800-dən çox xarici şəbəkə prefiksi Rostelecom şəbəkəsi vasitəsilə, bu, marşrutlaşdırmanın qısamüddətli dağılmasına, şəbəkə bağlantısının pozulmasına və bütün dünyada bəzi xidmətlərə çıxışla bağlı problemlərə səbəb oldu. Problem Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level200, Facebook, Alibaba və Linode daxil olmaqla, böyük İnternet şirkətlərinə və məzmun çatdırma şəbəkələrinə məxsus 3-dən çox muxtar sistem.
Səhv elan Rostelecom (AS12389) tərəfindən aprelin 1-də saat 22:28-də (MSK) edildi, sonra Rascom provayderi (AS20764) tərəfindən götürüldü və daha sonra Cogent (AS174) və Level3 (AS3356) zəncirinə yayıldı. , sahəsi demək olar ki, bütün İnternet provayderlərini əhatə edən birinci səviyyə (). BGP problem barədə Rostelecom-a dərhal məlumat verdi, buna görə də hadisə təxminən 10 dəqiqə davam etdi (müvafiq olaraq təsirlər təxminən bir saat müşahidə edildi).
Bu, Rostelecom tərəfində səhvlə bağlı ilk hadisə deyil. 2017-ci ildə Rostelecom vasitəsilə 5-7 dəqiqə ərzində Visa və MasterCard daxil olmaqla ən böyük bankların və maliyyə xidmətlərinin şəbəkələri. Hər iki hadisədə problemin mənbəyi görünür trafikin idarə edilməsi ilə bağlı işlər, məsələn, müəyyən xidmətlər və CDN-lər üçün Rostelecom-dan keçən trafikin daxili monitorinqi, prioritetləşdirilməsi və ya əks etdirilməsi təşkil edilərkən marşrutların sızması baş verə bilər (sonunda evdən kütləvi iş səbəbindən şəbəkə yükünün artması səbəbindən). mart xarici xidmətlərin trafikinin prioritetinin daxili resursların xeyrinə azaldılması məsələsi). Məsələn, bir neçə il əvvəl Pakistanda buna cəhd edildi Boş interfeysdəki YouTube alt şəbəkələri bu alt şəbəkələrin BGP elanlarında görünməsinə və bütün YouTube trafikinin Pakistana axmasına səbəb oldu.
Maraqlıdır ki, Rostelecom ilə insidentdən bir gün əvvəl şəhərin kiçik provayderi "Yeni Reallıq" (AS50048). Transtelecom vasitəsilə idi Orange, Akamai, Rostelecom və 2658-dən çox şirkətin şəbəkələrinə təsir edən 300 prefiks. Marşrutun sızması bir neçə dəqiqə davam edən bir neçə trafik yönləndirmə dalğası ilə nəticələndi. Ən yüksək nöqtədə problem 13.5 milyona qədər IP ünvanına təsir etdi. Transtelecom-un hər bir müştəri üçün marşrut məhdudiyyətlərindən istifadə etməsi sayəsində nəzərəçarpacaq qlobal pozuntunun qarşısı alındı.
İnternetdə də oxşar hadisələr baş verir və hər yerdə həyata keçirilənə qədər davam edəcək Yalnız şəbəkə sahiblərindən elanların qəbuluna imkan verən RPKI (BGP Origin Validation) əsasında BGP elanları. İcazəsiz istənilən operator alt şəbəkəni marşrut uzunluğu haqqında uydurma məlumatlarla reklam edə və reklam filtrini tətbiq etməyən digər sistemlərdən trafikin bir hissəsinin özü vasitəsilə tranzitinə başlaya bilər.
Eyni zamanda, baxılan hadisədə RIPE RPKI deposundan istifadə edən bir çek olduğu ortaya çıxdı. . Təsadüfən, Rostelecom-da BGP marşrutunun sızmasından üç saat əvvəl, RIPE proqramının yenilənməsi prosesi zamanı, 4100 ROA qeydləri (RPKI Route Origin Authorization). Verilənlər bazası yalnız aprelin 2-də bərpa edildi və bütün bu müddət ərzində çek RIPE müştəriləri üçün işləmirdi (problem digər qeydiyyatçıların RPKI depolarına təsir etmədi). Bu gün RIPE-də 7 saat ərzində yeni problemlər və RPKI deposu var .
Reyestr əsaslı filtrləmə sızmaların qarşısını almaq üçün həll yolu kimi də istifadə edilə bilər Müəyyən edilmiş prefikslərin marşrutlaşdırılmasına icazə verilən avtonom sistemləri müəyyən edən (Internet Routing Registry). Kiçik operatorlarla əlaqə qurarkən, insan səhvlərinin təsirini azaltmaq üçün EBGP seansları üçün qəbul edilən prefikslərin maksimum sayını məhdudlaşdıra bilərsiniz (maksimum prefiks parametri).
Əksər hallarda insidentlər kadrların təsadüfi səhvləri nəticəsində baş verir, lakin son vaxtlar hücumçular provayderlərin infrastrukturunu pozan məqsədli hücumlar da baş verir. и üçün trafik DNS cavablarını əvəz etmək üçün MiTM hücumu təşkil etməklə xüsusi saytlar.
Bu cür hücumlar zamanı TLS sertifikatlarının əldə edilməsini çətinləşdirmək üçün Let's Encrypt sertifikat orqanı müxtəlif alt şəbəkələrdən istifadə edərək çox mövqeli domen yoxlamasına. Bu yoxlamadan keçmək üçün təcavüzkar eyni vaxtda müxtəlif yuxarı keçidləri olan bir neçə avtonom provayder sistemləri üçün marşrutun yönləndirilməsinə nail olmalıdır ki, bu da bir marşrutun yönləndirilməsindən qat-qat çətindir.
Mənbə: opennet.ru