Kao rezultat pogrešne objave BGP-a, više od 8800 stranih mrežnih prefiksa preko mreže Rostelecom, što je dovelo do kratkotrajnog kolapsa rutiranja, prekida mrežne povezanosti i problema sa pristupom nekim servisima širom svijeta. Problem više od 200 autonomnih sistema u vlasništvu velikih internet kompanija i mreža za isporuku sadržaja, uključujući Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibabu i Linode.
Pogrešnu objavu je objavio Rostelecom (AS12389) 1. aprila u 22:28 (MSK), zatim ju je pokupio provajder Rascom (AS20764) i dalje duž lanca proširio se na Cogent (AS174) i Level3 (AS3356) , čija je oblast pokrivala gotovo sve internet provajdere prvog nivoa (). BGP je odmah obavestio Rostelekom o problemu, pa je incident trajao oko 10 minuta (prema efekti su opaženi oko sat vremena).
Ovo nije prvi incident koji uključuje grešku na strani Rostelekoma. 2017. u roku od 5-7 minuta preko Rostelecoma mreže najvećih banaka i finansijskih usluga, uključujući Visa i MasterCard. U oba incidenta, čini se da je izvor problema posao koji se odnosi na upravljanje prometom, na primjer, do curenja ruta može doći prilikom organiziranja internog nadzora, prioritizacije ili preslikavanja prometa koji prolazi kroz Rostelecom za određene usluge i CDN-ove (zbog povećanja opterećenja mreže zbog masovnog rada od kuće na kraju mart pitanje smanjenja prioriteta prometa stranih usluga u korist domaćih resursa). Na primjer, prije nekoliko godina u Pakistanu je učinjen pokušaj YouTube podmreže na null interfejsu dovele su do pojave ovih podmreža u BGP najavama i protoka celokupnog YouTube saobraćaja u Pakistan.
Zanimljivo je da je dan prije incidenta sa Rostelekomom, malim provajderom „Nova stvarnost“ (AS50048) iz grada. preko Transtelekoma je bilo 2658 prefiksa koji utiču na Orange, Akamai, Rostelecom i mreže više od 300 kompanija. Curenje rute rezultiralo je nekoliko talasa preusmjeravanja saobraćaja u trajanju od nekoliko minuta. Na svom vrhuncu, problem je uticao na do 13.5 miliona IP adresa. Primjetan globalni poremećaj izbjegnut je zahvaljujući Transtelecomovoj upotrebi ograničenja rute za svakog klijenta.
Slični incidenti se dešavaju na internetu i nastaviće se sve dok se ne implementiraju svuda BGP najave zasnovane na RPKI (BGP Origin Validation), dozvoljavajući prijem najava samo od vlasnika mreže. Bez autorizacije, svaki operater može reklamirati podmrežu sa fiktivnim informacijama o dužini rute i pokrenuti tranzit kroz sebe dijela saobraćaja iz drugih sistema koji ne primjenjuju filtriranje reklama.
U isto vrijeme, u incidentu koji se razmatra, ispostavilo se da je provjera korištenjem RIPE RPKI repozitorija . Igrom slučaja, tri sata pre curenja BGP rute u Rostelekomu, tokom procesa ažuriranja RIPE softvera, 4100 ROA zapisa (RPKI Ovlašćenje za polazak rute). Baza je obnovljena tek 2. aprila, a sve to vrijeme provjera je bila neoperativna za RIPE klijente (problem nije uticao na RPKI repozitorije drugih registratora). Danas RIPE ima nove probleme i RPKI spremište u roku od 7 sati .
Filtriranje zasnovano na registru također se može koristiti kao rješenje za blokiranje curenja (Internet Routing Registry), koji definiše autonomne sisteme preko kojih je dozvoljeno rutiranje određenih prefiksa. Kada komunicirate sa malim operaterima, da biste smanjili uticaj ljudskih grešaka, možete ograničiti maksimalni broj prihvaćenih prefiksa za EBGP sesije (postavka maksimalnog prefiksa).
U većini slučajeva, incidenti su rezultat slučajnih grešaka osoblja, ali nedavno je bilo i ciljanih napada, tokom kojih napadači kompromituju infrastrukturu provajdera. и saobraćaj za određene lokacije kroz organiziranje MiTM napada za zamjenu DNS odgovora.
Da bi otežali dobijanje TLS sertifikata tokom ovakvih napada, autoritet sertifikata Let's Encrypt na provjeru domena na više pozicija koristeći različite podmreže. Da bi zaobišao ovu provjeru, napadač će morati istovremeno postići preusmjeravanje rute za nekoliko autonomnih sistema provajdera s različitim uplinkovima, što je mnogo teže od preusmjeravanja jedne rute.
izvor: opennet.ru