O ganlyniad i gyhoeddiad BGP gwallus, mwy na 8800 rhagddodiaid rhwydwaith tramor drwy rwydwaith Rostelecom, a arweiniodd at gwymp tymor byr mewn llwybro, tarfu ar gysylltedd rhwydwaith a phroblemau gyda mynediad i rai gwasanaethau ledled y byd. Problem mwy na 200 o systemau ymreolaethol sy'n eiddo i gwmnïau Rhyngrwyd mawr a rhwydweithiau darparu cynnwys, gan gynnwys Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba a Linode.
Gwnaed y cyhoeddiad gwallus gan Rostelecom (AS12389) ar Ebrill 1 am 22:28 (MSK), yna cafodd ei godi gan y darparwr Rascom (AS20764) ac ymhellach ar hyd y gadwyn ymledodd i Cogent (AS174) a Level3 (AS3356) , yr oedd ei faes yn cwmpasu bron pob darparwr Rhyngrwyd lefel gyntaf (). Hysbysodd BGP Rostelecom yn brydlon am y broblem, felly parhaodd y digwyddiad tua 10 munud (yn ôl sylwyd ar yr effeithiau am tua awr).
Nid dyma'r digwyddiad cyntaf yn ymwneud â gwall ar ochr Rostelecom. Yn 2017 o fewn 5-7 munud trwy Rostelecom rhwydweithiau o'r banciau a'r gwasanaethau ariannol mwyaf, gan gynnwys Visa a MasterCard. Yn y ddau ddigwyddiad, mae'n ymddangos mai ffynhonnell y broblem yw gwaith sy'n ymwneud â rheoli traffig, er enghraifft, gallai llwybrau'n gollwng ddigwydd wrth drefnu monitro mewnol, blaenoriaethu neu adlewyrchu traffig sy'n mynd trwy Rostelecom ar gyfer rhai gwasanaethau a CDNs (oherwydd y cynnydd yn llwyth y rhwydwaith oherwydd gwaith torfol o gartref ar ddiwedd y cyfnod hwn). Mawrth y mater o ostwng y flaenoriaeth ar gyfer traffig gwasanaethau tramor o blaid adnoddau domestig). Er enghraifft, sawl blwyddyn yn ôl gwnaed ymgais ym Mhacistan Arweiniodd is-rwydweithiau YouTube ar y rhyngwyneb null at ymddangosiad yr is-rwydweithiau hyn mewn cyhoeddiadau BGP a llif yr holl draffig YouTube i Bacistan.
Mae'n ddiddorol bod y diwrnod cyn y digwyddiad gyda Rostelecom, y darparwr bach “New Reality” (AS50048) o'r ddinas. trwy Transtelecom yr oedd 2658 o rhagddodiaid yn effeithio ar Orange, Akamai, Rostelecom a rhwydweithiau mwy na 300 o gwmnïau. Arweiniodd gollyngiad y llwybr at sawl ton o ailgyfeiriadau traffig a barodd sawl munud. Ar ei hanterth, effeithiodd y broblem ar hyd at 13.5 miliwn o gyfeiriadau IP. Llwyddwyd i osgoi aflonyddwch byd-eang amlwg diolch i ddefnydd Transtelecom o gyfyngiadau llwybrau ar gyfer pob cleient.
Mae digwyddiadau tebyg yn digwydd ar y Rhyngrwyd a bydd yn parhau nes eu rhoi ar waith ym mhobman Cyhoeddiadau BGP yn seiliedig ar RPKI (Dilysiad Tarddiad BGP), sy'n caniatáu derbyn cyhoeddiadau gan berchnogion rhwydwaith yn unig. Heb awdurdodiad, gall unrhyw weithredwr hysbysebu is-rwydwaith gyda gwybodaeth ffug am hyd y llwybr a chychwyn taith trwy ei hun o ran o'r traffig o systemau eraill nad ydynt yn defnyddio hidlo hysbysebion.
Ar yr un pryd, yn y digwyddiad dan sylw, trodd allan bod gwiriad yn defnyddio ystorfa RIPE RPKI yn . Trwy gyd-ddigwyddiad, dair awr cyn i lwybr BGP ollwng yn Rostelecom, yn ystod y broses o ddiweddaru meddalwedd RIPE, 4100 o gofnodion ROA (Awdurdodiad Tarddiad Llwybr RPKI). Dim ond ar Ebrill 2 y cafodd y gronfa ddata ei hadfer, a'r holl amser hwn roedd y siec yn anweithredol ar gyfer cleientiaid RIPE (nid oedd y broblem yn effeithio ar ystorfeydd RPKI cofrestryddion eraill). Heddiw mae gan RIPE broblemau newydd ac ystorfa RPKI o fewn 7 awr .
Gellir defnyddio hidlo yn y gofrestrfa hefyd fel ateb i rwystro gollyngiadau (Cofrestrfa Llwybro Rhyngrwyd), sy'n diffinio systemau ymreolaethol y caniateir llwybro rhagddodiaid penodedig drwyddynt. Wrth ryngweithio â gweithredwyr bach, er mwyn lleihau effaith gwallau dynol, gallwch gyfyngu ar y nifer uchaf o rhagddodiaid a dderbynnir ar gyfer sesiynau EBGP (y gosodiad rhagddodiad uchafswm).
Yn y rhan fwyaf o achosion, mae digwyddiadau o ganlyniad i gamgymeriadau personél damweiniol, ond yn ddiweddar bu ymosodiadau wedi'u targedu hefyd, pan fydd ymosodwyr yn peryglu seilwaith darparwyr. и traffig ar gyfer safleoedd penodol trwy drefnu ymosodiad MiTM i ddisodli ymatebion DNS.
Er mwyn ei gwneud hi'n anoddach cael tystysgrifau TLS yn ystod ymosodiadau o'r fath, mae'r awdurdod tystysgrif Let's Encrypt i wirio parth aml-leoli gan ddefnyddio gwahanol is-rwydweithiau. Er mwyn osgoi'r gwiriad hwn, bydd angen i ymosodwr gyflawni ailgyfeirio llwybr ar yr un pryd ar gyfer sawl system ymreolaethol o ddarparwyr gyda gwahanol ddolenni i fyny, sy'n llawer anoddach nag ailgyfeirio llwybr sengl.
Ffynhonnell: opennet.ru