Som et resultat af en fejlagtig BGP-meddelelse, mere end 8800 udenlandske netværkspræfikser gennem Rostelecom-netværket, hvilket førte til et kortvarigt kollaps af routing, afbrydelse af netværksforbindelse og problemer med adgang til nogle tjenester rundt om i verden. Problem mere end 200 autonome systemer ejet af store internetvirksomheder og indholdsleveringsnetværk, herunder Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba og Linode.
Den fejlagtige meddelelse blev lavet af Rostelecom (AS12389) den 1. april kl. 22:28 (MSK), derefter blev den samlet op af udbyderen Rascom (AS20764) og videre langs kæden spredte den sig til Cogent (AS174) og Level3 (AS3356) , hvis område dækkede næsten alle internetudbydere på første niveau (). BGP underrettede omgående Rostelecom om problemet, så hændelsen varede omkring 10 minutter (iflg. virkningerne blev observeret i ca. en time).
Dette er ikke den første hændelse, der involverer en fejl fra Rostelecoms side. I 2017 inden for 5-7 minutter via Rostelecom netværk af de største banker og finansielle tjenester, herunder Visa og MasterCard. I begge tilfælde synes kilden til problemet at være arbejde relateret til trafikstyring, for eksempel kan lækage af ruter opstå ved organisering af intern overvågning, prioritering eller spejling af trafik, der passerer gennem Rostelecom for visse tjenester og CDN'er (på grund af stigningen i netværksbelastningen på grund af massearbejde hjemmefra i slutningen af marts spørgsmålet om at sænke prioriteringen af trafik af udenlandske tjenester til fordel for indenlandske ressourcer). For eksempel blev der for flere år siden gjort et forsøg i Pakistan YouTube-undernet på nul-grænsefladen førte til forekomsten af disse undernet i BGP-meddelelser og strømmen af al YouTube-trafik til Pakistan.
Det er interessant, at dagen før hændelsen med Rostelecom, den lille udbyder "New Reality" (AS50048) fra byen. gennem Transtelecom var det 2658 præfikser, der påvirker Orange, Akamai, Rostelecom og netværk af mere end 300 virksomheder. Rutelækagen resulterede i flere bølger af trafikomdirigeringer, der varede flere minutter. På sit højeste påvirkede problemet op til 13.5 millioner IP-adresser. En mærkbar global forstyrrelse blev undgået takket være Transtelecoms brug af ruterestriktioner for hver klient.
Lignende hændelser sker på internettet og vil fortsætte indtil de er implementeret overalt BGP-meddelelser baseret på RPKI (BGP Origin Validation), som kun tillader modtagelse af meddelelser fra netværksejere. Uden autorisation kan enhver operatør annoncere et undernet med fiktive oplysninger om rutelængden og påbegynde transit gennem sig selv af en del af trafikken fra andre systemer, der ikke anvender reklamefiltrering.
Samtidig viste det sig, i den undersøgte hændelse, at en kontrol ved hjælp af RIPE RPKI-depotet var . Ved en tilfældighed, tre timer før lækagen af BGP-ruten i Rostelecom, under processen med at opdatere RIPE-softwaren, 4100 ROA-poster (RPKI Route Origin Authorization). Databasen blev først gendannet den 2. april, og hele denne tid var kontrollen ubrugelig for RIPE-klienter (problemet påvirkede ikke andre registratorers RPKI-lagre). I dag har RIPE nye problemer og RPKI-lager inden for 7 timer .
Registry-baseret filtrering kan også bruges som en løsning til at blokere lækager (Internet Routing Registry), som definerer autonome systemer, hvorigennem routing af specificerede præfikser er tilladt. Når du interagerer med små operatører, for at reducere virkningen af menneskelige fejl, kan du begrænse det maksimale antal accepterede præfikser for EBGP-sessioner (den maksimale præfiksindstilling).
I de fleste tilfælde er hændelser resultatet af utilsigtede personalefejl, men for nylig har der også været målrettede angreb, hvor angribere kompromitterer udbydernes infrastruktur и trafik for specifikke websteder ved at organisere et MiTM-angreb for at erstatte DNS-svar.
For at gøre det sværere at opnå TLS-certifikater under sådanne angreb, kan Let's Encrypt-certifikatmyndigheden til flerpositions domænekontrol ved hjælp af forskellige undernet. For at omgå dette tjek skal en angriber samtidig opnå ruteomdirigering for flere autonome systemer af udbydere med forskellige uplinks, hvilket er meget vanskeligere end at omdirigere en enkelt rute.
Kilde: opennet.ru