Aufgrund einer fehlerhaften BGP-Ankündigung wurden mehr als 8800 ausländische Netzwerkpräfixe registriert über das Rostelecom-Netzwerk, was zu einem kurzfristigen Zusammenbruch des Routings, einer Unterbrechung der Netzwerkkonnektivität und Problemen beim Zugriff auf einige Dienste auf der ganzen Welt führte. Problem mehr als 200 autonome Systeme im Besitz großer Internetunternehmen und Content-Delivery-Netzwerke, darunter Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba und Linode.
Die fehlerhafte Ankündigung wurde am 12389. April um 1:22 Uhr (MSK) von Rostelecom (AS28) gemacht, dann vom Anbieter Rascom (AS20764) aufgegriffen und weiter entlang der Kette auf Cogent (AS174) und Level3 (AS3356) übertragen. , dessen Bereich fast alle Internetanbieter der ersten Ebene umfasste (). BGP benachrichtigte Rostelecom umgehend über das Problem, sodass der Vorfall etwa 10 Minuten dauerte (laut die Wirkungen wurden etwa eine Stunde lang beobachtet).
Dies ist nicht der erste Vorfall, bei dem ein Fehler auf Seiten von Rostelecom vorliegt. Im Jahr 2017 innerhalb von 5-7 Minuten über Rostelecom Netzwerke der größten Banken und Finanzdienstleister, darunter Visa und MasterCard. In beiden Vorfällen scheint die Ursache des Problems zu liegen Arbeiten im Zusammenhang mit dem Verkehrsmanagement, beispielsweise könnte es zu Routenlecks kommen, wenn die interne Überwachung, Priorisierung oder Spiegelung des über Rostelecom fließenden Datenverkehrs für bestimmte Dienste und CDNs organisiert wird (aufgrund der erhöhten Netzwerklast aufgrund der Massenarbeit von zu Hause aus am Ende). Marsch die Frage der Herabsetzung der Priorität für den Verkehr ausländischer Dienste zugunsten inländischer Ressourcen). Beispielsweise wurde vor einigen Jahren in Pakistan ein Versuch unternommen YouTube-Subnetze auf der Null-Schnittstelle führten dazu, dass diese Subnetze in BGP-Ankündigungen auftauchten und der gesamte YouTube-Verkehr nach Pakistan floss.
Interessant ist, dass am Tag vor dem Vorfall mit Rostelecom der kleine Anbieter „New Reality“ (AS50048) aus der Stadt kam. über Transtelecom war es 2658 Präfixe, die Orange, Akamai, Rostelecom und die Netzwerke von mehr als 300 Unternehmen betreffen. Das Routenleck führte zu mehreren mehrminütigen Wellen von Verkehrsumleitungen. Auf dem Höhepunkt waren bis zu 13.5 Millionen IP-Adressen von dem Problem betroffen. Dank der Einführung von Routenbeschränkungen für jeden Kunden durch Transtelecom konnte eine spürbare globale Störung vermieden werden.
Ähnliche Vorfälle ereignen sich im Internet und wird so lange weitergehen, bis sie überall umgesetzt werden BGP-Ankündigungen basieren auf RPKI (BGP Origin Validation) und ermöglichen den Empfang von Ankündigungen nur von Netzwerkbesitzern. Ohne Genehmigung kann jeder Betreiber ein Subnetz mit fiktiven Informationen über die Routenlänge bewerben und die Durchleitung eines Teils des Datenverkehrs von anderen Systemen, die keine Werbefilterung anwenden, durch sich selbst veranlassen.
Gleichzeitig stellte sich bei dem betrachteten Vorfall eine Überprüfung mithilfe des RIPE RPKI-Repositorys heraus . Zufälligerweise, drei Stunden vor dem Leck der BGP-Route bei Rostelecom, während der Aktualisierung der RIPE-Software, 4100 ROA-Datensätze (RPKI Route Origin Authorization). Die Datenbank wurde erst am 2. April wiederhergestellt und die Prüfung war die ganze Zeit über für RIPE-Clients nicht durchführbar (das Problem hatte keine Auswirkungen auf die RPKI-Repositorys anderer Registrare). Heute hat RIPE innerhalb von 7 Stunden neue Probleme und das RPKI-Repository .
Auch die registrierungsbasierte Filterung kann als Lösung zum Blockieren von Lecks eingesetzt werden (Internet Routing Registry), das autonome Systeme definiert, über die das Routing bestimmter Präfixe zulässig ist. Um bei der Interaktion mit kleinen Betreibern die Auswirkungen menschlicher Fehler zu reduzieren, können Sie die maximale Anzahl akzeptierter Präfixe für EBGP-Sitzungen begrenzen (die Einstellung für das maximale Präfix).
In den meisten Fällen sind Vorfälle auf unbeabsichtigte Personalfehler zurückzuführen, neuerdings kommt es aber auch zu gezielten Angriffen, bei denen Angreifer die Infrastruktur von Anbietern kompromittieren и Verkehr für bestimmte Websites durch die Organisation eines MiTM-Angriffs, um DNS-Antworten zu ersetzen.
Um den Erhalt von TLS-Zertifikaten bei solchen Angriffen zu erschweren, setzt die Zertifizierungsstelle Let’s Encrypt ein bis hin zur Domänenprüfung mit mehreren Positionen unter Verwendung verschiedener Subnetze. Um diese Prüfung zu umgehen, muss ein Angreifer gleichzeitig eine Routenumleitung für mehrere autonome Systeme von Anbietern mit unterschiedlichen Uplinks erreichen, was viel schwieriger ist als die Umleitung einer einzelnen Route.
Source: opennet.ru