Ως αποτέλεσμα μιας λανθασμένης ανακοίνωσης BGP, περισσότερα από 8800 προθέματα ξένων δικτύων μέσω του δικτύου Rostelecom, το οποίο οδήγησε σε βραχυπρόθεσμη κατάρρευση της δρομολόγησης, διακοπή της συνδεσιμότητας του δικτύου και προβλήματα πρόσβασης σε ορισμένες υπηρεσίες σε όλο τον κόσμο. Πρόβλημα περισσότερα από 200 αυτόνομα συστήματα που ανήκουν σε μεγάλες εταιρείες Διαδικτύου και δίκτυα παράδοσης περιεχομένου, συμπεριλαμβανομένων των Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba και Linode.
Η λανθασμένη ανακοίνωση έγινε από τη Rostelecom (AS12389) την 1η Απριλίου στις 22:28 (MSK), στη συνέχεια παρελήφθη από τον πάροχο Rascom (AS20764) και περαιτέρω κατά μήκος της αλυσίδας εξαπλώθηκε σε Cogent (AS174) και Level3 (AS3356) , το πεδίο του οποίου κάλυπτε σχεδόν όλους τους παρόχους Διαδικτύου πρώτου επιπέδου (). Η BGP ειδοποίησε αμέσως τη Rostelecom για το πρόβλημα, έτσι το περιστατικό διήρκεσε περίπου 10 λεπτά (σύμφωνα με τα αποτελέσματα παρατηρήθηκαν για περίπου μία ώρα).
Αυτό δεν είναι το πρώτο περιστατικό που περιλαμβάνει σφάλμα από την πλευρά της Rostelecom. Το 2017 μέσα σε 5-7 λεπτά μέσω Rostelecom δίκτυα των μεγαλύτερων τραπεζών και χρηματοοικονομικών υπηρεσιών, συμπεριλαμβανομένων των Visa και MasterCard. Και στα δύο περιστατικά, η πηγή του προβλήματος φαίνεται να είναι εργασίες που σχετίζονται με τη διαχείριση της κυκλοφορίας, για παράδειγμα, θα μπορούσε να προκύψει διαρροή διαδρομών κατά την οργάνωση εσωτερικής παρακολούθησης, ιεράρχησης ή αντικατοπτρισμού της κυκλοφορίας που διέρχεται μέσω της Rostelecom για ορισμένες υπηρεσίες και CDN (λόγω της αύξησης του φόρτου δικτύου λόγω μαζικής εργασίας από το σπίτι στο τέλος του Μάρτιος το θέμα της μείωσης της προτεραιότητας διακίνησης υπηρεσιών εξωτερικού προς όφελος εγχώριων πόρων). Για παράδειγμα, πριν από αρκετά χρόνια έγινε μια προσπάθεια στο Πακιστάν Τα υποδίκτυα YouTube στη διεπαφή null οδήγησαν στην εμφάνιση αυτών των υποδικτύων στις ανακοινώσεις BGP και στη ροή όλης της κίνησης του YouTube στο Πακιστάν.
Είναι ενδιαφέρον ότι μια μέρα πριν από το περιστατικό με τη Rostelecom, ο μικρός πάροχος "New Reality" (AS50048) από την πόλη. μέσω της Transtelecom ήταν 2658 προθέματα που επηρεάζουν τις Orange, Akamai, Rostelecom και τα δίκτυα περισσότερων από 300 εταιρειών. Η διαρροή της διαδρομής είχε ως αποτέλεσμα πολλά κύματα ανακατευθύνσεων της κυκλοφορίας που διήρκεσαν αρκετά λεπτά. Στην κορύφωσή του, το πρόβλημα επηρέασε έως και 13.5 εκατομμύρια διευθύνσεις IP. Μια αξιοσημείωτη παγκόσμια διακοπή αποφεύχθηκε χάρη στη χρήση περιορισμών διαδρομής από την Transtelecom για κάθε πελάτη.
Παρόμοια περιστατικά συμβαίνουν στο Διαδίκτυο και θα συνεχιστούν μέχρι να εφαρμοστούν παντού Ανακοινώσεις BGP που βασίζονται στο RPKI (BGP Origin Validation), επιτρέποντας τη λήψη ανακοινώσεων μόνο από κατόχους δικτύου. Χωρίς εξουσιοδότηση, οποιοσδήποτε φορέας εκμετάλλευσης μπορεί να διαφημίσει ένα υποδίκτυο με εικονικές πληροφορίες σχετικά με το μήκος της διαδρομής και να ξεκινήσει μέσω του ίδιου τη διέλευση μέρους της κίνησης από άλλα συστήματα που δεν εφαρμόζουν φιλτράρισμα διαφημίσεων.
Ταυτόχρονα, στο υπό εξέταση περιστατικό, αποδείχθηκε ότι έγινε έλεγχος με χρήση του αποθετηρίου RIPE RPKI . Κατά σύμπτωση, τρεις ώρες πριν από τη διαρροή της διαδρομής BGP στη Rostelecom, κατά τη διαδικασία ενημέρωσης του λογισμικού RIPE, 4100 εγγραφές ROA (Εξουσιοδότηση προέλευσης διαδρομής RPKI). Η βάση δεδομένων αποκαταστάθηκε μόνο στις 2 Απριλίου και όλο αυτό το διάστημα ο έλεγχος ήταν ανενεργός για πελάτες RIPE (το πρόβλημα δεν επηρέασε τα αποθετήρια RPKI άλλων καταχωρητών). Σήμερα το RIPE έχει νέα προβλήματα και αποθετήριο RPKI μέσα σε 7 ώρες .
Το φιλτράρισμα βάσει μητρώου μπορεί επίσης να χρησιμοποιηθεί ως λύση για τον αποκλεισμό διαρροών (Internet Routing Registry), το οποίο ορίζει αυτόνομα συστήματα μέσω των οποίων επιτρέπεται η δρομολόγηση καθορισμένων προθεμάτων. Όταν αλληλεπιδράτε με μικρούς χειριστές, για να μειώσετε τον αντίκτυπο των ανθρώπινων σφαλμάτων, μπορείτε να περιορίσετε τον μέγιστο αριθμό αποδεκτών προθεμάτων για περιόδους σύνδεσης EBGP (η ρύθμιση μέγιστου προθέματος).
Στις περισσότερες περιπτώσεις, τα περιστατικά είναι αποτέλεσμα τυχαίων λαθών προσωπικού, αλλά πρόσφατα υπήρξαν και στοχευμένες επιθέσεις, κατά τις οποίες οι εισβολείς θέτουν σε κίνδυνο την υποδομή των παρόχων и κυκλοφορίας για συγκεκριμένους ιστότοπους μέσω της οργάνωσης μιας επίθεσης MiTM για την αντικατάσταση των αποκρίσεων DNS.
Για να είναι πιο δύσκολη η απόκτηση πιστοποιητικών TLS κατά τη διάρκεια τέτοιων επιθέσεων, η αρχή πιστοποιητικών Let's Encrypt σε έλεγχο τομέα πολλαπλών θέσεων χρησιμοποιώντας διαφορετικά υποδίκτυα. Για να παρακάμψει αυτόν τον έλεγχο, ένας εισβολέας θα χρειαστεί να επιτύχει ταυτόχρονα ανακατεύθυνση διαδρομής για πολλά αυτόνομα συστήματα παρόχων με διαφορετικές uplinks, κάτι που είναι πολύ πιο δύσκολο από την ανακατεύθυνση μιας μεμονωμένης διαδρομής.
Πηγή: opennet.ru