Sekve de erara anonco de BGP, pli ol 8800 XNUMX eksterlandaj retaj prefiksoj tra la reto Rostelecom, kiu kaŭzis mallongperspektivan kolapson de vojigo, interrompo de retkonektebleco kaj problemoj kun aliro al iuj servoj ĉirkaŭ la mondo. Problemo pli ol 200 aŭtonomaj sistemoj posedataj de ĉefaj interretaj kompanioj kaj enhavaj liveraj retoj, inkluzive de Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba kaj Linode.
La erara anonco estis farita de Rostelecom (AS12389) la 1-an de aprilo je 22:28 (MSK), poste estis reprenita de la Rascom-provizanto (AS20764) kaj plu laŭlonge de la ĉeno disvastiĝis al Cogent (AS174) kaj Level3 (AS3356), la kies kampo kovris preskaŭ ĉiujn retprovizantoj de unua nivelo (). BGP senprokraste sciigis Rostelecom pri la problemo, do la okazaĵo daŭris proksimume 10 minutojn (laŭ la efikoj estis observitaj dum ĉirkaŭ unu horo).
Ĉi tio ne estas la unua okazaĵo implikanta eraron flanke de Rostelecom. En 2017 ene de 5-7 minutoj per Rostelecom retoj de la plej grandaj bankoj kaj financaj servoj, inkluzive de Visa kaj MasterCard. En ambaŭ okazaĵoj, la fonto de la problemo ŝajnas esti laboro rilata al trafikadministrado, ekzemple, elfluado de itineroj povus okazi dum organizado de interna monitorado, prioritato aŭ spegulo de trafiko trapasanta Rostelecom por certaj servoj kaj CDN-oj (pro la pliiĝo en retŝarĝo pro amasa laboro de hejmo ĉe la fino de Marto la afero malaltigi la prioritaton por trafiko de eksterlandaj servoj favore al enlandaj rimedoj). Ekzemple, antaŭ kelkaj jaroj oni provos en Pakistano Jutubaj subretoj sur la nula interfaco kaŭzis la aperon de ĉi tiuj subretoj en BGP-anoncoj kaj la fluo de la tuta Jutuba trafiko al Pakistano.
Estas interese, ke la tagon antaŭ la okazaĵo kun Rostelecom, la malgranda provizanto "Nova Realeco" (AS50048) de la urbo. tra Transtelecom ĝi estis 2658 prefiksoj influantaj Orange, Akamai, Rostelecom kaj la retojn de pli ol 300 kompanioj. La itinerliko rezultigis plurajn ondojn da trafikaj alidirektoj daŭrantaj plurajn minutojn. Ĉe ĝia pinto, la problemo influis ĝis 13.5 milionojn da IP-adresoj. Rimarkinda tutmonda interrompo estis evitita danke al la uzo de Transtelecom de itinerlimigoj por ĉiu kliento.
Similaj okazaĵoj okazas en la Interreto kaj daŭros ĝis ili estos efektivigitaj ĉie BGP-anoncoj bazitaj sur RPKI (BGP Origin Validation), permesante la ricevon de anoncoj nur de retposedantoj. Sen rajtigo, ajna funkciigisto povas reklami subreton kun fikciaj informoj pri la itinerlongo kaj iniciati transiton tra si de parto de la trafiko de aliaj sistemoj kiuj ne aplikas reklaman filtradon.
Samtempe, en la konsiderata okazaĵo, ĉeko uzanta la RIPE RPKI-deponejon montriĝis esti . Hazarde, tri horojn antaŭ la liko de la BGP-itinero en Rostelecom, dum la procezo de ĝisdatigo de la RIPE-programaro, 4100 ROA-rekordoj (RPKI Route Origin Authorization). La datumbazo estis restarigita nur la 2-an de aprilo, kaj dum ĉi tiu tempo la ĉeko estis nefunkciebla por RIPE-klientoj (la problemo ne influis la RPKI-deponejojn de aliaj registriloj). Hodiaŭ RIPE havas novajn problemojn kaj RPKI-deponejon ene de 7 horoj .
Registr-bazita filtrado ankaŭ povas esti uzata kiel solvo por bloki likojn (Internet Routing Registry), kiu difinas aŭtonomiajn sistemojn per kiuj vojigo de specifitaj prefiksoj estas permesita. Interagante kun malgrandaj funkciigistoj, por redukti la efikon de homaj eraroj, vi povas limigi la maksimuman nombron da akceptitaj prefiksoj por EBGP-sesioj (la agordo de maksimuma prefikso).
Plejofte, okazaĵoj estas la rezulto de hazardaj personaraj eraroj, sed lastatempe ankaŭ okazis celitaj atakoj, dum kiuj atakantoj kompromitas la infrastrukturon de provizantoj. и trafiko por specifaj retejoj per organizado de MiTM-atako por anstataŭigi DNS-respondojn.
Por malfaciligi akiri TLS-atestojn dum tiaj atakoj, la atestila aŭtoritato Let's Encrypt al plurpozicia domajna kontrolado uzante malsamajn subretojn. Por preteriri ĉi tiun kontrolon, atakanto devos samtempe atingi itineran redirekton por pluraj aŭtonomaj sistemoj de provizantoj kun malsamaj suprenligoj, kio estas multe pli malfacila ol redirekti ununuran itineron.
fonto: opennet.ru