Eksliku BGP-teate tulemusena on enam kui 8800 välismaise võrgu eesliidet Rostelecomi võrgu kaudu, mis viis marsruutimise lühiajalise kokkuvarisemiseni, võrguühenduse katkemiseni ja probleemideni juurdepääsuga mõnedele teenustele kogu maailmas. Probleem enam kui 200 autonoomset süsteemi, mis kuuluvad suurematele Interneti-ettevõtetele ja sisu edastamise võrkudele, sealhulgas Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba ja Linode.
Eksliku teate esitas Rostelecom (AS12389) 1. aprillil kell 22:28 (MSK), seejärel võttis selle üles teenusepakkuja Rascom (AS20764) ja edasi ahelas levis see Cogentile (AS174) ja Level3 (AS3356) , mille valdkond hõlmas peaaegu kõiki Interneti-pakkujaid esmatasandi (). BGP teavitas probleemist viivitamatult Rostelecomi, nii et juhtum kestis umbes 10 minutit (vastavalt mõju täheldati umbes tund).
See ei ole esimene juhtum, mis on seotud Rostelecomi veaga. 2017. aastal 5-7 minuti jooksul Rostelecomi kaudu suurimate pankade ja finantsteenuste võrgustikud, sealhulgas Visa ja MasterCard. Mõlema juhtumi puhul näib probleemi allikas olevat liikluskorraldusega seotud tööd, näiteks võib teatud teenuste ja CDN-ide jaoks Rostelecomi läbiva liikluse sisemise jälgimise, prioriseerimise või peegeldamise korraldamisel tekkida marsruutide lekkimine (seoses võrgukoormuse suurenemisega, mis on tingitud massilisest kodust tööst aasta lõpus märtsil välisteenuste liikluse prioriteedi alandamise küsimus kodumaiste ressursside kasuks). Näiteks mitu aastat tagasi tehti katse Pakistanis YouTube'i alamvõrgud nullliideses viisid nende alamvõrkude ilmumiseni BGP teadaannetes ja kogu YouTube'i liikluse vooluni Pakistani.
Huvitav on see, et päev enne intsidenti linna väikepakkuja “New Reality” (AS50048) Rostelecomiga. Transtelecomi kaudu see oli 2658 eesliidet, mis mõjutavad Orange'i, Akamai, Rostelecomi ja enam kui 300 ettevõtte võrke. Marsruudi leke põhjustas mitu liikluse ümbersuunamise lainet, mis kestsid mitu minutit. Tippajal mõjutas probleem kuni 13.5 miljonit IP-aadressi. Märkimisväärne ülemaailmne häire välditi tänu Transtelecomi marsruudipiirangute kasutamisele iga kliendi jaoks.
Sarnased juhtumid leiavad aset Internetis ja jätkub seni, kuni neid kõikjal rakendatakse RPKI-l (BGP Origin Validation) põhinevad BGP-teated, mis võimaldavad teateid vastu võtta ainult võrguomanikelt. Iga operaator võib ilma volituseta reklaamida alamvõrku fiktiivse teabega marsruudi pikkuse kohta ja algatada osa liiklusest enda kaudu transiiti teistest süsteemidest, mis ei kasuta reklaamide filtreerimist.
Samal ajal osutus vaadeldava intsidendi puhul RIPE RPKI hoidla abil tehtud kontroll . Juhuslikult kolm tundi enne BGP marsruudi leket Rostelecomis RIPE tarkvara värskendamise käigus, 4100 ROA kirjet (RPKI Route Origin Authorization). Andmebaas taastati alles 2. aprillil ja kogu selle aja oli kontroll RIPE klientide jaoks töövõimetu (probleem ei puudutanud teiste registripidajate RPKI hoidlaid). Täna on RIPE-l uued probleemid ja RPKI hoidla 7 tunni jooksul .
Registripõhist filtreerimist saab kasutada ka lahendusena lekete blokeerimiseks (Internet Routing Registry), mis määratleb autonoomsed süsteemid, mille kaudu on lubatud määratud eesliidete marsruutimine. Väikeste operaatoritega suhtlemisel saate inimlike vigade mõju vähendamiseks piirata EBGP-seansside vastuvõetavate eesliidete maksimaalset arvu (maksimaalse prefiksi säte).
Enamasti on intsidendid tingitud juhuslikest personalivigadest, kuid viimasel ajal on esinenud ka sihipäraseid rünnakuid, mille käigus ründajad ohustavad pakkujate infrastruktuuri. и liiklust konkreetsetele saitidele, korraldades DNS-i vastuseid asendava MiTM-i rünnaku.
TLS-i sertifikaatide hankimise raskendamiseks selliste rünnakute ajal on Let's Encrypt sertifikaadi asutus mitme positsiooniga domeeni kontrollimiseks erinevate alamvõrkude abil. Sellest kontrollist mööda hiilimiseks peab ründaja saavutama üheaegselt marsruudi ümbersuunamise mitme erineva üleslingiga teenusepakkuja autonoomse süsteemi jaoks, mis on palju keerulisem kui ühe marsruudi ümbersuunamine.
Allikas: opennet.ru