BGP iragarpen oker baten ondorioz, atzerriko sareko 8800 aurrizki baino gehiago Rostelecom sarearen bidez, eta horrek bideratzearen epe laburreko kolapsoa, sareko konektibitatea eten eta mundu osoko zerbitzu batzuetarako sarbidea izateko arazoak ekarri zituen. Arazoa 200 sistema autonomo baino gehiago Interneteko enpresa handiek eta edukiak bidaltzeko sareek dituztenak, besteak beste, Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba eta Linode.
Iragarpen okerra Rostelecom-ek (AS12389) apirilaren 1ean egin zuen 22:28an (MSK), gero Rascom hornitzaileak (AS20764) jaso zuen eta katean aurrerago Cogent (AS174) eta Level3 (AS3356) hedatu zen. , zeinaren eremuak lehen mailako Internet hornitzaile ia guztiak hartzen zituen (). BGPk berehala jakinarazi zion Rostelecom-i arazoaren berri, beraz, gertakariak 10 minutu inguru iraun zuen ondorioak ordubete inguru ikusi ziren).
Hau ez da Rostelecom-en akats bat dakarren lehen gertakaria. 2017an 5-7 minututan Rostelecom bidez banku eta finantza zerbitzu handienen sareak, Visa eta MasterCard barne. Bi gertakarietan, arazoaren iturria agertzen da trafikoaren kudeaketarekin lotutako lanak, adibidez, ibilbideen ihesak gerta litezke Rostelecometik igarotzen den zerbitzu eta CDN batzuetarako barne monitorizazioa, lehentasuna edo ispilua antolatzean (sarearen karga areagotzearen ondorioz etxetik lan masiboa dela eta. martxoa atzerriko zerbitzuen trafikoari lehentasuna jaistea barneko baliabideen alde). Esaterako, duela urte batzuk saiakera bat egin zen Pakistanen Interfaze nuluko YouTube azpisareek BGP iragarkietan azpisare hauek agertzea ekarri zuten eta YouTube trafiko guztia Pakistanera joan zen.
Interesgarria da Rostelecom-ekin izandako istiluaren aurreko egunean, hiriko "New Reality" (AS50048) hornitzaile txikia. Transtelecom bidez izan zen Orange, Akamai, Rostelecom eta 2658 enpresa baino gehiagoren sareei eragiten dieten 300 aurrizki. Ibilbidearen ihesaren ondorioz, hainbat minutuko iraupena duten trafiko-birbideratze-olatuak izan dira. Bere gailurrean, arazoak 13.5 milioi IP helbideri eragin zien. Eten global nabaria saihestu zen Transtelecom-ek bezero bakoitzarentzako ibilbide murrizketak erabiltzeari esker.
Interneten antzeko gertakariak gertatzen dira eta jarraituko dute nonahi ezarri arte RPKIn (BGP Origin Validation) oinarritutako BGP iragarkiak, sarearen jabeen iragarkiak soilik jasotzea ahalbidetuz. Baimenik gabe, edozein operadoreek ibilbidearen luzerari buruzko fikziozko informazioa duen azpisare bat iragar dezake eta iragarki-iragazkia aplikatzen ez duten beste sistemetatik trafikoaren zati bat bertatik igaro daiteke.
Aldi berean, aztergai dugun gertaeran, RIPE RPKI biltegia erabiliz egiaztapen bat izan da. . Kasualitatez, Rostelecom-en BGP ibilbidearen filtrazioa baino hiru ordu lehenago, RIPE softwarea eguneratzeko prozesuan, 4100 ROA erregistroak (RPKI Ibilbidearen Jatorriaren Baimena). Datu-basea apirilaren 2an bakarrik berreskuratu zen, eta denbora honetan guztian egiaztapena ezinezkoa izan zen RIPE bezeroentzat (arazoak ez zuen eraginik beste erregistratzaileen RPKI biltegietan). Gaur RIPEk arazo berriak eta RPKI biltegia ditu 7 ordu barru .
Erregistroan oinarritutako iragazketa ihesak blokeatzeko irtenbide gisa ere erabil daiteke (Interneteko bideratze-erregistroa), zehaztutako aurrizkien bideratzea onartzen duten sistema autonomoak definitzen dituena. Operadore txikiekin elkarreraginean, giza akatsen eragina murrizteko, EBGP saioetarako onartutako aurrizkien gehienezko kopurua muga dezakezu (gehienezko aurrizkiaren ezarpena).
Kasu gehienetan, gertakariak ustekabeko langileen akatsen ondorio dira, baina azkenaldian eraso zuzenduak ere izan dira, eta horietan erasotzaileek hornitzaileen azpiegitura arriskuan jartzen dute. ΠΈ trafikorako gune zehatzak DNS erantzunak ordezkatzeko MiTM eraso bat antolatuz.
Horrelako erasoetan TLS ziurtagiriak lortzea zailagoa izan dadin, Let's Encrypt ziurtagiri-agintaritzak posizio anitzeko domeinuaren egiaztapena azpisare desberdinak erabiliz. Egiaztapen hori saihesteko, erasotzaileak aldi berean lortu beharko du gorako esteka desberdinak dituzten hornitzaileen sistema autonomo batzuen ibilbidearen birbideratzea, eta hori bide bakar bat birbideratzea baino askoz zailagoa da.
Iturria: opennet.ru