در نتیجه اعلام اشتباه BGP، بیش از 8800 پیشوند شبکه خارجی از طریق شبکه Rostelecom، که منجر به فروپاشی کوتاه مدت مسیریابی، اختلال در اتصال شبکه و مشکلات دسترسی به برخی از خدمات در سراسر جهان شد. مسئله بیش از 200 سیستم مستقل متعلق به شرکت های بزرگ اینترنتی و شبکه های تحویل محتوا، از جمله Akamai، Cloudflare، Digital Ocean، Amazon AWS، Hetzner، Level3، Facebook، Alibaba و Linode.
این اعلامیه اشتباه توسط Rostelecom (AS12389) در 1 آوریل در ساعت 22:28 (MSK) اعلام شد، سپس توسط ارائه دهنده Rascom (AS20764) دریافت شد و در طول زنجیره به Cogent (AS174) و Level3 (AS3356) گسترش یافت. ، که حوزه آن تقریباً تمام ارائه دهندگان اینترنت سطح اول را پوشش می دهد (). BGP بلافاصله Rostelecom را در مورد مشکل مطلع کرد، بنابراین حادثه حدود 10 دقیقه طول کشید (طبق اثرات حدود یک ساعت مشاهده شد).
این اولین حادثه ای نیست که شامل خطا در طرف Rostelecom می شود. در سال 2017 در عرض 5-7 دقیقه از طریق Rostelecom شبکه های بزرگترین بانک ها و خدمات مالی، از جمله ویزا و مسترکارت. در هر دو حادثه، به نظر می رسد که منشأ مشکل باشد کارهای مربوط به مدیریت ترافیک، به عنوان مثال، نشت مسیرها ممکن است هنگام سازماندهی نظارت داخلی، اولویت بندی یا انعکاس ترافیک عبوری از Rostelecom برای خدمات خاص و CDN (به دلیل افزایش بار شبکه به دلیل کار انبوه از خانه در پایان مارس موضوع کاهش اولویت تردد خدمات خارجی به نفع منابع داخلی). به عنوان مثال، چندین سال پیش تلاشی در پاکستان انجام شد زیرشبکه های یوتیوب در رابط تهی منجر به ظهور این زیرشبکه ها در اطلاعیه های BGP و جریان تمام ترافیک یوتیوب به پاکستان شد.
جالب است که یک روز قبل از حادثه با Rostelecom، ارائه دهنده کوچک "واقعیت جدید" (AS50048) از شهر. از طریق Transtelecom بود 2658 پیشوند که Orange، Akamai، Rostelecom و شبکه های بیش از 300 شرکت را تحت تاثیر قرار می دهد. نشت مسیر منجر به چندین موج تغییر مسیر ترافیک به مدت چند دقیقه شد. این مشکل در اوج خود، 13.5 میلیون آدرس IP را تحت تأثیر قرار داد. به لطف استفاده Transtelecom از محدودیت های مسیر برای هر مشتری، از یک اختلال جهانی قابل توجه جلوگیری شد.
اتفاقات مشابهی در اینترنت رخ می دهد و تا زمانی که در همه جا اجرا شوند ادامه خواهند داشت اعلامیههای BGP بر اساس RPKI (BGP Origin Validation) که امکان دریافت اعلانها را فقط از صاحبان شبکه فراهم میکند. بدون مجوز، هر اپراتور می تواند یک زیرشبکه را با اطلاعات ساختگی در مورد طول مسیر تبلیغ کند و از طریق خود بخشی از ترافیک را از سایر سیستم هایی که فیلتر تبلیغاتی را اعمال نمی کنند، آغاز کند.
در همان زمان، در حادثه مورد بررسی، یک چک با استفاده از مخزن RIPE RPKI مشخص شد . به طور تصادفی، سه ساعت قبل از نشت مسیر BGP در Rostelecom، در طول فرآیند به روز رسانی نرم افزار RIPE، 4100 رکورد ROA (مجوز مبدا مسیر RPKI). پایگاه داده فقط در 2 آوریل بازیابی شد و در تمام این مدت بررسی برای مشتریان RIPE غیرقابل اجرا بود (مشکل بر مخازن RPKI سایر ثبت کنندگان تأثیری نداشت). امروز RIPE دارای مشکلات جدید و مخزن RPKI در عرض 7 ساعت است .
فیلتر مبتنی بر رجیستری همچنین می تواند به عنوان راه حلی برای جلوگیری از نشت استفاده شود (Internet Routing Registry) که سیستم های مستقلی را تعریف می کند که از طریق آن مسیریابی پیشوندهای مشخص شده مجاز است. هنگام تعامل با اپراتورهای کوچک، برای کاهش تأثیر خطاهای انسانی، می توانید حداکثر تعداد پیشوندهای پذیرفته شده را برای جلسات EBGP محدود کنید (تنظیم حداکثر پیشوند).
در بیشتر موارد، حوادث نتیجه خطاهای تصادفی پرسنل است، اما اخیراً حملات هدفمندی نیز رخ داده است که طی آن مهاجمان زیرساخت ارائه دهندگان را به خطر می اندازند. и ترافیک برای سایت های خاص از طریق سازماندهی یک حمله MiTM برای جایگزینی پاسخ های DNS.
برای دشوارتر کردن دریافت گواهینامه های TLS در طول چنین حملاتی، مجوز مجوز Let's Encrypt برای بررسی دامنه چند موقعیتی با استفاده از زیرشبکه های مختلف. برای دور زدن این بررسی، یک مهاجم باید به طور همزمان به تغییر مسیر برای چندین سیستم خودمختار ارائهدهنده با لینکهای بالا متفاوت دست یابد، که بسیار دشوارتر از تغییر مسیر یک مسیر است.
منبع: opennet.ru