Virheellisen BGP-ilmoituksen seurauksena yli 8800 XNUMX ulkomaista verkkoetuliitettä Rostelecom-verkon kautta, mikä johti lyhytaikaiseen reitityksen romahtamiseen, verkkoyhteyksien häiriöihin ja ongelmiin joidenkin palvelujen saatavuudessa ympäri maailmaa. Ongelma yli 200 itsenäistä järjestelmää, jotka omistavat suuret Internet-yritykset ja sisällönjakeluverkot, mukaan lukien Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba ja Linode.
Virheellisen ilmoituksen teki Rostelecom (AS12389) 1. huhtikuuta klo 22 (MSK), sitten palveluntarjoaja Rascom (AS28) otti sen vastaan ja ketjua pitkin se levisi Cogentille (AS20764) ja Level174:lle (AS3) , jonka ala kattoi lähes kaikki Internet-palveluntarjoajat ensimmäisen tason (). BGP ilmoitti ongelmasta viipymättä Rostelecomille, joten tapaus kesti noin 10 minuuttia (tietojen mukaan vaikutuksia havaittiin noin tunnin ajan).
Tämä ei ole ensimmäinen tapaus, johon liittyy virhe Rostelecomin puolella. Vuonna 2017 5-7 minuutissa Rostelecomin kautta suurimpien pankkien ja rahoituspalvelujen verkostot, mukaan lukien Visa ja MasterCard. Molemmissa tapauksissa ongelman lähde näyttää olevan liikenteen hallintaan liittyvää työtä, esimerkiksi reittivuotoa voi tapahtua järjestettäessä sisäistä valvontaa, priorisointia tai Rostelecomin kautta kulkevan liikenteen peilaamista tietyille palveluille ja CDN:ille (johtuen verkon kuormituksen lisääntymisestä kotoa käsin tehdystä massatyöstä vuoden lopussa maaliskuuta kysymys ulkomaisten palvelujen liikenteen prioriteetin alentamisesta kotimaisten resurssien hyväksi). Esimerkiksi Pakistanissa yritettiin useita vuosia sitten YouTube-aliverkot nollarajapinnassa johtivat näiden aliverkkojen esiintymiseen BGP-ilmoituksissa ja kaiken YouTube-liikenteen ohjaamiseen Pakistaniin.
On mielenkiintoista, että päivää ennen tapausta Rostelecomin, pienen palveluntarjoajan "New Reality" (AS50048) kanssa kaupungista. Transtelecomin kautta se tapahtui 2658 etuliitettä, jotka koskevat Orangea, Akamaia, Rostelecomia ja yli 300 yrityksen verkkoja. Reittivuoto aiheutti useita useita minuutteja kestäviä liikenteen uudelleenohjausaaltoja. Huipussaan ongelma koski jopa 13.5 miljoonaa IP-osoitetta. Huomattavalta globaalilta häiriöltä vältyttiin Transtelecomin käyttämän reittirajoituksia jokaiselle asiakkaalle.
Samanlaisia tapauksia tapahtuu Internetissä ja jatkuu, kunnes ne otetaan käyttöön kaikkialla BGP-ilmoitukset perustuvat RPKI:hen (BGP Origin Validation), mikä sallii ilmoitusten vastaanottamisen vain verkon omistajilta. Kuka tahansa operaattori voi ilman lupaa mainostaa aliverkkoa kuvitteellisilla tiedoilla reitin pituudesta ja aloittaa osan liikenteen siirrosta itsensä kautta muista järjestelmistä, jotka eivät käytä mainossuodatusta.
Samanaikaisesti tarkasteltavana olevassa tapahtumassa RIPE RPKI -arkiston avulla suoritettu tarkistus osoittautui . Sattumalta kolme tuntia ennen BGP-reitin vuotoa Rostelecomissa RIPE-ohjelmiston päivitysprosessin aikana, 4100 ROA-tietuetta (RPKI Route Origin Authorization). Tietokanta palautettiin vasta 2. huhtikuuta ja koko tämän ajan tarkistus ei toiminut RIPE-asiakkaille (ongelma ei vaikuttanut muiden rekisterinpitäjien RPKI-tietovarastoihin). Tänään RIPElla on uusia ongelmia ja RPKI-varasto 7 tunnin sisällä .
Rekisteripohjaista suodatusta voidaan käyttää myös ratkaisuna vuotojen estämiseen (Internet Routing Registry), joka määrittää autonomiset järjestelmät, joiden kautta määritettyjen etuliitteiden reititys on sallittu. Kun olet vuorovaikutuksessa pienten operaattoreiden kanssa, voit vähentää inhimillisten virheiden vaikutusta rajoittamalla EBGP-istuntojen hyväksyttyjen etuliitteiden enimmäismäärää (enimmäisetuliiteasetus).
Useimmiten tapaukset johtuvat vahingossa tapahtuneista henkilöstövirheistä, mutta viime aikoina on ollut myös kohdennettuja hyökkäyksiä, joiden aikana hyökkääjät vaarantavat palveluntarjoajien infrastruktuurin. и liikennettä varten tietyille sivustoille järjestämällä MiTM-hyökkäyksen DNS-vastausten korvaamiseksi.
Let’s Encrypt -varmenteen myöntäjä vaikeuttaa TLS-varmenteiden hankkimista tällaisten hyökkäysten aikana monipaikkaisen toimialueen tarkistukseen eri aliverkkojen avulla. Ohitakseen tämän tarkistuksen hyökkääjän on samanaikaisesti suoritettava reitin uudelleenohjaus useille itsenäisille palveluntarjoajille, joilla on eri uplinkit, mikä on paljon vaikeampaa kuin yhden reitin uudelleenohjaus.
Lähde: opennet.ru