Suite à une annonce BGP erronée, plus de 8800 XNUMX préfixes de réseaux étrangers via le réseau Rostelecom, ce qui a entraîné un effondrement à court terme du routage, une perturbation de la connectivité réseau et des problèmes d'accès à certains services dans le monde. Problème plus de 200 systèmes autonomes appartenant à de grandes sociétés Internet et réseaux de diffusion de contenu, notamment Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba et Linode.
L'annonce erronée a été faite par Rostelecom (AS12389) le 1er avril à 22h28 (heure de Moscou), puis elle a été récupérée par le fournisseur Rascom (AS20764) et plus loin dans la chaîne, elle s'est propagée à Cogent (AS174) et Level3 (AS3356). , dont le domaine couvrait presque tous les fournisseurs Internet de premier niveau (). BGP a rapidement informé Rostelecom du problème, l'incident a donc duré environ 10 minutes (selon les effets ont été observés pendant environ une heure).
Ce n'est pas le premier incident impliquant une erreur de la part de Rostelecom. En 2017 dans 5-7 minutes via Rostelecom réseaux des plus grandes banques et services financiers, dont Visa et MasterCard. Dans les deux incidents, la source du problème semble être travaux liés à la gestion du trafic, par exemple, des fuites d'itinéraires pourraient survenir lors de l'organisation de la surveillance interne, de la priorisation ou de la mise en miroir du trafic passant par Rostelecom pour certains services et CDN (en raison de l'augmentation de la charge du réseau due au travail de masse à domicile en fin d'année Mars la question de l'abaissement de la priorité du trafic des services étrangers au profit des ressources nationales). Par exemple, il y a plusieurs années, une tentative a été faite au Pakistan Les sous-réseaux YouTube sur l'interface nulle ont conduit à l'apparition de ces sous-réseaux dans les annonces BGP et au flux de tout le trafic YouTube vers le Pakistan.
Il est intéressant de noter que la veille de l'incident avec Rostelecom, le petit fournisseur "New Reality" (AS50048) de la ville. via Transtelecom, c'était 2658 préfixes affectant Orange, Akamai, Rostelecom et les réseaux de plus de 300 entreprises. La fuite de l'itinéraire a entraîné plusieurs vagues de redirections de trafic durant plusieurs minutes. À son apogée, le problème affectait jusqu'à 13.5 millions d'adresses IP. Une perturbation mondiale notable a été évitée grâce à l'utilisation par Transtelecom de restrictions d'itinéraire pour chaque client.
Des incidents similaires se produisent sur Internet et cela continuera jusqu'à ce qu'ils soient mis en œuvre partout Annonces BGP basées sur RPKI (BGP Origin Validation), permettant la réception d'annonces uniquement des propriétaires de réseaux. Sans autorisation, tout opérateur peut annoncer un sous-réseau avec des informations fictives sur la longueur de l'itinéraire et initier le transit par lui-même d'une partie du trafic provenant d'autres systèmes qui n'appliquent pas de filtrage des publicités.
Parallèlement, dans l'incident considéré, une vérification à l'aide du référentiel RIPE RPKI s'est avérée . Par coïncidence, trois heures avant la fuite de la route BGP chez Rostelecom, lors du processus de mise à jour du logiciel RIPE, 4100 enregistrements ROA (autorisation d’origine de route RPKI). La base de données n'a été restaurée que le 2 avril, et pendant tout ce temps, la vérification était inopérante pour les clients RIPE (le problème n'a pas affecté les référentiels RPKI des autres bureaux d'enregistrement). Aujourd'hui, RIPE a de nouveaux problèmes et un référentiel RPKI dans les 7 heures .
Le filtrage basé sur le registre peut également être utilisé comme solution pour bloquer les fuites (Internet Routing Registry), qui définit des systèmes autonomes à travers lesquels le routage de préfixes spécifiés est autorisé. Lorsque vous interagissez avec de petits opérateurs, afin de réduire l'impact des erreurs humaines, vous pouvez limiter le nombre maximum de préfixes acceptés pour les sessions EBGP (le paramètre de préfixe maximum).
Dans la plupart des cas, les incidents sont le résultat d'erreurs accidentelles du personnel, mais récemment, des attaques ciblées ont également eu lieu, au cours desquelles les attaquants compromettent l'infrastructure des fournisseurs. и trafic pour sites spécifiques en organisant une attaque MiTM pour remplacer les réponses DNS.
Pour rendre plus difficile l'obtention de certificats TLS lors de telles attaques, l'autorité de certification Let's Encrypt à la vérification de domaine multi-positions en utilisant différents sous-réseaux. Pour contourner ce contrôle, un attaquant devra réaliser simultanément une redirection de route pour plusieurs systèmes autonomes de fournisseurs avec des liaisons montantes différentes, ce qui est beaucoup plus difficile que de rediriger une seule route.
Source: opennet.ru