Kao rezultat pogrešne BGP najave više od 8800 stranih mrežnih prefiksa kroz mrežu Rostelecoma, što je dovelo do kratkotrajnog kolapsa usmjeravanja, prekida mrežne povezanosti i problema s pristupom nekim servisima diljem svijeta. Problem preko 200 autonomnih sustava u vlasništvu velikih internetskih kompanija i mreža za isporuku sadržaja uključujući Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba i Linode.
Pogrešnu objavu objavio je Rostelecom (AS12389) 1. travnja u 22:28 (MSK), zatim ju je preuzeo pružatelj Rascom (AS20764) i dalje u lancu proširila se na Cogent (AS174) i Level3 (AS3356), područje koje pokriva gotovo sve internetske pružatelje prve razine (). BGP je odmah obavijestio Rostelecom o problemu, pa je incident trajao oko 10 minuta (prema učinci su promatrani oko sat vremena).
Ovo nije prvi incident povezan s pogreškom na strani Rostelecoma. U 2017. u roku od 5-7 minuta putem Rostelecoma mreže najvećih banaka i financijskih servisa, uključujući Visu i MasterCard. Očito je u oba incidenta izvor problema rad povezan s upravljanjem prometom, na primjer, do curenja rute moglo bi doći prilikom organiziranja internog nadzora, određivanja prioriteta ili zrcaljenja prometa određenih usluga i CDN-a koji prolaze kroz Rostelecom (zbog povećanja opterećenja mreže zbog masovnog rada kod kuće krajem ožujka pitanje snižavanja prioriteta prometa stranih usluga u korist domaćih resursa). Na primjer, prije nekoliko godina u Pakistanu, pokušaj YouTube podmreže na nulto sučelje dovele su do toga da se ove podmreže pojavljuju u BGP najavama i odvode sav YouTube promet prema Pakistanu.
Zanimljivo je da je dan prije incidenta s Rostelecomom mali provajder "New Reality" (AS50048) iz grada St. preko Transtelecoma bio 2658 prefiksa koji utječu na Orange, Akamai, Rostelecom i mreže više od 300 tvrtki. Propuštanje rute rezultiralo je nekoliko valova preusmjeravanja prometa u trajanju od nekoliko minuta. Na svom vrhuncu problem je pokrivao do 13.5 milijuna IP adresa. Zamjetan globalni poremećaj izbjegnut je zahvaljujući korištenju ograničenja ruta u Transtelecomu za svakog klijenta.
Slični incidenti događaju se i na globalnoj mreži i nastavit će se do univerzalne primjene BGP najave temeljene na RPKI (BGP Origin Validation), koje omogućuju primanje najava samo od vlasnika mreže. Bilo koji operater može neovlašteno reklamirati podmrežu s fiktivnim podacima o duljini rute i pokrenuti kroz sebe tranzit dijela prometa iz drugih sustava koji ne primjenjuju filtriranje reklama.
U isto vrijeme, u incidentu koji se razmatra, provjera korištenjem RIPE RPKI repozitorija pokazala se . Igrom slučaja, tri sata prije curenja BGP rute u Rostelecomu, u procesu ažuriranja softvera RIPE, 4100 ROA zapisa (RPKI Route Origin Authorization). Baza podataka je vraćena tek 2. travnja, a cijelo to vrijeme za RIPE klijente provjera nije bila funkcionalna (problem nije utjecao na RPKI repozitorije drugih registara). Danas RIPE ima nova izdanja i RPKI repozitorij unutar 7 sati .
Filtriranje temeljeno na registru također se može koristiti kao rješenje za blokiranje curenja (Internet Routing Registry), koji definira autonomne sustave kroz koje je dopušteno usmjeravanje zadanih prefiksa. Kada komunicirate s malim operaterima, možete ograničiti najveći broj prihvaćenih prefiksa za EBGP sesije (postavka maksimalnog prefiksa) kako biste smanjili posljedice ljudskih pogrešaka.
U većini slučajeva incidenti su rezultat nasumičnih pogrešaka osoblja, no u posljednje vrijeme ima i ciljanih napada tijekom kojih napadači kompromitirajući infrastrukturu pružatelja usluga и promet za određene stranice kroz organizaciju MiTM napada za zamjenu DNS odgovora.
Kako bi se otežalo dobivanje TLS certifikata tijekom takvih napada, certifikacijsko tijelo Let's Encrypt na provjeru domene na više stranica pomoću različitih podmreža. Da bi zaobišao ovu provjeru, napadač bi trebao istovremeno postići preusmjeravanje rute za nekoliko autonomnih sustava pružatelja usluga s različitim vezama, što je puno teže od preusmjeravanja jedne rute.
Izvor: opennet.ru