BGP-ի սխալ հայտարարության արդյունքում ավելի քան 8800 արտասահմանյան ցանցի նախածանցներ Ռոստելեկոմի ցանցի միջոցով, ինչը հանգեցրեց երթուղիների կարճաժամկետ փլուզմանը, ցանցային կապի խաթարմանը և որոշ ծառայությունների հասանելիության խնդիրներին ամբողջ աշխարհում: Խնդիր ավելի քան 200 ինքնավար համակարգեր, որոնք պատկանում են խոշոր ինտերնետային ընկերություններին և բովանդակության առաքման ցանցերին, ներառյալ Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba և Linode:
Սխալ հայտարարությունն արվել է Ռոստելեկոմի կողմից (AS12389) ապրիլի 1-ին, ժամը 22:28-ին (MSK), այնուհետև այն վերցրել է Rascom մատակարարը (AS20764) և հետագա շղթայի երկայնքով այն տարածվել է դեպի Cogent (AS174) և Level3 (AS3356) , որի ոլորտն ընդգրկում էր առաջին մակարդակի գրեթե բոլոր ինտերնետ պրովայդերները (). BGP-ն անհապաղ տեղեկացրեց Ռոստելեկոմին խնդրի մասին, ուստի միջադեպը տևեց մոտ 10 րոպե (ըստ ազդեցությունները դիտվել են մոտ մեկ ժամ):
Սա Ռոստելեկոմի կողմից սխալի հետ կապված առաջին միջադեպը չէ: Ռոստելեկոմի միջոցով 2017-5 րոպեի ընթացքում 7թ խոշորագույն բանկերի և ֆինանսական ծառայությունների ցանցեր, ներառյալ Visa և MasterCard: Երկու միջադեպերում էլ խնդրի աղբյուրը, ըստ երևույթին, եղել է Երթևեկության կառավարման հետ կապված աշխատանք, օրինակ՝ երթուղիների արտահոսք կարող է առաջանալ ներքին մոնիտորինգ կազմակերպելիս, Ռոստելեկոմով անցնող երթևեկի առաջնահերթությունը կամ արտացոլումը որոշակի ծառայությունների և CDN-ների համար (ցանցային ծանրաբեռնվածության ավելացման պատճառով՝ տնից զանգվածային աշխատանքի արդյունքում մինչև վերջ: մարտ արտաքին ծառայությունների տրաֆիկի առաջնահերթության նվազեցման հարցը՝ հօգուտ ներքին ռեսուրսների): Օրինակ, մի քանի տարի առաջ փորձ է արվել Պակիստանում YouTube-ի ենթացանցերը զրոյական ինտերֆեյսի վրա հանգեցրին այս ենթացանցերի հայտնվելուն BGP-ի հայտարարություններում և YouTube-ի ողջ տրաֆիկի հոսքը դեպի Պակիստան:
Հետաքրքիր է, որ Ռոստելեկոմի հետ միջադեպից մեկ օր առաջ «Նոր իրականություն» (AS50048) փոքր պրովայդեր քաղաքից։ Տրանստելեկոմի միջոցով դա եղել է 2658 նախածանցներ, որոնք ազդում են Orange-ի, Akamai-ի, Ռոստելեկոմի և ավելի քան 300 ընկերությունների ցանցերի վրա: Երթուղու արտահոսքը հանգեցրել է մի քանի րոպե տեւողությամբ երթեւեկության վերահղումների մի քանի ալիքների: Իր գագաթնակետին խնդիրն ազդել է մինչև 13.5 միլիոն IP հասցեների վրա: Համաշխարհային նկատելի խափանումը կանխվեց Տրանստելեկոմի կողմից յուրաքանչյուր հաճախորդի համար երթուղու սահմանափակումների օգտագործման շնորհիվ:
Նմանատիպ միջադեպեր տեղի են ունենում համացանցում և կշարունակվեն այնքան ժամանակ, մինչև դրանք իրականացվեն ամենուր BGP հայտարարություններ՝ հիմնված RPKI-ի (BGP Origin Validation) վրա, որը թույլ է տալիս հայտարարություններ ստանալ միայն ցանցի սեփականատերերից: Առանց թույլտվության, ցանկացած օպերատոր կարող է գովազդել ենթացանց՝ երթուղու երկարության մասին մտացածին տեղեկություններով և սկսել իր միջով երթևեկության մի մասի տարանցումը այլ համակարգերից, որոնք չեն կիրառում գովազդի զտում:
Միևնույն ժամանակ, քննարկվող միջադեպում պարզվել է, որ RIPE RPKI պահոցով ստուգում է կատարվել. . Զուգադիպությամբ, Ռոստելեկոմում BGP երթուղու արտահոսքից երեք ժամ առաջ, RIPE ծրագրաշարի թարմացման գործընթացում, 4100 ROA գրառում (RPKI Route Origin Authorization): Տվյալների բազան վերականգնվել է միայն ապրիլի 2-ին, և այս ամբողջ ընթացքում ստուգումն անգործունակ է եղել RIPE հաճախորդների համար (խնդիրը չի ազդել այլ ռեգիստրների RPKI պահեստների վրա): Այսօր RIPE-ն ունի նոր խնդիրներ և RPKI պահոց 7 ժամվա ընթացքում .
Ռեեստրի վրա հիմնված զտումը կարող է օգտագործվել նաև որպես արտահոսքի արգելափակման լուծում (Internet Routing Registry), որը սահմանում է ինքնավար համակարգեր, որոնց միջոցով թույլատրվում է նշված նախածանցների երթուղին: Փոքր օպերատորների հետ շփվելիս մարդկային սխալների ազդեցությունը նվազեցնելու համար կարող եք սահմանափակել EBGP նիստերի համար ընդունված նախածանցների առավելագույն քանակը (առավելագույն նախածանցի կարգավորում):
Շատ դեպքերում միջադեպերը պատահական անձնակազմի սխալների արդյունք են, սակայն վերջերս եղել են նաև նպատակային հարձակումներ, որոնց ընթացքում հարձակվողները վտանգի են ենթարկում մատակարարների ենթակառուցվածքը։ и երթեւեկության համար հատուկ կայքեր՝ DNS պատասխանները փոխարինելու համար MiTM գրոհ կազմակերպելու միջոցով:
Նման հարձակումների ժամանակ TLS վկայականներ ձեռք բերելն ավելի դժվար դարձնելու համար Let's Encrypt վկայականի մարմինը տարբեր ենթացանցերի միջոցով բազմաֆունկցիոնալ տիրույթի ստուգում: Այս ստուգումը շրջանցելու համար հարձակվողը պետք է միաժամանակ հասնի երթուղու վերահղման տարբեր վերընթաց կապերով պրովայդերների մի քանի ինքնավար համակարգերի համար, ինչը շատ ավելի դժվար է, քան մեկ երթուղու վերահղումը:
Source: opennet.ru