Akibat pengumuman BGP yang salah, lebih dari 8800 awalan jaringan asing melalui jaringan Rostelecom, yang menyebabkan kegagalan perutean jangka pendek, gangguan konektivitas jaringan, dan masalah akses ke beberapa layanan di seluruh dunia. Masalah lebih dari 200 sistem otonom yang dimiliki oleh perusahaan Internet besar dan jaringan pengiriman konten, termasuk Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba, dan Linode.
Pengumuman yang salah dibuat oleh Rostelecom (AS12389) pada tanggal 1 April pukul 22:28 (MSK), kemudian diambil oleh penyedia Rascom (AS20764) dan selanjutnya sepanjang rantai menyebar ke Cogent (AS174) dan Level3 (AS3356), the bidang yang mencakup hampir semua penyedia Internet tingkat pertama (). BGP segera memberi tahu Rostelecom tentang masalah tersebut, sehingga kejadian tersebut berlangsung sekitar 10 menit (menurut efeknya diamati selama sekitar satu jam).
Ini bukan insiden pertama yang melibatkan kesalahan di pihak Rostelecom. Pada tahun 2017 dalam waktu 5-7 menit melalui Rostelecom jaringan bank dan layanan keuangan terbesar, termasuk Visa dan MasterCard. Dalam kedua insiden tersebut, tampaknya sumber masalahnya adalah pekerjaan yang berkaitan dengan manajemen lalu lintas, misalnya, kebocoran rute dapat terjadi ketika mengatur pemantauan internal, penentuan prioritas atau pencerminan lalu lintas yang melewati Rostelecom untuk layanan dan CDN tertentu (karena peningkatan beban jaringan karena kerja massal dari rumah di akhir tahun). Berbaris isu penurunan prioritas lalu lintas jasa luar negeri demi sumber daya dalam negeri). Misalnya, beberapa tahun yang lalu sebuah upaya dilakukan di Pakistan Subnet YouTube pada antarmuka nol menyebabkan munculnya subnet ini dalam pengumuman BGP dan aliran semua lalu lintas YouTube ke Pakistan.
Menariknya, sehari sebelum kejadian dengan Rostelecom, penyedia kecil βNew Realityβ (AS50048) dari kota. melalui Transtelecom itu 2658 awalan mempengaruhi Orange, Akamai, Rostelecom dan jaringan lebih dari 300 perusahaan. Kebocoran rute mengakibatkan beberapa gelombang pengalihan lalu lintas yang berlangsung beberapa menit. Pada puncaknya, masalah ini mempengaruhi hingga 13.5 juta alamat IP. Gangguan global yang nyata dapat dihindari berkat penggunaan pembatasan rute oleh Transtelecom untuk setiap klien.
Kejadian serupa terjadi di Internet dan akan terus berlanjut sampai penerapannya di mana-mana Pengumuman BGP berdasarkan RPKI (BGP Origin Validation), memungkinkan penerimaan pengumuman hanya dari pemilik jaringan. Tanpa izin, operator mana pun dapat mengiklankan subnet dengan informasi fiktif tentang panjang rute dan memulai transit sebagian lalu lintas melalui sistem lain yang tidak menerapkan pemfilteran iklan.
Pada saat yang sama, dalam insiden yang sedang dipertimbangkan, ternyata ada cek menggunakan repositori RIPE RPKI . Secara kebetulan, tiga jam sebelum bocornya rute BGP di Rostelecom, saat proses update software RIPE, 4100 catatan ROA (Otorisasi Asal Rute RPKI). Basis data dipulihkan hanya pada tanggal 2 April, dan selama ini pemeriksaan tidak dapat dioperasikan untuk klien RIPE (masalah tidak mempengaruhi repositori RPKI dari registrar lain). Hari ini RIPE mempunyai masalah baru dan repositori RPKI dalam waktu 7 jam .
Pemfilteran berbasis registri juga dapat digunakan sebagai solusi untuk memblokir kebocoran (Internet Routing Registry), yang mendefinisikan sistem otonom yang memungkinkan perutean awalan tertentu. Saat berinteraksi dengan operator kecil, untuk mengurangi dampak kesalahan manusia, Anda dapat membatasi jumlah maksimum awalan yang diterima untuk sesi EBGP (pengaturan awalan maksimum).
Dalam kebanyakan kasus, insiden disebabkan oleh kesalahan personel yang tidak disengaja, namun baru-baru ini juga terjadi serangan yang ditargetkan, di mana penyerang membahayakan infrastruktur penyedia layanan. ΠΈ lalu lintas untuk situs tertentu melalui pengorganisasian serangan MiTM untuk menggantikan respons DNS.
Untuk mempersulit perolehan sertifikat TLS selama serangan tersebut, otoritas sertifikat Let's Encrypt untuk pemeriksaan domain multi-posisi menggunakan subnet yang berbeda. Untuk melewati pemeriksaan ini, penyerang perlu melakukan pengalihan rute secara bersamaan untuk beberapa sistem otonom penyedia dengan uplink berbeda, yang jauh lebih sulit daripada mengalihkan satu rute.
Sumber: opennet.ru