Sem afleiðing af rangri BGP tilkynningu, meira en 8800 erlend net forskeyti í gegnum Rostelecom netið, sem leiddi til skamms tíma hruns á leiðum, truflunar á nettengingu og vandamála með aðgang að sumum þjónustum um allan heim. Vandamál meira en 200 sjálfstæð kerfi í eigu helstu netfyrirtækja og efnisafhendingarkerfa, þar á meðal Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba og Linode.
Rangláta tilkynningin var send af Rostelecom (AS12389) 1. apríl kl. 22:28 (MSK), síðan var hún sótt af þjónustuveitunni Rascom (AS20764) og lengra meðfram keðjunni dreifðist hún til Cogent (AS174) og Level3 (AS3356) , þar sem fjallað var um næstum allar netveitur á fyrsta stigi (). BGP tilkynnti Rostelecom tafarlaust um vandamálið, þannig að atvikið tók um 10 mínútur (skv. áhrifin sáust í um það bil klukkustund).
Þetta er ekki fyrsta atvikið sem felur í sér villu hjá Rostelecom. Árið 2017 innan 5-7 mínútna í gegnum Rostelecom net stærstu banka og fjármálaþjónustu, þar á meðal Visa og MasterCard. Í báðum atvikum virðist uppspretta vandans vera vinnu sem tengist umferðarstjórnun, til dæmis gæti leki á leiðum komið upp við skipulagningu innra eftirlits, forgangsröðunar eða speglunar á umferð sem fer um Rostelecom fyrir ákveðna þjónustu og CDN (vegna aukins netálags vegna fjöldavinnu að heiman í lok kl. mars málið um að lækka forgang umferðar erlendrar þjónustu í þágu innlendra auðlinda). Til dæmis var tilraun gerð fyrir nokkrum árum í Pakistan YouTube undirnet á núllviðmótinu leiddu til þess að þessi undirnet komu fram í BGP tilkynningum og flæði allrar YouTube umferðar til Pakistan.
Það er athyglisvert að daginn fyrir atvikið með Rostelecom, litla veitandann „New Reality“ (AS50048) frá borginni. í gegnum Transtelecom var það 2658 forskeyti sem hafa áhrif á Orange, Akamai, Rostelecom og netkerfi meira en 300 fyrirtækja. Leiðarlekinn leiddi til þess að nokkrar öldur umferðartilvísana stóðu yfir í nokkrar mínútur. Þegar mest var hafði vandamálið áhrif á allt að 13.5 milljónir IP tölur. Áberandi hnattræn röskun var forðast þökk sé notkun Transtelecom á leiðartakmörkunum fyrir hvern viðskiptavin.
Svipuð atvik eiga sér stað á netinu og munu halda áfram þar til þær koma alls staðar til framkvæmda BGP tilkynningar byggðar á RPKI (BGP Origin Validation), sem gerir aðeins kleift að taka á móti tilkynningum frá neteigendum. Án heimildar getur hvaða rekstraraðili sem er auglýst undirnet með gerviupplýsingum um leiðarlengd og hafið flutning í gegnum sig hluta umferðar frá öðrum kerfum sem ekki nota auglýsingasíun.
Á sama tíma, í atvikinu sem var til skoðunar, reyndist ávísun með því að nota RIPE RPKI geymsluna vera . Fyrir tilviljun, þremur tímum fyrir leka á BGP leiðinni í Rostelecom, á meðan á uppfærslu RIPE hugbúnaðarins stóð, 4100 ROA færslur (RPKI Route Origin Authorization). Gagnagrunnurinn var endurheimtur aðeins 2. apríl og allan þennan tíma var ávísunin óvirk fyrir RIPE viðskiptavini (vandamálið hafði ekki áhrif á RPKI geymslur annarra skrásetjara). Í dag er RIPE með ný vandamál og RPKI geymslu innan 7 klukkustunda .
Einnig er hægt að nota skrásetjasta síun sem lausn til að loka fyrir leka (Internet Routing Registry), sem skilgreinir sjálfstæð kerfi þar sem leiðsögn á tilgreindum forskeytum er leyfð. Þegar þú hefur samskipti við litla rekstraraðila, til að draga úr áhrifum mannlegra mistaka, geturðu takmarkað hámarksfjölda samþykktra forskeyti fyrir EBGP lotur (hámarksforskeyti stilling).
Í flestum tilfellum eru atvik afleiðing af mistökum starfsmanna fyrir slysni, en nýlega hafa einnig verið markvissar árásir þar sem árásarmenn skerða innviði veitenda и umferð fyrir tilteknar síður með því að skipuleggja MiTM árás til að koma í stað DNS-viðbragða.
Til að gera það erfiðara að fá TLS vottorð meðan á slíkum árásum stendur er Let's Encrypt vottorðsyfirvaldið til að athuga lén með mörgum stöðum með því að nota mismunandi undirnet. Til að komast framhjá þessari athugun þarf árásarmaður samtímis að ná leiðartilvísun fyrir nokkur sjálfstæð kerfi veitenda með mismunandi upptengla, sem er mun erfiðara en að beina einni leið.
Heimild: opennet.ru