A seguito di un annuncio BGP errato, più di 8800 prefissi di rete stranieri attraverso la rete Rostelecom, che ha portato a un collasso a breve termine del routing, all'interruzione della connettività di rete e a problemi con l'accesso ad alcuni servizi in tutto il mondo. Problema più di 200 sistemi autonomi di proprietà delle principali società Internet e reti di distribuzione di contenuti, tra cui Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba e Linode.
L'annuncio errato è stato fatto da Rostelecom (AS12389) il 1 aprile alle 22:28 (MSK), poi è stato captato dal provider Rascom (AS20764) e più avanti lungo la catena si è diffuso a Cogent (AS174) e Level3 (AS3356) , il cui campo copriva quasi tutti i fornitori Internet di primo livello (). BGP ha tempestivamente informato Rostelecom del problema, quindi l'incidente è durato circa 10 minuti (secondo gli effetti sono stati osservati per circa un’ora).
Questo non è il primo incidente che comporta un errore da parte di Rostelecom. Nel 2017 entro 5-7 minuti tramite Rostelecom reti delle più grandi banche e servizi finanziari, tra cui Visa e MasterCard. In entrambi gli incidenti, la fonte del problema sembra essere lavori relativi alla gestione del traffico, ad esempio, potrebbero verificarsi perdite di percorsi durante l'organizzazione del monitoraggio interno, della definizione delle priorità o del mirroring del traffico che passa attraverso Rostelecom per determinati servizi e CDN (a causa dell'aumento del carico di rete dovuto al lavoro di massa da casa alla fine di Marzo la questione della riduzione della priorità del traffico dei servizi esteri a favore delle risorse nazionali). Diversi anni fa, ad esempio, è stato fatto un tentativo in Pakistan Le sottoreti YouTube sull'interfaccia nulla hanno portato alla comparsa di queste sottoreti negli annunci BGP e al flusso di tutto il traffico YouTube verso il Pakistan.
È interessante notare che il giorno prima dell'incidente con Rostelecom, il piccolo fornitore “New Reality” (AS50048) della città. tramite Transtelecom lo era 2658 prefissi che interessano Orange, Akamai, Rostelecom e le reti di oltre 300 aziende. La perdita del percorso ha provocato diverse ondate di reindirizzamenti del traffico della durata di diversi minuti. Al suo apice, il problema ha interessato fino a 13.5 milioni di indirizzi IP. Una notevole interruzione globale è stata evitata grazie all'utilizzo da parte di Transtelecom di restrizioni di percorso per ciascun cliente.
Episodi simili si verificano su Internet e continueranno finché non saranno implementati ovunque Annunci BGP basati su RPKI (BGP Origin Validation), che consentono la ricezione di annunci solo dai proprietari della rete. Senza autorizzazione, qualsiasi operatore può pubblicizzare una sottorete con informazioni fittizie sulla lunghezza del percorso e far transitare attraverso di essa parte del traffico proveniente da altri sistemi che non applicano filtri pubblicitari.
Allo stesso tempo, nell'incidente in esame, è stato effettuato un controllo utilizzando il repository RIPE RPKI . Per coincidenza, tre ore prima della fuga di dati del percorso BGP in Rostelecom, durante il processo di aggiornamento del software RIPE, 4100 record ROA (autorizzazione all'origine del percorso RPKI). Il database è stato ripristinato solo il 2 aprile e per tutto questo tempo il controllo non è stato utilizzabile per i client RIPE (il problema non ha interessato i repository RPKI di altri registrar). Oggi RIPE presenta nuovi problemi e repository RPKI entro 7 ore .
Anche il filtraggio basato sul registro può essere utilizzato come soluzione per bloccare le perdite (Internet Routing Registry), che definisce sistemi autonomi attraverso i quali è consentito l'instradamento di prefissi specificati. Quando si interagisce con piccoli operatori, per ridurre l'impatto degli errori umani, è possibile limitare il numero massimo di prefissi accettati per le sessioni EBGP (l'impostazione del prefisso massimo).
Nella maggior parte dei casi gli incidenti sono il risultato di errori accidentali del personale, ma recentemente si sono verificati anche attacchi mirati durante i quali gli aggressori compromettono l’infrastruttura dei fornitori и traffico per siti specifici organizzando un attacco MiTM per sostituire le risposte DNS.
Per rendere più difficile l'ottenimento di certificati TLS durante tali attacchi, l'autorità di certificazione Let's Encrypt al controllo del dominio multiposizione utilizzando diverse sottoreti. Per aggirare questo controllo, un utente malintenzionato dovrà ottenere contemporaneamente il reindirizzamento del percorso per diversi sistemi autonomi di fornitori con diversi uplink, il che è molto più difficile che reindirizzare un singolo percorso.
Fonte: opennet.ru