プロホスト > ブログ > インターネットニュース > Rostelecom の BGP ルートの漏洩により、最大規模のネットワークの接続が中断されました

Rostelecom の BGP ルートの漏洩により、最大規模のネットワークの接続が中断されました

誤った BGP アナウンスの結果、8800 を超える外部ネットワーク プレフィックスが あった リダイレクトされた Rostelecom ネットワーク経由で発生したため、ルーティングが短期間崩壊し、ネットワーク接続が中断され、世界中の一部のサービスへのアクセスに問題が発生しました。 問題 抱きしめた Akamai、Cloudflare、Digital Ocean、Amazon AWS、Hetzner、Level200、Facebook、Alibaba、Linode などの大手インターネット企業とコンテンツ配信ネットワークが所有する 3 以上の自律システム。

この誤った発表は、12389 月 1 日 22:28 (MSK) に Rostelecom (AS20764) によって行われ、その後プロバイダー Rascom (AS174) によって拾われ、さらにチェーンに沿って Cogent (AS3) および Level3356 (ASXNUMX) に広がりました。 、この分野はほぼすべてのインターネット プロバイダーの第 XNUMX レベルをカバーしていました (ティア1). サービス 監視 BGP は直ちにこの問題についてロステレコムに通知したため、インシデントは約 10 分間続きました (によれば、 その他のデータ 効果は約 XNUMX 時間観察されました)。

ロステレコム側のミスが絡む事件はこれが初めてではない。 2017 年は Rostelecom 経由で 5 ~ 7 分以内 リダイレクトされました Visa や MasterCard を含む最大手の銀行や金融サービスのネットワーク。 どちらのインシデントでも、問題の原因は次のとおりであると考えられます。 提供されました たとえば、トラフィック管理に関連する作業。特定のサービスや CDN のために Rostelecom を通過するトラフィックの内部監視、優先順位付け、またはミラーリングを組織するときに、ルートの漏洩が発生する可能性があります(年末の大量の在宅勤務によるネットワーク負荷の増加が原因)行進 議論した 国内リソースを優先して海外サービスのトラフィックの優先順位を下げる問題)。 たとえば、数年前にパキスタンで試みが行われた。 ラッピング ヌル インターフェイス上の YouTube サブネットにより、BGP アナウンスにこれらのサブネットが表示され、すべての YouTube トラフィックがパキスタンに流れるようになりました。

Rostelecom の BGP ルートの漏洩により、最大規模のネットワークの接続が中断されました

興味深いのは、ロステレコムとの事件の前日、市内の小規模プロバイダー「New Reality」(AS50048)だったということです。 シュメルリャ トランステレコムを通じて 発表 2658 個のプレフィックスが Orange、Akamai、Rostelecom および 300 社以上の企業のネットワークに影響を及ぼします。 ルート漏洩により、トラフィックのリダイレクトが数分間発生しました。 ピーク時には、この問題は最大 13.5 万の IP アドレスに影響を及ぼしました。 Transtelecom がクライアントごとにルート制限を使用したおかげで、顕著な世界的な混乱は回避されました。

同様の事件がネット上でも起きている 定期的に そしてそれがあらゆる場所で実装されるまで続くでしょう 認証方法 RPKI (BGP Origin Validation) に基づく BGP アナウンス。ネットワーク所有者からのみアナウンスの受信を許可します。 許可がなければ、どのオペレータも、ルートの長さに関する架空の情報を使用してサブネットをアドバタイズし、アドバタイズメント フィルタリングを適用しない他のシステムからのトラフィックの一部を自身を経由して通過させることができます。

同時に、検討中のインシデントでは、RIPE RPKI リポジトリを使用したチェックが行われていたことが判明しました。 使い物にならない。 偶然ですが、ロステレコムの BGP ルートが漏洩する XNUMX 時間前、RIPE ソフトウェアの更新プロセス中に、 誤って削除されました 4100 ROA レコード (RPKI ルート起点認証)。 データベースは 2 月 7 日にのみ復元され、この間ずっと、チェックは RIPE クライアントに対して動作できませんでした (この問題は他のレジストラの RPKI リポジトリには影響しませんでした)。 今日、RIPE に新しい問題が発生し、XNUMX 時間以内に RPKI リポジトリが作成されました 利用できませんでした.

レジストリベースのフィルタリングは、リークをブロックするソリューションとしても使用できます IRR (インターネット ルーティング レジストリ)。指定されたプレフィックスのルーティングが許可される自律システムを定義します。 小規模なオペレーターと対話する場合、人的エラーの影響を軽減するために、EBGP セッションで受け入れられるプレフィックスの最大数 (最大プレフィックス設定) を制限できます。

ほとんどの場合、インシデントは偶発的な人的ミスの結果として発生しますが、最近では、攻撃者がプロバイダーのインフラストラクチャを侵害する標的型攻撃も発生しています。 整理する リダイレクション и 傍受 のトラフィック 置換 MiTM 攻撃を組織して DNS 応答を置き換えることにより、特定のサイトを攻撃します。
このような攻撃中に TLS 証明書を取得することをより困難にするために、Let's Encrypt 認証局は 最近切り替えた 異なるサブネットを使用して複数の位置のドメインをチェックします。 このチェックを回避するには、攻撃者は、異なるアップリンクを持つプロバイダーの複数の自律システムのルート リダイレクトを同時に達成する必要がありますが、これは単一のルートをリダイレクトするよりもはるかに困難です。

出所: オープンネット.ru

コメントを追加します