Minangka asil saka woro-woro BGP sing salah, luwih saka 8800 awalan jaringan asing liwat jaringan Rostelecom, kang mimpin kanggo short-term ambruk saka nuntun, gangguan saka panyambungan jaringan lan masalah karo akses kanggo sawetara layanan ing saindhenging donya. Masalah luwih saka 200 sistem otonom diduweni dening perusahaan Internet utama lan jaringan pangiriman isi, kalebu Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba lan Linode.
Pengumuman sing salah kasebut digawe dening Rostelecom (AS12389) tanggal 1 April jam 22:28 (MSK), banjur dijupuk dening panyedhiya Rascom (AS20764) lan terus ing rantai kasebut nyebar menyang Cogent (AS174) lan Level3 (AS3356) , lapangan sing nyakup meh kabeh panyedhiya Internet tingkat pertama (). BGP langsung ngandhani Rostelecom babagan masalah kasebut, mula kedadeyan kasebut kira-kira 10 menit (miturut efek diamati watara jam).
Iki dudu kedadeyan pertama sing ana kesalahan ing sisih Rostelecom. Ing 2017 ing 5-7 menit liwat Rostelecom jaringan saka bank-bank paling gedhe lan layanan financial, kalebu Visa lan MasterCard. Ing loro kedadeyan kasebut, sumber masalah katon kerja sing ana gandhengane karo manajemen lalu lintas, contone, kebocoran rute bisa kedadeyan nalika ngatur pemantauan internal, prioritas utawa mirroring lalu lintas sing ngliwati Rostelecom kanggo layanan tartamtu lan CDN (amarga mundhake beban jaringan amarga kerja massal saka omah ing mburi Maret masalah ngurangi prioritas kanggo lalu lintas layanan manca kanggo sumber daya domestik). Contone, sawetara taun kepungkur ana upaya ing Pakistan Subnet YouTube ing antarmuka null ndadΓ©kakΓ© munculΓ© subnet kasebut ing pengumuman BGP lan aliran kabeh lalu lintas YouTube menyang Pakistan.
Iku menarik yen dina sadurunge kedadean karo Rostelecom, panyedhiya cilik "New Reality" (AS50048) saka kutha. liwat Transtelecom iku Ater-ater 2658 mengaruhi Orange, Akamai, Rostelecom lan jaringan luwih saka 300 perusahaan. Kebocoran rute kasebut nyebabake sawetara gelombang pangalihan lalu lintas sing suwene sawetara menit. Ing puncake, masalah kasebut kena pengaruh nganti 13.5 yuta alamat IP. Gangguan global sing nyata dihindari amarga panggunaan watesan rute Transtelecom kanggo saben klien.
Kedadeyan sing padha dumadi ing Internet lan bakal terus nganti dileksanakake ing endi wae Pengumuman BGP adhedhasar RPKI (Validasi Asal BGP), ngidini nampa pengumuman mung saka pamilik jaringan. Tanpa wewenang, operator apa wae bisa ngiklanake subnet kanthi informasi fiktif babagan dawa rute lan miwiti transit liwat bagean lalu lintas saka sistem liyane sing ora ngetrapake penyaringan pariwara.
Ing wektu sing padha, ing kedadean sing dipikirake, mriksa nggunakake gudang RIPE RPKI dadi . Kanthi kebetulan, telung jam sadurunge bocor rute BGP ing Rostelecom, sajrone proses nganyari piranti lunak RIPE, 4100 cathetan ROA (Otorisasi Asal Rute RPKI). Basis data dibalekake mung ing 2 April, lan kabeh wektu iki mriksa ora bisa digunakake kanggo klien RIPE (masalah kasebut ora mengaruhi repositori RPKI saka registrar liyane). Dina iki RIPE duwe masalah anyar lan repositori RPKI sajrone 7 jam .
Nyaring basis registri uga bisa digunakake minangka solusi kanggo mblokir bocor (Internet Routing Registry), sing nemtokake sistem otonom sing diidini nuntun prefiks sing ditemtokake. Nalika sesambungan karo operator cilik, kanggo ngurangi impact saka kesalahan manungsa, sampeyan bisa matesi jumlah maksimum ater-ater sing ditampa kanggo sesi EBGP (setelan maksimum-awalan).
Umume kasus, kedadeyan minangka akibat saka kesalahan personel sing ora disengaja, nanging bubar uga ana serangan sing ditargetake, nalika para panyerang kompromi infrastruktur panyedhiya. ΠΈ lalu lintas kanggo situs tartamtu liwat ngatur serangan MiTM kanggo ngganti respon DNS.
Kanggo nggawe luwih angel entuk sertifikat TLS sajrone serangan kasebut, wewenang sertifikat Ayo Encrypt kanggo mriksa domain multi-posisi nggunakake subnet sing beda. Kanggo ngliwati pamriksan iki, panyerang kudu kanthi bebarengan nggayuh pangalihan rute kanggo sawetara sistem otonomi panyedhiya kanthi uplink sing beda-beda, sing luwih angel tinimbang ngarahake rute siji.
Source: opennet.ru