Қате BGP хабарландыруының нәтижесінде 8800-ден астам шетелдік желі префиксі Ростелеком желісі арқылы, бұл маршрутизацияның қысқа мерзімді құлдырауына, желіге қосылудың бұзылуына және бүкіл әлем бойынша кейбір қызметтерге қол жеткізу проблемаларына әкелді. Мәселе ірі интернет-компаниялар мен мазмұнды жеткізу желілеріне тиесілі 200-ден астам автономды жүйелер, соның ішінде Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba және Linode.
Қате хабарландыруды Ростелеком (AS12389) 1 сәуірде 22:28 (MSK) жасады, содан кейін Rascom провайдері (AS20764) қабылдады және одан әрі тізбек бойынша Cogent (AS174) және Level3 (AS3356) тарады, оның саласы барлық дерлік бірінші деңгейлі интернет-провайдерлерді қамтыды (). BGP проблема туралы Ростелекомды дереу хабардар етті, сондықтан оқиға шамамен 10 минутқа созылды (мәліметтер бойынша әсерлері шамамен бір сағат бойы байқалды).
Бұл «Ростелеком» тарапындағы қателікпен байланысты бірінші оқиға емес. 2017 жылы Ростелеком арқылы 5-7 минут ішінде ірі банктердің және қаржылық қызметтердің, соның ішінде Visa және MasterCard желілері. Екі оқиғада да мәселенің көзі болып көрінеді трафикті басқарумен байланысты жұмыстар, мысалы, ішкі бақылауды ұйымдастыру, басымдық беру немесе белгілі бір қызметтер мен CDN үшін Ростелеком арқылы өтетін трафикті көрсету кезінде маршруттардың ағуы болуы мүмкін (жүйенің соңында үйден жаппай жұмыс істеуге байланысты желі жүктемесінің артуына байланысты). наурыз ішкі ресурстар пайдасына шетелдік қызметтердің трафигі басымдығын төмендету мәселесі). Мысалы, бірнеше жыл бұрын Пәкістанда әрекет жасалды Нөлдік интерфейстегі YouTube ішкі желілері осы ішкі желілердің BGP хабарландыруларында пайда болуына және барлық YouTube трафигінің Пәкістанға ағынына әкелді.
Бір қызығы, «Ростелекоммен» болған оқиғадан бір күн бұрын қаладағы «Жаңа шындық» (AS50048) шағын провайдері. Transtelecom арқылы болды Orange, Akamai, Rostelecom және 2658-ден астам компаниялардың желілеріне әсер ететін 300 префикс. Маршруттың ағып кетуі бірнеше минутқа созылатын трафикті қайта бағыттаудың бірнеше толқынына әкелді. Шыңында мәселе 13.5 миллион IP мекенжайына әсер етті. Транстелекомның әрбір клиент үшін маршрут шектеулерін қолдануының арқасында айтарлықтай жаһандық бұзылу болдырылмады.
Ғаламторда осыған ұқсас оқиғалар орын алады және олар барлық жерде жүзеге асырылмайынша жалғаса береді Хабарландыруларды тек желі иелерінен алуға мүмкіндік беретін RPKI (BGP Origin Validation) негізіндегі BGP хабарландырулары. Рұқсатсыз кез келген оператор ішкі желіні маршрут ұзындығы туралы жалған ақпаратпен жарнамалай алады және жарнама сүзгісін қолданбайтын басқа жүйелерден трафиктің бір бөлігінің өзі арқылы транзитін бастайды.
Сонымен бірге, қарастырылып жатқан оқиғада RIPE RPKI репозиторийін пайдаланатын тексеру болды. . Кездейсоқ, Ростелекомдағы BGP маршрутының ағып кетуінен үш сағат бұрын, RIPE бағдарламалық жасақтамасын жаңарту кезінде, 4100 ROA жазбалары (RPKI Route Origin Authorization). Деректер базасы тек 2 сәуірде ғана қалпына келтірілді және осы уақыт ішінде тексеру RIPE клиенттері үшін жұмыс істемеді (мәселе басқа тіркеушілердің RPKI репозиторийлеріне әсер еткен жоқ). Бүгін RIPE-де 7 сағат ішінде жаңа проблемалар мен RPKI репозиторийі бар .
Тізілімге негізделген сүзгілеу ағып кетуді блоктау үшін шешім ретінде де пайдаланылуы мүмкін (Internet Routing Registry), ол арқылы көрсетілген префикстерді бағыттауға рұқсат етілген автономды жүйелерді анықтайды. Шағын операторлармен әрекеттесу кезінде адам қателерінің әсерін азайту үшін EBGP сеанстары үшін қабылданған префикстердің максималды санын шектей аласыз (ең жоғары префикс параметрі).
Көп жағдайда инциденттер кездейсоқ персонал қателерінің салдары болып табылады, бірақ жақында шабуылдаушылар провайдерлердің инфрақұрылымын бұзатын мақсатты шабуылдар да болды. и үшін трафик DNS жауаптарын ауыстыру үшін MiTM шабуылын ұйымдастыру арқылы арнайы сайттар.
Мұндай шабуылдар кезінде TLS сертификаттарын алуды қиындату үшін сертификатты шифрлаймыз әртүрлі ішкі желілер арқылы көп позициялық доменді тексеруге. Бұл тексеруді айналып өту үшін шабуылдаушыға бір уақытта әртүрлі жоғары байланысы бар провайдерлердің бірнеше автономды жүйелері үшін бағытты қайта бағыттауға қол жеткізу қажет болады, бұл бір бағытты қайта бағыттаудан әлдеқайда қиын.
Ақпарат көзі: opennet.ru