ತಪ್ಪಾದ BGP ಪ್ರಕಟಣೆಯ ಪರಿಣಾಮವಾಗಿ, 8800 ಕ್ಕೂ ಹೆಚ್ಚು ವಿದೇಶಿ ನೆಟ್ವರ್ಕ್ ಪೂರ್ವಪ್ರತ್ಯಯಗಳು ರೋಸ್ಟೆಲೆಕಾಮ್ ನೆಟ್ವರ್ಕ್ ಮೂಲಕ, ಇದು ರೂಟಿಂಗ್ನ ಅಲ್ಪಾವಧಿಯ ಕುಸಿತಕ್ಕೆ ಕಾರಣವಾಯಿತು, ನೆಟ್ವರ್ಕ್ ಸಂಪರ್ಕದ ಅಡ್ಡಿ ಮತ್ತು ಪ್ರಪಂಚದಾದ್ಯಂತ ಕೆಲವು ಸೇವೆಗಳಿಗೆ ಪ್ರವೇಶದೊಂದಿಗೆ ಸಮಸ್ಯೆಗಳು. ಸಮಸ್ಯೆ ಅಕಾಮೈ, ಕ್ಲೌಡ್ಫ್ಲೇರ್, ಡಿಜಿಟಲ್ ಓಷನ್, ಅಮೆಜಾನ್ AWS, ಹೆಟ್ಜ್ನರ್, ಲೆವೆಲ್200, ಫೇಸ್ಬುಕ್, ಅಲಿಬಾಬಾ ಮತ್ತು ಲಿನೋಡ್ ಸೇರಿದಂತೆ ಪ್ರಮುಖ ಇಂಟರ್ನೆಟ್ ಕಂಪನಿಗಳು ಮತ್ತು ವಿಷಯ ವಿತರಣಾ ಜಾಲಗಳ ಒಡೆತನದ 3 ಕ್ಕೂ ಹೆಚ್ಚು ಸ್ವಾಯತ್ತ ವ್ಯವಸ್ಥೆಗಳು.
ಏಪ್ರಿಲ್ 12389 ರಂದು 1:22 (MSK) ಕ್ಕೆ Rostelecom (AS28) ನಿಂದ ತಪ್ಪಾದ ಪ್ರಕಟಣೆಯನ್ನು ಮಾಡಲಾಗಿದೆ, ನಂತರ ರಾಸ್ಕಾಮ್ ಪೂರೈಕೆದಾರರಿಂದ (AS20764) ಮತ್ತು ಕೊಜೆಂಟ್ (AS174) ಮತ್ತು Level3 (AS3356) ಗೆ ಹರಡಿತು. ಈ ಕ್ಷೇತ್ರವು ಬಹುತೇಕ ಎಲ್ಲಾ ಇಂಟರ್ನೆಟ್ ಪೂರೈಕೆದಾರರನ್ನು ಮೊದಲ ಹಂತವನ್ನು ಒಳಗೊಂಡಿದೆ (). ಸಮಸ್ಯೆಯ ಬಗ್ಗೆ ಬಿಜಿಪಿ ತಕ್ಷಣವೇ ರೋಸ್ಟೆಲೆಕಾಮ್ಗೆ ತಿಳಿಸಿತು, ಆದ್ದರಿಂದ ಘಟನೆಯು ಸುಮಾರು 10 ನಿಮಿಷಗಳ ಕಾಲ ನಡೆಯಿತು (ಅನುಸಾರ ಪರಿಣಾಮಗಳನ್ನು ಸುಮಾರು ಒಂದು ಗಂಟೆ ಗಮನಿಸಲಾಗಿದೆ).
ರೋಸ್ಟೆಲೆಕಾಮ್ನ ಬದಿಯಲ್ಲಿ ದೋಷವನ್ನು ಒಳಗೊಂಡಿರುವ ಮೊದಲ ಘಟನೆ ಇದು ಅಲ್ಲ. 2017 ರಲ್ಲಿ ರೋಸ್ಟೆಲೆಕಾಮ್ ಮೂಲಕ 5-7 ನಿಮಿಷಗಳಲ್ಲಿ ವೀಸಾ ಮತ್ತು ಮಾಸ್ಟರ್ಕಾರ್ಡ್ ಸೇರಿದಂತೆ ದೊಡ್ಡ ಬ್ಯಾಂಕ್ಗಳು ಮತ್ತು ಹಣಕಾಸು ಸೇವೆಗಳ ನೆಟ್ವರ್ಕ್ಗಳು. ಎರಡೂ ಘಟನೆಗಳಲ್ಲಿ, ಸಮಸ್ಯೆಯ ಮೂಲವು ಕಂಡುಬರುತ್ತದೆ ಟ್ರಾಫಿಕ್ ನಿರ್ವಹಣೆಗೆ ಸಂಬಂಧಿಸಿದ ಕೆಲಸ, ಉದಾಹರಣೆಗೆ, ಕೆಲವು ಸೇವೆಗಳು ಮತ್ತು ಸಿಡಿಎನ್ಗಳಿಗಾಗಿ ರೋಸ್ಟೆಲೆಕಾಮ್ ಮೂಲಕ ಹಾದುಹೋಗುವ ದಟ್ಟಣೆಯ ಆಂತರಿಕ ಮೇಲ್ವಿಚಾರಣೆ, ಆದ್ಯತೆ ಅಥವಾ ಪ್ರತಿಬಿಂಬಿಸುವಾಗ ಮಾರ್ಗಗಳ ಸೋರಿಕೆ ಸಂಭವಿಸಬಹುದು (ಮನೆಯ ಕೊನೆಯಲ್ಲಿ ಸಾಮೂಹಿಕ ಕೆಲಸದಿಂದಾಗಿ ನೆಟ್ವರ್ಕ್ ಲೋಡ್ ಹೆಚ್ಚಳದ ಕಾರಣ. ಮಾರ್ಚ್ ದೇಶೀಯ ಸಂಪನ್ಮೂಲಗಳ ಪರವಾಗಿ ವಿದೇಶಿ ಸೇವೆಗಳ ಸಂಚಾರಕ್ಕೆ ಆದ್ಯತೆಯನ್ನು ಕಡಿಮೆ ಮಾಡುವ ಸಮಸ್ಯೆ). ಉದಾಹರಣೆಗೆ, ಹಲವಾರು ವರ್ಷಗಳ ಹಿಂದೆ ಪಾಕಿಸ್ತಾನದಲ್ಲಿ ಒಂದು ಪ್ರಯತ್ನವನ್ನು ಮಾಡಲಾಯಿತು ಶೂನ್ಯ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿ YouTube ಸಬ್ನೆಟ್ಗಳು BGP ಪ್ರಕಟಣೆಗಳಲ್ಲಿ ಈ ಸಬ್ನೆಟ್ಗಳ ಗೋಚರಿಸುವಿಕೆಗೆ ಕಾರಣವಾಯಿತು ಮತ್ತು ಪಾಕಿಸ್ತಾನಕ್ಕೆ ಎಲ್ಲಾ YouTube ಟ್ರಾಫಿಕ್ ಹರಿವು.
ರೋಸ್ಟೆಲೆಕಾಮ್ನೊಂದಿಗಿನ ಘಟನೆಯ ಹಿಂದಿನ ದಿನ, ನಗರದ ಸಣ್ಣ ಪೂರೈಕೆದಾರ "ನ್ಯೂ ರಿಯಾಲಿಟಿ" (AS50048) ಎಂಬುದು ಕುತೂಹಲಕಾರಿಯಾಗಿದೆ. ಟ್ರಾನ್ಸ್ಟೆಲಿಕಾಮ್ ಮೂಲಕ ಅದು 2658 ಪೂರ್ವಪ್ರತ್ಯಯಗಳು ಆರೆಂಜ್, ಅಕಾಮೈ, ರೋಸ್ಟೆಲೆಕಾಮ್ ಮತ್ತು 300 ಕ್ಕೂ ಹೆಚ್ಚು ಕಂಪನಿಗಳ ನೆಟ್ವರ್ಕ್ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತವೆ. ಮಾರ್ಗದ ಸೋರಿಕೆಯು ಹಲವಾರು ತರಂಗಗಳ ಟ್ರಾಫಿಕ್ ಮರುನಿರ್ದೇಶನಗಳಿಗೆ ಹಲವಾರು ನಿಮಿಷಗಳವರೆಗೆ ಕಾರಣವಾಯಿತು. ಅದರ ಉತ್ತುಂಗದಲ್ಲಿ, ಸಮಸ್ಯೆಯು 13.5 ಮಿಲಿಯನ್ IP ವಿಳಾಸಗಳವರೆಗೆ ಪರಿಣಾಮ ಬೀರಿತು. ಪ್ರತಿ ಕ್ಲೈಂಟ್ಗಾಗಿ ಟ್ರಾನ್ಸ್ಟೆಲಿಕಾಮ್ನ ಮಾರ್ಗ ನಿರ್ಬಂಧಗಳ ಬಳಕೆಯಿಂದಾಗಿ ಗಮನಾರ್ಹ ಜಾಗತಿಕ ಅಡಚಣೆಯನ್ನು ತಪ್ಪಿಸಲಾಗಿದೆ.
ಅಂತರ್ಜಾಲದಲ್ಲಿ ಇದೇ ರೀತಿಯ ಘಟನೆಗಳು ಸಂಭವಿಸುತ್ತವೆ ಮತ್ತು ಅವುಗಳನ್ನು ಎಲ್ಲೆಡೆ ಕಾರ್ಯಗತಗೊಳಿಸುವವರೆಗೆ ಮುಂದುವರಿಯುತ್ತದೆ RPKI (BGP ಮೂಲ ಮೌಲ್ಯೀಕರಣ) ಆಧಾರಿತ BGP ಪ್ರಕಟಣೆಗಳು, ನೆಟ್ವರ್ಕ್ ಮಾಲೀಕರಿಂದ ಮಾತ್ರ ಪ್ರಕಟಣೆಗಳನ್ನು ಸ್ವೀಕರಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಅನುಮತಿಯಿಲ್ಲದೆ, ಯಾವುದೇ ನಿರ್ವಾಹಕರು ಮಾರ್ಗದ ಉದ್ದದ ಬಗ್ಗೆ ಕಾಲ್ಪನಿಕ ಮಾಹಿತಿಯೊಂದಿಗೆ ಸಬ್ನೆಟ್ ಅನ್ನು ಜಾಹೀರಾತು ಮಾಡಬಹುದು ಮತ್ತು ಜಾಹೀರಾತು ಫಿಲ್ಟರಿಂಗ್ ಅನ್ನು ಅನ್ವಯಿಸದ ಇತರ ಸಿಸ್ಟಮ್ಗಳಿಂದ ಟ್ರಾಫಿಕ್ನ ಭಾಗದ ಮೂಲಕ ಸಾಗಣೆಯನ್ನು ಪ್ರಾರಂಭಿಸಬಹುದು.
ಅದೇ ಸಮಯದಲ್ಲಿ, ಪರಿಗಣನೆಯಲ್ಲಿರುವ ಘಟನೆಯಲ್ಲಿ, RIPE RPKI ರೆಪೊಸಿಟರಿಯನ್ನು ಬಳಸುವ ಚೆಕ್ . ಕಾಕತಾಳೀಯವಾಗಿ, ರೋಸ್ಟೆಲೆಕಾಮ್ನಲ್ಲಿ ಬಿಜಿಪಿ ಮಾರ್ಗದ ಸೋರಿಕೆಗೆ ಮೂರು ಗಂಟೆಗಳ ಮೊದಲು, RIPE ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ನವೀಕರಿಸುವ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ, 4100 ROA ದಾಖಲೆಗಳು (RPKI ಮಾರ್ಗ ಮೂಲ ಅಧಿಕಾರ). ಡೇಟಾಬೇಸ್ ಅನ್ನು ಏಪ್ರಿಲ್ 2 ರಂದು ಮಾತ್ರ ಮರುಸ್ಥಾಪಿಸಲಾಗಿದೆ, ಮತ್ತು ಈ ಸಮಯದಲ್ಲಿ ಚೆಕ್ ಅನ್ನು RIPE ಕ್ಲೈಂಟ್ಗಳಿಗೆ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ (ಸಮಸ್ಯೆಯು ಇತರ ರಿಜಿಸ್ಟ್ರಾರ್ಗಳ RPKI ರೆಪೊಸಿಟರಿಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಲಿಲ್ಲ). ಇಂದು RIPE ಹೊಸ ಸಮಸ್ಯೆಗಳನ್ನು ಹೊಂದಿದೆ ಮತ್ತು 7 ಗಂಟೆಗಳ ಒಳಗೆ RPKI ರೆಪೊಸಿಟರಿಯನ್ನು ಹೊಂದಿದೆ .
ಸೋರಿಕೆಯನ್ನು ತಡೆಯಲು ರಿಜಿಸ್ಟ್ರಿ ಆಧಾರಿತ ಫಿಲ್ಟರಿಂಗ್ ಅನ್ನು ಸಹ ಪರಿಹಾರವಾಗಿ ಬಳಸಬಹುದು (ಇಂಟರ್ನೆಟ್ ರೂಟಿಂಗ್ ರಿಜಿಸ್ಟ್ರಿ), ಇದು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಪೂರ್ವಪ್ರತ್ಯಯಗಳ ರೂಟಿಂಗ್ ಅನ್ನು ಅನುಮತಿಸುವ ಮೂಲಕ ಸ್ವಾಯತ್ತ ವ್ಯವಸ್ಥೆಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ. ಸಣ್ಣ ನಿರ್ವಾಹಕರೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುವಾಗ, ಮಾನವ ದೋಷಗಳ ಪ್ರಭಾವವನ್ನು ಕಡಿಮೆ ಮಾಡಲು, ನೀವು EBGP ಸೆಷನ್ಗಳಿಗಾಗಿ ಗರಿಷ್ಠ ಸಂಖ್ಯೆಯ ಸ್ವೀಕೃತ ಪೂರ್ವಪ್ರತ್ಯಯಗಳನ್ನು ಮಿತಿಗೊಳಿಸಬಹುದು (ಗರಿಷ್ಠ-ಪೂರ್ವಪ್ರತ್ಯಯ ಸೆಟ್ಟಿಂಗ್).
ಹೆಚ್ಚಿನ ಸಂದರ್ಭಗಳಲ್ಲಿ, ಘಟನೆಗಳು ಆಕಸ್ಮಿಕ ಸಿಬ್ಬಂದಿ ದೋಷಗಳ ಪರಿಣಾಮವಾಗಿದೆ, ಆದರೆ ಇತ್ತೀಚೆಗೆ ಉದ್ದೇಶಿತ ದಾಳಿಗಳು ಸಹ ನಡೆದಿವೆ, ಈ ಸಮಯದಲ್ಲಿ ದಾಳಿಕೋರರು ಪೂರೈಕೆದಾರರ ಮೂಲಸೌಕರ್ಯವನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳುತ್ತಾರೆ. и ಸಂಚಾರಕ್ಕಾಗಿ DNS ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ಬದಲಿಸಲು MiTM ದಾಳಿಯನ್ನು ಆಯೋಜಿಸುವ ಮೂಲಕ ನಿರ್ದಿಷ್ಟ ಸೈಟ್ಗಳು.
ಅಂತಹ ದಾಳಿಯ ಸಮಯದಲ್ಲಿ TLS ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಪಡೆಯುವುದನ್ನು ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿಸಲು, ಪ್ರಮಾಣಪತ್ರ ಪ್ರಾಧಿಕಾರವನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡೋಣ ವಿವಿಧ ಸಬ್ನೆಟ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಬಹು-ಸ್ಥಾನದ ಡೊಮೇನ್ ಪರಿಶೀಲನೆಗೆ. ಈ ಚೆಕ್ ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು, ಆಕ್ರಮಣಕಾರರು ವಿವಿಧ ಅಪ್ಲಿಂಕ್ಗಳನ್ನು ಹೊಂದಿರುವ ಪೂರೈಕೆದಾರರ ಹಲವಾರು ಸ್ವಾಯತ್ತ ವ್ಯವಸ್ಥೆಗಳಿಗೆ ಏಕಕಾಲದಲ್ಲಿ ಮಾರ್ಗ ಮರುನಿರ್ದೇಶನವನ್ನು ಸಾಧಿಸಬೇಕಾಗುತ್ತದೆ, ಇದು ಒಂದೇ ಮಾರ್ಗವನ್ನು ಮರುನಿರ್ದೇಶಿಸುವುದಕ್ಕಿಂತ ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿರುತ್ತದೆ.
ಮೂಲ: opennet.ru