Silav, navê min Alexander Azimov e. Li Yandex, ez pergalên çavdêriyê yên cihêreng, û hem jî mîmariya torê ya veguhastinê pêş dixe. Lê îro em ê behsa protokola BGP bikin.
Hefteyek berê, Yandex ROV (Rêvekirina Originê ya Rêyê) di navbeynkariyên bi hemî hevkarên peering, û her weha xalên danûstendina trafîkê de çalak kir. Li jêr bixwînin ka çima ev hate kirin û ew ê çawa bandorê li pêwendiya bi operatorên telekomê bike.
BGP û çi xelet e
Hûn belkî dizanin ku BGP wekî protokola rêveçûna navdomanê hate sêwirandin. Lêbelê, di rê de, hejmara dozên karanîna karûbar mezin bû: îro, BGP, bi saya gelek pêvekan, veguheriye otobusek peyamê, ku peywirên ji operator VPN heya SD-WAN-ya nuha moda vedigire, û tewra jî serîlêdan wekî veguheztinek ji bo kontrolkerek mîna SDN, vektora dûrbûnê BGP vediguhezîne tiştek mîna protokola girêdanên rûniştî.
Keman. 1
Çima BGP ew qas karanîna wergirtiye (û berdewam dike)? Du sedemên sereke hene:
- BGP protokola yekane ye ku di navbera pergalên xweser (AS) de dixebite;
- BGP taybetmendiyên di forma TLV (cure-dirêj-nirx) de piştgirî dike. Erê, protokol di vê yekê de ne bi tenê ye, lê ji ber ku tiştek tune ku wê li bendikên di navbera operatorên telekomê de biguhezîne, ew her gav jêhatîtir derdikeve ku meriv hêmanek fonksiyonelek din pê ve girêbide ji piştgirîkirina protokolek rêvekirinê ya zêde.
Çi derdê wî heye? Bi kurtasî, protokol ji bo kontrolkirina rastbûna agahdariya hatî wergirtin mekanîzmayên çêkirî tune. Ango, BGP protokolek pêbaweriya pêşîn e: heke hûn dixwazin ji cîhanê re bibêjin ku hûn niha xwediyê tora Rostelecom, MTS an Yandex in, ji kerema xwe!
Parzûna bingehîn a IRRDB - ya herî xirab a çêtirîn
Pirs derdikeve holê: çima Înternet hîn jî di rewşek weha de dixebite? Erê, ew pir caran dixebite, lê di heman demê de ew dem bi dem diteqe, û tevahiya beşên neteweyî neçar dike. Her çend çalakiya hackerê ya di BGP de jî zêde dibe, pir anomalî hîn jî ji ber xeletiyan têne çêkirin. Mînaka îsal ev e li Belarusê, ku beşek girîng a Înternetê nîv saetê ji bikarhênerên MegaFon re negihaştiye. Mînakek din - yek ji mezintirîn torên CDN li cîhanê şikand.
Birinc. 2. Cloudflare astengkirina trafîkê
Lê dîsa jî, çima anomaliyên weha şeş mehan carekê çêdibin, ne her roj? Ji ber ku hilgir databasên derveyî yên agahdariya rêvekirinê bikar tînin da ku tiştê ku ew ji cîranên BGP werdigirin rast bikin. Gelek databasên weha hene, hin ji wan ji hêla qeydkeran ve têne rêve kirin (RIPE, APNIC, ARIN, AFRINIC), hin lîstikvanên serbixwe ne (ya herî navdar RADB ye), û her weha komek tomarkerên ku xwediyê pargîdaniyên mezin in (Asta 3 , NTT, hwd.). Bi saya van databasan e ku rêwîtiya nav-domain aramiya têkildar a xebata xwe diparêze.
Lêbelê, nuans hene. Agahdariya rêgezê li gorî tiştên ROUTE-OBJECTS û AS-SET têne kontrol kirin. Û heke yekem ji bo beşek ji IRRDB destûr dide, wê hingê ji bo pola duyemîn destûrnameyek wekî çîn tune. Ango, her kes dikare her kesî li komên xwe zêde bike û bi vî rengî fîlterên pêşkêşkerên jorîn derbas bike. Digel vê yekê, bêhempabûna navê AS-SET di navbera bingehên cûda yên IRR de ne garantî ye, ku dikare bibe sedema bandorên sosret bi windabûna nişka ve girêdanê ji bo operatorê telekomê, yê ku, ji hêla xwe ve, tiştek neguherandiye.
Pirsgirêkek din jî şêwaza karanîna AS-SET e. Li vir du xal hene:
- Dema ku operator xerîdarek nû distîne, ew wê li AS-SET-a xwe zêde dike, lê hema hema qet jê dernakeve;
- Parzûn bi xwe tenê di navgînên bi xerîdaran re têne mîheng kirin.
Wekî encamek, formata nûjen a parzûnên BGP ji fîlterên hêdî-hêdî di nav pêwendiyên bi xerîdaran re û pêbaweriya pêşîn bi ya ku ji hevkarên peer û pêşkêşkerên veguhastina IP-ê tê de pêk tê.
Li şûna fîlterên pêşgir li ser bingeha AS-SET çi ye? Tiştê herî balkêş ev e ku di demek kurt de - tiştek. Lê mekanîzmayên zêde derdikevin holê ku xebata fîlterên IRRDB-ê temam dikin, û berî her tiştî, ev, bê guman, RPKI ye.
RPKI
Bi awayek hêsankirî, mîmariya RPKI dikare wekî databasek belavkirî were hesibandin ku tomarên wê dikarin bi şîfrekirinê werin verast kirin. Di doza ROA (Rêveberiya Objektîfê ya Rêwî) de, îmzeker xwediyê cîhê navnîşan e, û tomar bixwe sêyek e (pêşgir, asn, dirêj_max). Bi eslê xwe, ev têketin van tiştan destnîşan dike: xwedanê cîhê navnîşana $prefix destûr daye jimareya AS $asn ku reklama pêşgiran bi dirêjahiya ji $max_length ne mezintir bike. Û router, ku cache RPKI bikar tînin, dikarin cotê ji bo lihevhatinê kontrol bikin pêşgir - yekem axaftvan di rê de.
Wêne 3. Mîmariya RPKI
Tiştên ROA ji bo demek dirêj ve hatine standardîze kirin, lê heya vê dawiyê ew bi rastî di kovara IETF de tenê li ser kaxezê man. Bi dîtina min, sedema vê yekê tirsnak xuya dike - kirrûbirra xirab. Piştî ku standardkirin qediya, teşwîq ev bû ku ROA li dijî revandina BGP-ê parast - ku ne rast bû. Êrîşkar dikarin bi hêsanî parzûnên ROA-based derbas bikin bi xistina jimareya rast a AC di destpêka rê de. Û gava ku ev têgihiştin hat, gava din a mantiqî dev ji karanîna ROA bû. Û bi rastî, eger ew nexebite çima em hewceyê teknolojiyê ne?
Çima dem hatiye ku hûn ramana xwe biguherînin? Ji ber ku ev ne tevahiya rastiyê ye. ROA li dijî çalakiya hackerê di BGP de naparêze, lê li hember revandinên trafîkê yên bêserûber diparêzeJi bo nimûne ji leaksên statîk ên di BGP de, ku her ku diçe gelemperî dibe. Di heman demê de, berevajî fîlterên bingeh-IRR, ROV dikare ne tenê di navbeynkariya bi xerîdaran re, lê di heman demê de di navgînên bi heval û pêşkêşkerên jorîn de jî were bikar anîn. Ango, digel danasîna RPKI-yê, pêbaweriyek a priori gav bi gav ji BGP winda dibe.
Naha, kontrolkirina rêyên li ser bingeha ROA hêdî hêdî ji hêla lîstikvanên sereke ve têne bicîh kirin: IX-ya herî mezin a Ewropî jixwe rêyên çewt di nav operatorên Tier-1 de vedişêre, hêja ye ku AT&T ronî bike, ku di navbeynkaran de bi hevalbendên xwe re fîlter çalak kiriye. Pêşkêşvanên naverokê yên herî mezin jî nêzî projeyê dibin. Û bi dehan operatorên veguhastinê yên navîn jixwe ew bi bêdengî bicîh anîne, bêyî ku ji kesî re li ser wê bêjin. Çima van hemî operator RPKI-yê bicîh dikin? Bersiv hêsan e: ji bo parastina seyrûsefera xweya derketinê ji xeletiyên kesên din. Ji ber vê yekê Yandex di Federasyona Rûsyayê de yek ji yekem e ku ROV li qiraxa tora xwe vedihewîne.
Dê paşê çi bibe?
Me naha kontrolkirina agahdariya rêvekirinê li navberên bi xalên danûstendina trafîkê û peeringên taybet re çalak kiriye. Di pêşerojek nêzîk de, verastkirin dê bi pêşkêşkerên trafîkê yên jorîn re jî were çalak kirin.
Ev ji bo we çi ferq dike? Heke hûn dixwazin ewlehiya rêwîtiya trafîkê di navbera tora xwe û Yandex de zêde bikin, em pêşniyar dikin:
- Cihê navnîşana xwe îmze bikin - ew hêsan e, bi navînî 5-10 hûrdem digire. Ev ê pêwendiya me biparêze di bûyera ku kesek bi nezanî cîhê navnîşana we dizîne (û ev ê bê guman zû an dereng çêbibe);
- Yek ji kaşeyên RPKI-ya çavkaniya vekirî saz bikin (, ) û kontrolkirina rê li sînorê torê çalak bikin - ev ê bêtir wext bigire, lê dîsa, ew ê bibe sedema ti dijwariyên teknîkî.
Yandex di heman demê de piştgirî dide pêşkeftina pergalek fîlterkirinê ya li ser bingeha objekta RPKI-ya nû - (Rewşa Pêşkêşkara Pergala Xweser). Parzûnên li ser bingeha tiştên ASPA û ROA ne tenê dikarin AS-SET-ên "leak" biguhezînin, lê di heman demê de pirsgirêkên êrişên MiTM jî bi karanîna BGP-ê digirin.
Ez ê di konferansa Next Hop de mehekê bi berfirehî li ser ASPA biaxivim. Hevalên Netflix, Facebook, Dropbox, Juniper, Mellanox û Yandex jî dê li wir biaxivin. Ger hûn di paşerojê de bi stûna torê û pêşkeftina wê re eleqedar in, werin .
Source: www.habr.com