Kļūdaina BGP paziņojuma rezultātā vairāk nekā 8800 ārvalstu tīkla prefiksi izmantojot Rostelecom tīklu, kas izraisīja īstermiņa maršrutēšanas sabrukumu, tīkla savienojamības traucējumus un problēmas ar piekļuvi dažiem pakalpojumiem visā pasaulē. Problēma vairāk nekā 200 autonomas sistēmas, kas pieder lielākajiem interneta uzņēmumiem un satura piegādes tīkliem, tostarp Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba un Linode.
Kļūdaino paziņojumu Rostelecom (AS12389) sniedza 1. aprīlī pulksten 22:28 (MSK), pēc tam to paņēma pakalpojumu sniedzējs Rascom (AS20764) un tālāk pa ķēdi tas izplatījās uz Cogent (AS174) un Level3 (AS3356) , kura joma aptvēra gandrīz visus pirmā līmeņa interneta pakalpojumu sniedzējus (). BGP nekavējoties informēja Rostelecom par problēmu, tāpēc incidents ilga apmēram 10 minūtes (saskaņā ar ietekme tika novērota apmēram stundu).
Šis nav pirmais incidents, kas saistīts ar kļūdu Rostelecom pusē. 2017. gadā 5-7 minūšu laikā caur Rostelecom lielāko banku tīkli un finanšu pakalpojumi, tostarp Visa un MasterCard. Šķiet, ka abos gadījumos problēmas avots ir darbs, kas saistīts ar satiksmes pārvaldību, piemēram, maršrutu noplūde var rasties, organizējot iekšēju uzraudzību, prioritāšu noteikšanu vai spoguļošanu caur Rostelecom šķērsojošai satiksmei noteiktiem pakalpojumiem un CDN (sakarā ar tīkla slodzes palielināšanos sakarā ar masveida darbu no mājām gada beigās marts jautājums par prioritātes pazemināšanu ārvalstu pakalpojumu satiksmei par labu iekšzemes resursiem). Piemēram, pirms vairākiem gadiem mēģinājums tika veikts Pakistānā YouTube apakštīkli nulles saskarnē noveda pie šo apakštīklu parādīšanās BGP paziņojumos un visas YouTube trafika plūsmas uz Pakistānu.
Interesanti, ka dienu pirms incidenta ar Rostelecom, mazo pakalpojumu sniedzēju “New Reality” (AS50048) no pilsētas. caur Transtelecom tas bija 2658 prefiksi, kas ietekmē Orange, Akamai, Rostelecom un vairāk nekā 300 uzņēmumu tīklus. Maršruta noplūde izraisīja vairākus satiksmes novirzīšanas viļņus, kas ilga vairākas minūtes. Savā maksimumā problēma skāra līdz 13.5 miljoniem IP adrešu. Pateicoties tam, ka Transtelecom katram klientam izmantoja maršruta ierobežojumus, tika novērsti ievērojami globāli traucējumi.
Līdzīgi gadījumi notiek internetā un turpināsies, līdz tie tiks ieviesti visur BGP paziņojumi, kuru pamatā ir RPKI (BGP Origin Validation), kas ļauj saņemt paziņojumus tikai no tīkla īpašniekiem. Jebkurš operators bez atļaujas var reklamēt apakštīklu ar fiktīvu informāciju par maršruta garumu un uzsākt tranzītu caur sevi daļai trafika no citām sistēmām, kurās netiek izmantota reklāmu filtrēšana.
Tajā pašā laikā izskatāmajā incidentā pārbaude, izmantojot RIPE RPKI repozitoriju, izrādījās . Nejaušības dēļ trīs stundas pirms BGP maršruta noplūdes Rostelecom, RIPE programmatūras atjaunināšanas procesa laikā, 4100 ROA ieraksti (RPKI maršruta izcelsmes autorizācija). Datu bāze tika atjaunota tikai 2. aprīlī, un visu šo laiku RIPE klientiem čeka nedarbojās (problēma neskāra citu reģistratūru RPKI repozitorijus). Šodien RIPE ir jaunas problēmas un RPKI repozitorijs 7 stundu laikā .
Uz reģistru balstītu filtrēšanu var izmantot arī kā risinājumu noplūžu bloķēšanai (Internet Routing Registry), kas definē autonomas sistēmas, caur kurām ir atļauta norādīto prefiksu maršrutēšana. Sadarbojoties ar maziem operatoriem, lai samazinātu cilvēka kļūdu ietekmi, varat ierobežot EBGP sesijām pieņemto prefiksu maksimālo skaitu (maksimālā prefiksa iestatījums).
Vairumā gadījumu incidenti ir nejaušu personāla kļūdu rezultāts, taču pēdējā laikā ir bijuši arī mērķtiecīgi uzbrukumi, kuru laikā uzbrucēji apdraud pakalpojumu sniedzēju infrastruktūru. и satiksme uz noteiktām vietnēm, organizējot MiTM uzbrukumu, lai aizstātu DNS atbildes.
Lai apgrūtinātu TLS sertifikātu iegūšanu šādu uzbrukumu laikā, Sertifikātu iestāde Let's Encrypt vairāku pozīciju domēna pārbaudei, izmantojot dažādus apakštīklus. Lai apietu šo pārbaudi, uzbrucējam vienlaikus būs jāpanāk maršruta novirzīšana vairākām autonomām pakalpojumu sniedzēju sistēmām ar dažādām augšupsaitēm, kas ir daudz grūtāk nekā viena maršruta novirzīšana.
Avots: opennet.ru