BGP алдаатай мэдэгдлийн үр дүнд 8800 гаруй гадаад сүлжээний угтвар Ростелекомын сүлжээгээр дамжсан нь богино хугацаанд чиглүүлэлтийн уналт, сүлжээний холболт тасалдаж, дэлхийн зарим үйлчилгээнд нэвтрэхэд асуудал үүсгэсэн. Асуудал Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level200, Facebook, Alibaba, Linode зэрэг томоохон интернет компаниуд болон контент хүргэх сүлжээнүүдийн эзэмшдэг 3 гаруй бие даасан систем.
Алдаатай мэдэгдлийг Ростелеком (AS12389) 1-р сарын 22-ний 28:20764 цагт (MSK) хийсэн бөгөөд дараа нь Rascom үйлчилгээ үзүүлэгч (AS174) хүлээн авч, гинжин хэлхээний дагуу Кожент (AS3) болон Level3356 (ASXNUMX) руу тархсан. Эхний түвшний бараг бүх интернет үйлчилгээ үзүүлэгчдийг хамарсан талбар (). BGP асуудлын талаар Ростелекомд нэн даруй мэдэгдсэн тул хэрэг явдал 10 минут орчим үргэлжилсэн. үр нөлөө нь нэг цаг орчим ажиглагдсан).
Энэ нь Ростелекомын алдаатай холбоотой анхны тохиолдол биш юм. 2017 онд Ростелекомоор 5-7 минутын дотор Visa, MasterCard зэрэг хамгийн том банк, санхүүгийн үйлчилгээний сүлжээ. Хоёр тохиолдлын хувьд асуудлын эх үүсвэр нь харагдаж байна замын хөдөлгөөний менежменттэй холбоотой ажил, жишээлбэл, зарим үйлчилгээ, CDN-ийн хувьд Ростелекомоор дамжин өнгөрөх урсгалыг дотоод хяналт, эрэмбэлэх, толин тусгал хийх үед маршрутын алдагдал гарч болзошгүй (хэрэв жилийн төгсгөлд гэрээсээ бөөнөөр ажилласны улмаас сүлжээний ачаалал нэмэгдсэнтэй холбоотой). Гуравдугаар сар Гадаад үйлчилгээний урсгалын тэргүүлэх чиглэлийг дотоодын нөөц бололцоогоор бууруулах асуудал). Жишээлбэл, хэдэн жилийн өмнө Пакистанд оролдлого хийсэн Нэмэлт интерфэйс дээрх YouTube дэд сүлжээнүүд нь BGP зарлалуудад эдгээр дэд сүлжээнүүд гарч ирж, YouTube-ийн бүх урсгалыг Пакистан руу чиглүүлэхэд хүргэсэн.
Ростелекомтой холбоотой хэрэг гарахын өмнөх өдөр хотын жижиг үйлчилгээ үзүүлэгч "Шинэ бодит байдал" (AS50048) байсан нь сонирхолтой юм. Транстелекомоор дамжуулж байсан Оранж, Акамай, Ростелеком болон 2658 гаруй компанийн сүлжээнд нөлөөлж буй 300 угтвар. Маршрут алдагдсанаас болж хэдэн минут үргэлжилсэн замын хөдөлгөөний чиглүүлэлтийн хэд хэдэн давалгаа үүссэн. Оргил үедээ асуудал 13.5 сая IP хаягт нөлөөлсөн. Транстелеком нь үйлчлүүлэгч бүрийн маршрутын хязгаарлалтыг ашигласны ачаар дэлхий даяар мэдэгдэхүйц тасалдлаас зайлсхийсэн.
Үүнтэй төстэй үйл явдлууд Интернет дээр гардаг хаа сайгүй хэрэгжих хүртэл үргэлжлэх болно RPKI (BGP Origin Validation) дээр суурилсан BGP зарлалууд нь зөвхөн сүлжээний эзэмшигчдээс мэдэгдэл хүлээн авах боломжийг олгодог. Зөвшөөрөлгүйгээр дурын оператор маршрутын уртын талаарх зохиомол мэдээлэл бүхий дэд сүлжээг сурталчилж, зар сурталчилгааны шүүлтүүрийг ашигладаггүй бусад системээс траффикийн нэг хэсгийг өөрөө дамжуулан дамжуулж болно.
Үүний зэрэгцээ, хэлэлцэж буй үйл явдлын үеэр RIPE RPKI репозиторыг ашиглан шалгалт хийсэн байна. . RIPE програм хангамжийг шинэчлэх явцад Ростелеком дахь BGP маршрут алдагдсанаас гурван цагийн өмнө тохиолдлоор, 4100 ROA бүртгэл (RPKI Route Origin Authorization). Мэдээллийн санг зөвхөн 2-р сарын 7-нд сэргээсэн бөгөөд энэ бүх хугацаанд RIPE үйлчлүүлэгчдэд шалгалт ажиллах боломжгүй байсан (асуудал нь бусад бүртгэгчдийн RPKI хадгалах газарт нөлөөлөөгүй). Өнөөдөр RIPE нь XNUMX цагийн дотор шинэ асуудлууд болон RPKI репозитортой болсон .
Бүртгэлд суурилсан шүүлтүүрийг алдагдлыг хаах шийдэл болгон ашиглаж болно (Интернэт чиглүүлэлтийн бүртгэл) нь заасан угтваруудыг чиглүүлэхийг зөвшөөрдөг бие даасан системийг тодорхойлдог. Жижиг операторуудтай харилцахдаа хүний алдааны нөлөөллийг багасгахын тулд та EBGP сессийн хүлээн зөвшөөрөгдсөн угтваруудын дээд хэмжээг хязгаарлаж болно (хамгийн их угтвар тохиргоо).
Ихэнх тохиолдолд осол нь боловсон хүчний санамсаргүй алдаанаас үүдэлтэй байдаг ч сүүлийн үед зорилтот халдлага гарч, энэ үеэр халдагчид үйлчилгээ үзүүлэгчдийн дэд бүтцийг эвддэг. и замын хөдөлгөөн DNS хариултуудыг солихын тулд MiTM халдлага зохион байгуулах замаар тодорхой сайтууд.
Ийм халдлагын үед TLS гэрчилгээ авахад илүү төвөгтэй болгохын тулд гэрчилгээг шифрлэе өөр өөр дэд сүлжээ ашиглан олон байрлалтай домэйн шалгах. Энэхүү шалгалтыг давахын тулд халдагчид өөр өөр холболттой үйлчилгээ үзүүлэгчийн хэд хэдэн бие даасан системд чиглүүлэлтийн чиглэлийг нэгэн зэрэг хийх шаардлагатай бөгөөд энэ нь нэг чиглүүлэлтийн чиглэлийг дахин чиглүүлэхээс хамаагүй хэцүү юм.
Эх сурвалж: opennet.ru