Als gevolg van een foutieve BGP-aankondiging zijn er meer dan 8800 buitenlandse netwerkvoorvoegsels verschenen via het Rostelecom-netwerk, wat leidde tot een kortetermijninstorting van de routering, verstoring van de netwerkconnectiviteit en problemen met de toegang tot sommige diensten over de hele wereld. Probleem meer dan 200 autonome systemen die eigendom zijn van grote internetbedrijven en netwerken voor het leveren van inhoud, waaronder Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba en Linode.
De foutieve aankondiging werd op 12389 april om 1:22 (MSK) gedaan door Rostelecom (AS28), vervolgens opgepikt door de Rascom-provider (AS20764) en verspreidde zich verder in de keten naar Cogent (AS174) en Level3 (AS3356), de waarvan het gebied bijna alle internetproviders op het eerste niveau besloeg (). BGP bracht Rostelecom onmiddellijk op de hoogte van het probleem, zodat het incident ongeveer 10 minuten duurde (volgens de effecten werden gedurende ongeveer een uur waargenomen).
Dit is niet het eerste incident met een fout aan de kant van Rostelecom. In 2017 binnen 5-7 minuten via Rostelecom netwerken van de grootste banken en financiële diensten, waaronder Visa en MasterCard. Bij beide incidenten lijkt de oorzaak van het probleem te liggen werk gerelateerd aan verkeersbeheer, er kan bijvoorbeeld lekkage van routes optreden bij het organiseren van interne monitoring, prioritering of spiegeling van verkeer dat via Rostelecom gaat voor bepaalde diensten en CDN's (vanwege de toename van de netwerkbelasting als gevolg van massaal thuiswerken aan het einde van de maand). Maart de kwestie van het verlagen van de prioriteit voor het verkeer van buitenlandse diensten ten gunste van binnenlandse hulpbronnen). Zo werd enkele jaren geleden in Pakistan een poging ondernomen YouTube-subnetten op de nulinterface leidden tot de verschijning van deze subnetten in BGP-aankondigingen en de stroom van al het YouTube-verkeer naar Pakistan.
Interessant is dat de dag vóór het incident met Rostelecom, de kleine aanbieder “New Reality” (AS50048) uit de stad. via Transtelecom wel 2658 voorvoegsels die van invloed zijn op Orange, Akamai, Rostelecom en de netwerken van meer dan 300 bedrijven. Het routelek resulteerde in verschillende golven van verkeersomleidingen die enkele minuten duurden. Op het hoogtepunt trof het probleem maar liefst 13.5 miljoen IP-adressen. Een merkbare mondiale verstoring werd vermeden dankzij het gebruik van routebeperkingen door Transtelecom voor elke klant.
Soortgelijke incidenten doen zich voor op internet en zullen doorgaan totdat ze overal worden geïmplementeerd BGP-aankondigingen op basis van RPKI (BGP Origin Validation), waardoor alleen aankondigingen van netwerkeigenaren kunnen worden ontvangen. Zonder toestemming kan elke operator een subnet adverteren met fictieve informatie over de routelengte en door zichzelf een deel van het verkeer initiëren van andere systemen die geen advertentiefiltering toepassen.
Tegelijkertijd bleek bij het onderhavige incident een controle met behulp van de RIPE RPKI-repository zinvol . Toevallig, drie uur vóór het lek van de BGP-route in Rostelecom, tijdens het updateproces van de RIPE-software, 4100 ROA-records (RPKI Route Origin Authorization). De database werd pas op 2 april hersteld en al die tijd was de controle onbruikbaar voor RIPE-clients (het probleem had geen invloed op de RPKI-repository's van andere registrars). Vandaag heeft RIPE nieuwe problemen en een RPKI-repository binnen 7 uur .
Registergebaseerde filtering kan ook worden gebruikt als oplossing om lekken te blokkeren (Internet Routing Registry), dat autonome systemen definieert waardoor routering van gespecificeerde voorvoegsels is toegestaan. Als u met kleine operators communiceert, kunt u, om de impact van menselijke fouten te verminderen, het maximale aantal geaccepteerde prefixen voor EBGP-sessies beperken (de instelling voor het maximale prefix).
In de meeste gevallen zijn incidenten het gevolg van accidentele personeelsfouten, maar de laatste tijd zijn er ook gerichte aanvallen waarbij aanvallers de infrastructuur van providers in gevaar brengen. и verkeer voor specifieke sites door het organiseren van een MiTM-aanval om DNS-reacties te vervangen.
Om het moeilijker te maken om TLS-certificaten te verkrijgen tijdens dergelijke aanvallen, heeft de certificeringsinstantie Let's Encrypt naar domeincontrole op meerdere posities met behulp van verschillende subnetten. Om deze controle te omzeilen, zal een aanvaller tegelijkertijd route-omleiding moeten realiseren voor meerdere autonome systemen van providers met verschillende uplinks, wat veel moeilijker is dan het omleiden van één enkele route.
Bron: opennet.ru