W wyniku błędnego ogłoszenia BGP ponad 8800 prefiksów sieci zagranicznych za pośrednictwem sieci Rostelecom, co doprowadziło do krótkotrwałego załamania routingu, zakłóceń w łączności sieciowej i problemów z dostępem do niektórych usług na całym świecie. Problem ponad 200 systemów autonomicznych należących do największych firm internetowych i sieci dostarczania treści, w tym Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba i Linode.
Błędne ogłoszenie zostało opublikowane przez Rostelecom (AS12389) 1 kwietnia o 22:28 (MSK), następnie zostało odebrane przez dostawcę Rascom (AS20764) i dalej w łańcuchu rozprzestrzeniło się na Cogent (AS174) i Level3 (AS3356). , którego zakres obejmował niemal wszystkich dostawców Internetu pierwszego stopnia (). BGP niezwłocznie powiadomiło Rostelecom o problemie, więc incydent trwał około 10 minut (wg. efekty obserwowano przez około godzinę).
To nie pierwszy przypadek błędu po stronie Rostelecomu. W 2017 r. w ciągu 5-7 minut za pośrednictwem Rostelecom sieci największych banków i usług finansowych, w tym Visa i MasterCard. W obu przypadkach wydaje się, że źródłem problemu jest prace związane z zarządzaniem ruchem, na przykład wyciek tras może wystąpić podczas organizowania wewnętrznego monitorowania, ustalania priorytetów lub dublowania ruchu przechodzącego przez Rostelecom dla niektórych usług i CDN (ze względu na wzrost obciążenia sieci z powodu masowej pracy z domu pod koniec Marsz kwestia obniżenia priorytetu ruchu usług zagranicznych na rzecz zasobów krajowych). Na przykład kilka lat temu podjęto taką próbę w Pakistanie Podsieci YouTube na interfejsie zerowym doprowadziły do pojawienia się tych podsieci w ogłoszeniach BGP i przepływu całego ruchu YouTube do Pakistanu.
Co ciekawe, dzień przed incydentem z Rostelecom mały dostawca „Nowa rzeczywistość” (AS50048) z miasta. przez Transtelecom tak było 2658 prefiksów wpływających na Orange, Akamai, Rostelecom i sieci ponad 300 firm. Wyciek trasy spowodował kilka fal przekierowań ruchu trwających kilka minut. W szczytowym momencie problem dotyczył aż 13.5 miliona adresów IP. Dzięki zastosowaniu przez Transtelecom ograniczeń tras dla każdego klienta udało się uniknąć zauważalnych zakłóceń na całym świecie.
Podobne zdarzenia mają miejsce w Internecie i będą kontynuowane, dopóki nie zostaną wprowadzone wszędzie Zapowiedzi BGP oparte na RPKI (BGP Origin Validation), umożliwiające odbiór zapowiedzi wyłącznie od właścicieli sieci. Bez autoryzacji dowolny operator może reklamować podsieć fikcyjną informacją o długości trasy i inicjować przez siebie tranzyt części ruchu z innych systemów, które nie stosują filtrowania reklam.
Jednocześnie w rozpatrywanym incydencie sprawdzenie z wykorzystaniem repozytorium RIPE RPKI okazało się . Przez przypadek, na trzy godziny przed wyciekiem trasy BGP w Rostelecom, w trakcie aktualizacji oprogramowania RIPE, 4100 rekordów ROA (autoryzacja pochodzenia trasy RPKI). Baza danych została przywrócona dopiero 2 kwietnia i przez cały ten czas sprawdzanie nie działało dla klientów RIPE (problem nie dotyczył repozytoriów RPKI innych rejestratorów). Dziś RIPE ma nowe problemy i repozytorium RPKI w ciągu 7 godzin .
Filtrowanie oparte na rejestrach może być również stosowane jako rozwiązanie blokujące wycieki (Internet Routing Registry), który definiuje autonomiczne systemy, przez które dozwolone jest routing określonych prefiksów. Podczas interakcji z małymi operatorami, aby zmniejszyć wpływ błędów ludzkich, możesz ograniczyć maksymalną liczbę akceptowanych prefiksów dla sesji EBGP (ustawienie maksymalnego prefiksu).
W większości przypadków incydenty są wynikiem przypadkowych błędów personelu, ale ostatnio zdarzają się również ataki ukierunkowane, podczas których napastnicy naruszają infrastrukturę dostawców и ruch dla określonych witryn poprzez zorganizowanie ataku MiTM w celu zastąpienia odpowiedzi DNS.
Aby utrudnić uzyskanie certyfikatów TLS podczas takich ataków, urząd certyfikacji Let's Encrypt do wielopozycyjnego sprawdzania domen przy użyciu różnych podsieci. Aby ominąć tę kontrolę, osoba atakująca będzie musiała jednocześnie dokonać przekierowania trasy dla kilku autonomicznych systemów dostawców z różnymi łączami nadrzędnymi, co jest znacznie trudniejsze niż przekierowanie pojedynczej trasy.
Źródło: opennet.ru