د BGP د غلط اعلان په پایله کې، د 8800 څخه ډیر د بهرنۍ شبکې مخکینۍ د Rostelecom شبکې له لارې، کوم چې د لارې د لنډ مهاله سقوط، د شبکې اتصال ګډوډۍ او په ټوله نړۍ کې ځینو خدماتو ته د لاسرسي ستونزې لامل شوې. ستونزه له 200 څخه ډیر خودمختاره سیسټمونه چې د لوی انټرنیټ شرکتونو ملکیت او د مینځپانګې تحویلي شبکې لري ، پشمول د اکامي ، کلاوډ فلیر ، ډیجیټل اوشین ، ایمیزون AWS ، هیټزنر ، لیول 3 ، فیسبوک ، علی بابا او لینوډ.
غلط اعلان د Rostelecom (AS12389) لخوا د اپریل په 1 په 22:28 (MSK) کې شوی و، بیا دا د چمتو کونکي Rascom (AS20764) لخوا پورته شو او د سلسلې په اوږدو کې یې کوګینټ (AS174) او Level3 (AS3356) ته خپور شو. , د کوم ساحه چې نږدې ټول انټرنیټ چمتو کونکي پوښلي لومړی کچه (). BGP سمدلاسه د ستونزې په اړه Rostelecom ته خبر ورکړ ، نو پیښه شاوخوا 10 دقیقې دوام وکړ (په وینا اغیزې د یو ساعت لپاره مشاهده شوې).
دا لومړۍ پیښه نه ده چې د Rostelecom اړخ کې خطا پکې شامله ده. په 2017 کې د Rostelecom له لارې د 5-7 دقیقو دننه د لویو بانکونو او مالي خدماتو شبکې، په شمول د ویزې او ماسټر کارډ. په دواړو پیښو کې د ستونزې سرچینه ښکاري د ټرافیک مدیریت پورې اړوند کار، د بیلګې په توګه، د لارو لیکیدل هغه وخت رامینځته کیدی شي کله چې د ځینې خدماتو او CDNs لپاره د Rostelecom له لارې تیریږي د داخلي نظارت تنظیم کول ، لومړیتوب ورکول یا منعکس کول (د کور څخه د ډله ایز کار له امله د شبکې بار ډیروالي له امله. مارچ د کورنیو سرچینو په ګټه د بهرنیو خدماتو ټرافیک ته د لومړیتوب د کمولو مسله). د بېلګې په توګه څو کاله وړاندې په پاکستان کې یوه هڅه شوې وه د یوټیوب سب نیټس په نال انٹرفیس کې د BGP په اعلانونو کې د دې فرعي نیټونو څرګندیدو او پاکستان ته د یوټیوب ټول ترافیک جریان لامل شو.
دا په زړه پورې ده چې د Rostelecom سره د پیښې څخه یوه ورځ دمخه، د ښار څخه کوچني چمتو کونکي "نوی حقیقت" (AS50048). د Transtelecom له لارې دا وه 2658 مختګونه چې اورنج، اکامي، روسټلیکام او د 300 څخه زیاتو شرکتونو شبکې اغیزه کوي. د لارې لیک د څو دقیقو لپاره د ټرافیک ریډیریټ د څو څپو لامل شو. په خپل اوج کې، ستونزې تر 13.5 ملیون IP پتې اغیزمنې کړې. د پام وړ نړیوال ګډوډي د هر پیرودونکي لپاره د ټرانسټیلیکام د لارې محدودیتونو کارولو څخه مننه مخنیوی شوی.
ورته پیښې په انټرنیټ کې پیښیږي او تر هغه وخته به دوام ومومي چې دوی په هر ځای کې پلي شوي وي د BGP اعلانونه د RPKI (BGP اصلي تایید) پراساس، یوازې د شبکې مالکینو څخه د اعلانونو استقبال ته اجازه ورکوي. د اجازې پرته، هر آپریټر کولی شي د لارې اوږدوالی په اړه جعلي معلوماتو سره فرعي نیټ اعلان کړي او د نورو سیسټمونو څخه د ټرافیک د یوې برخې له لارې لیږد پیل کړي چې د اعلاناتو فلټر کول نه پلي کوي.
په ورته وخت کې، په پام کې نیول شوې پیښه کې، د RIPE RPKI ذخیره کارولو چک ثابت شو. . په تصادفي ډول، په Rostelecom کې د BGP لارې لیک څخه درې ساعته مخکې، د RIPE سافټویر تازه کولو پروسې په جریان کې، 4100 ROA ریکارډونه (RPKI د لارې اصلي واک ورکول). ډیټابیس یوازې د اپریل په 2 بحال شوی و، او دا ټول وخت چک د RIPE مراجعینو لپاره غیر فعال و (ستونزې د نورو راجستر کونکو RPKI ذخیره اغیزه نه وه کړې). نن ورځ RIPE په 7 ساعتونو کې نوې ستونزې او د RPKI ذخیره لري .
د راجسټری پراساس فلټر کول د لیکونو بندولو لپاره د حل په توګه هم کارول کیدی شي (د انټرنیټ روټینګ راجسټری) ، کوم چې خپلواک سیسټمونه تعریفوي چې له لارې یې د مشخصو مخکینیو روټینګ اجازه ورکول کیږي. کله چې د کوچنیو آپریټرانو سره اړیکه ونیسئ، د انساني غلطیو اغیزو کمولو لپاره، تاسو کولی شئ د EBGP غونډو لپاره د منل شویو مخکینیو اعظمي شمیر محدود کړئ (د اعظمي مخکینۍ ترتیب).
په ډیری مواردو کې، پیښې د پرسونل د تصادفي غلطیتونو پایله وي، مګر په دې وروستیو کې هدفي بریدونه هم شوي، چې په ترڅ کې یې برید کونکي د چمتو کونکو زیربنا سره موافقت کوي. и لپاره ترافیک د DNS ځوابونو ځای په ځای کولو لپاره د MiTM برید تنظیم کولو له لارې ځانګړي سایټونه.
د دې لپاره چې د دې ډول بریدونو پرمهال د TLS سندونو ترلاسه کول خورا ستونزمن کړي ، راځئ چې د کوډ کولو سند واک د مختلف فرعي نیټونو په کارولو سره د څو موقعیت ډومین چیک کولو لپاره. د دې چک څخه د تیریدو لپاره، یو برید کونکی به اړتیا ولري چې په ورته وخت کې د مختلف اپلنکونو سره د چمتو کونکو ډیری خودمختاره سیسټمونو لپاره د لارې بیا راستنولو ته اړتیا ولري، کوم چې د یوې لارې له الرې لیږلو څخه خورا ستونزمن دی.
سرچینه: opennet.ru