هڪ غلط BGP اعلان جي نتيجي ۾، 8800 کان وڌيڪ غير ملڪي نيٽ ورڪ اڳڀرائي Rostelecom نيٽ ورڪ جي ذريعي، جنهن جي نتيجي ۾ رستي جي مختصر مدت جي خاتمي، نيٽ ورڪ رابطي ۾ خلل ۽ دنيا جي ڪجهه خدمتن تائين رسائي سان مسئلا. مسئلو 200 کان وڌيڪ خودمختيار نظام وڏين انٽرنيٽ ڪمپنين جي ملڪيت آهن ۽ مواد پهچائڻ وارا نيٽ ورڪ، جن ۾ Akamai، Cloudflare، Digital Ocean، Amazon AWS، Hetzner، Level3، Facebook، Alibaba ۽ Linode شامل آهن.
غلط اعلان Rostelecom (AS12389) پاران 1 اپريل تي 22:28 (MSK) ڪيو ويو، پوءِ ان کي فراهم ڪندڙ Rascom (AS20764) پاران ورتو ويو ۽ ان سلسلي سان اڳتي وڌيو ويو Cogent (AS174) ۽ Level3 (AS3356) تائين. , جنهن جي فيلڊ تقريبن سڀني انٽرنيٽ فراهم ڪندڙن کي پهرين سطح تي ڍڪي ڇڏيو (). BGP فوري طور تي Rostelecom کي مسئلي بابت اطلاع ڏنو، تنهن ڪري اهو واقعو تقريبا 10 منٽن تائين جاري رهيو (جي مطابق اثرات تقريبا هڪ ڪلاڪ لاء مشاهدو ڪيا ويا).
اهو پهريون واقعو ناهي جنهن ۾ Rostelecom جي پاسي تي غلطي شامل آهي. 2017 ۾ Rostelecom ذريعي 5-7 منٽن اندر ويزا ۽ ماسٽر ڪارڊ سميت وڏين بئنڪن ۽ مالي خدمتن جا نيٽ ورڪ. ٻنهي واقعن ۾، مسئلي جو ذريعو ظاهر ٿئي ٿو ٽريفڪ مئنيجمينٽ سان لاڳاپيل ڪم، مثال طور، رستن جو لڪيج ٿي سگھي ٿو جڏهن اندروني نگراني کي منظم ڪرڻ، ترجيح ڏيڻ يا مخصوص خدمتن ۽ سي ڊي اينز لاءِ Rostelecom ذريعي گذرندڙ ٽريفڪ جي آئيني (نيٽ ورڪ جي لوڊ ۾ اضافو سبب گھر کان وڏي ڪم جي آخر ۾. مارچ گهريلو وسيلن جي حق ۾ غير ملڪي خدمتن جي ٽرئفڪ جي ترجيح کي گهٽائڻ جو مسئلو). مثال طور، ڪيترائي سال اڳ پاڪستان ۾ هڪ ڪوشش ڪئي وئي هئي null انٽرفيس تي يوٽيوب سب نيٽس BGP اعلانن ۾ انهن سبنيٽس جي ظاهر ٿيڻ ۽ پاڪستان ڏانهن يوٽيوب جي سموري ٽرئفڪ جي وهڪري جو سبب بڻيا.
اها دلچسپ ڳالهه آهي ته Rostelecom سان واقع ٿيڻ کان هڪ ڏينهن اڳ، شهر مان ننڍڙو مهيا ڪندڙ "نئين حقيقت" (AS50048). Transtelecom جي ذريعي هو 2658 پريفڪسس متاثر ڪن ٿا اورنج، اڪامي، Rostelecom ۽ 300 کان وڌيڪ ڪمپنين جا نيٽ ورڪ. رستي جي ليڪ جي نتيجي ۾ ڪيترن ئي منٽن تائين ٽريفڪ ريڊائريڪٽس جي ڪيترن ئي لهرن ۾. ان جي چوٽي تي، مسئلو 13.5 ملين IP پتي تائين متاثر ٿيو. Transtelecom جي هر ڪلائنٽ لاءِ رستي جي پابندين جي استعمال جي مهرباني هڪ قابل ذڪر عالمي رڪاوٽ کان بچي وئي.
اهڙا واقعا انٽرنيٽ تي ٿين ٿا ۽ جاري رهندو جيستائين انهن کي هر هنڌ لاڳو نه ڪيو وڃي BGP اعلانات RPKI (BGP Origin Validation) جي بنياد تي، صرف نيٽ ورڪ مالڪن کان اعلانن جي استقبال جي اجازت ڏئي ٿو. بغير اجازت جي، ڪو به آپريٽر رستي جي ڊگھائي بابت جعلي معلومات سان سب نيٽ جو اشتهار ڏئي سگهي ٿو ۽ ٽرانزٽ جي شروعات ڪري سگھي ٿو ٽريفڪ جو حصو ٻين سسٽم مان جيڪي اشتهار جي فلٽرنگ کي لاڳو نٿا ڪن.
ساڳئي وقت، غور هيٺ واقعن ۾، RIPE RPKI مخزن کي استعمال ڪندي هڪ چيڪ نڪتو. . اتفاق سان، Rostelecom ۾ BGP رستي جي لڪير کان ٽي ڪلاڪ اڳ، RIPE سافٽ ويئر کي اپڊيٽ ڪرڻ جي عمل دوران، 4100 ROA رڪارڊ (RPKI روٽ اصل اختيار). ڊيٽابيس صرف 2 اپريل تي بحال ڪيو ويو، ۽ اهو سڄو وقت چيڪ RIPE ڪلائنٽ لاء غير فعال هو (مسئلو ٻين رجسٽرار جي RPKI مخزن کي متاثر نه ڪيو). اڄ RIPE وٽ نوان مسئلا آهن ۽ RPKI مخزن 7 ڪلاڪن اندر .
رجسٽري جي بنياد تي فلٽرنگ پڻ استعمال ڪري سگھجن ٿيون ليڪ بلاڪ ڪرڻ لاءِ حل (انٽرنيٽ روٽنگ رجسٽري)، جيڪو خود مختيار نظام جي وضاحت ڪري ٿو، جنهن جي ذريعي مخصوص اڳياڙين جي روٽنگ جي اجازت آهي. جڏهن ننڍڙن آپريٽرن سان لهه وچڙ ۾، انساني غلطين جي اثر کي گهٽائڻ لاءِ، توهان حد ڪري سگهو ٿا وڌ ۾ وڌ قبول ٿيل اڳڪٿين جو تعداد EBGP سيشن لاءِ (وڌ کان وڌ-پريفڪس سيٽنگ).
اڪثر ڪيسن ۾، واقعا حادثاتي اهلڪارن جي غلطين جو نتيجو آهن، پر تازو اتي پڻ ٽارگيٽ حملن جا واقعا آهن، جن جي دوران حملي آور فراهم ڪندڙن جي بنيادي ڍانچي کي سمجهي رهيا آهن. и ٽرئفڪ لاء DNS جوابن کي تبديل ڪرڻ لاءِ MiTM حملي کي منظم ڪرڻ ذريعي مخصوص سائيٽون.
اهڙن حملن دوران TLS سرٽيفڪيٽ حاصل ڪرڻ کي وڌيڪ ڏکيو بڻائڻ لاءِ، اچو ته انڪريپٽ سرٽيفڪيٽ اٿارٽي مختلف ذيلي نيٽ استعمال ڪندي ملٽي پوزيشن ڊومين چيڪ ڪرڻ لاءِ. ھن چيڪ کي بائي پاس ڪرڻ لاءِ، ھڪ حملي آور کي ھڪ ئي وقت مختلف اپ لنڪس سان مهيا ڪندڙن جي ڪيترن ئي خودمختيار نظامن لاءِ رستو ريڊائريڪشن حاصل ڪرڻ جي ضرورت پوندي، جيڪو ھڪڙي رستي کي ريڊائريڪٽ ڪرڻ کان وڌيڪ ڏکيو آھي.
جو ذريعو: opennet.ru