වැරදි BGP නිවේදනයක ප්රතිඵලයක් ලෙස, විදේශීය ජාල උපසර්ග 8800කට වඩා Rostelecom ජාලය හරහා, මාර්ගගත කිරීමේ කෙටි කාලීන බිඳවැටීම, ජාල සම්බන්ධතාව කඩාකප්පල් කිරීම සහ ලොව පුරා සමහර සේවාවන් වෙත ප්රවේශ වීමේ ගැටළු ඇති විය. ගැටලුව Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level200, Facebook, Alibaba සහ Linode ඇතුළුව ප්රධාන අන්තර්ජාල සමාගම් සහ අන්තර්ගත බෙදාහැරීමේ ජාලයන් සතු ස්වයංක්රීය පද්ධති 3කට වඩා.
වැරදි නිවේදනය Rostelecom (AS12389) විසින් අප්රේල් 1 වන දින 22:28 (MSK) ට සිදු කරන ලදී, පසුව එය සපයන්නා වන Rascom (AS20764) විසින් ලබා ගන්නා ලද අතර එය දම්වැල දිගේ එය Cogent (AS174) සහ Level3 (AS3356) දක්වා පැතිර ගියේය. , සියලුම අන්තර්ජාල සපයන්නන් පාහේ ආවරණය කරන ලද ක්ෂේත්රය පළමු මට්ටම (). ගැටලුව පිළිබඳව BGP වහාම Rostelecom වෙත දැනුම් දුන් අතර, සිද්ධිය විනාඩි 10 ක් පමණ පැවතුනි (අනුව බලපෑම පැයක් පමණ නිරීක්ෂණය කරන ලදී).
Rostelecom ගේ පැත්තෙන් දෝෂයක් සම්බන්ධ පළමු සිදුවීම මෙය නොවේ. 2017 දී Rostelecom හරහා විනාඩි 5-7 ක් ඇතුළත වීසා සහ මාස්ටර් කාඩ් ඇතුළු විශාලතම බැංකු සහ මූල්ය සේවා ජාල. සිදුවීම් දෙකේදීම, ගැටලුවේ මූලාශ්රය පෙනෙන්නට තිබේ රථවාහන කළමනාකරණයට අදාළ වැඩ, උදාහරණයක් ලෙස, ඇතැම් සේවා සහ CDN සඳහා Rostelecom හරහා ගමන් කරන ගමනාගමනය අභ්යන්තර අධීක්ෂණය, ප්රමුඛතාවය හෝ පිළිබිඹු කිරීම සංවිධානය කිරීමේදී මාර්ග කාන්දු වීම සිදුවිය හැකිය (නිවසේ සිට විශාල වශයෙන් වැඩ කිරීම හේතුවෙන් ජාල භාරය වැඩි වීම හේතුවෙන්. මාර්තු දේශීය සම්පත් සඳහා විදේශ සේවා ගමනාගමනය සඳහා ප්රමුඛතාවය අඩු කිරීමේ ගැටළුව). නිදසුනක් වශයෙන්, මීට වසර කිහිපයකට පෙර පාකිස්තානයේ උත්සාහයක් ගන්නා ලදී null අතුරුමුහුණත මත YouTube උපජාල BGP නිවේදන තුළ මෙම උපජාල පෙනුමට සහ පාකිස්තානයට සියලුම YouTube ගමනාගමනය ගලා යාමට හේතු විය.
Rostelecom සමඟ සිදුවීමට පෙර දින කුඩා සැපයුම්කරු "New Reality" (AS50048) නගරයෙන් පැමිණීම සිත්ගන්නා කරුණකි. Transtelecom හරහා එය විය Orange, Akamai, Rostelecom සහ සමාගම් 2658කට වැඩි ජාලයකට බලපාන උපසර්ග 300ක්. මාර්ග කාන්දුව හේතුවෙන් මිනිත්තු කිහිපයක් පවතින රථවාහන යළි-යොමුවීම් තරංග කිහිපයක් ඇති විය. එහි උච්චතම අවස්ථාවේදී, ගැටලුව IP ලිපින මිලියන 13.5 දක්වා බලපෑවේය. Transtelecom විසින් එක් එක් සේවාදායකයා සඳහා මාර්ග සීමාවන් භාවිතා කිරීම හේතුවෙන් සැලකිය යුතු ගෝලීය බාධාවක් වළක්වා ගත හැකි විය.
එවැනි සිදුවීම් අන්තර්ජාලයේ සිදු වේ ඒවා සෑම තැනකම ක්රියාත්මක වන තුරු දිගටම පවතිනු ඇත RPKI (BGP සම්භවය වලංගුකරණය) මත පදනම් වූ BGP නිවේදන, ජාල හිමිකරුවන්ගෙන් පමණක් නිවේදන පිළිගැනීමට ඉඩ සලසයි. අවසරයකින් තොරව, ඕනෑම ක්රියාකරුවෙකුට මාර්ග දිග පිළිබඳ ව්යාජ තොරතුරු සහිත උපජාලයක් ප්රචාරණය කළ හැකි අතර වෙළඳ දැන්වීම් පෙරීම අදාළ නොවන වෙනත් පද්ධතිවලින් ගමනාගමනයෙන් කොටසක් හරහාම සංක්රමණය ආරම්භ කළ හැකිය.
ඒ සමගම, සලකා බලනු ලබන සිද්ධියේදී, RIPE RPKI ගබඩාව භාවිතා කරන ලද චෙක්පතක් බවට පත් විය. . අහම්බෙන්, Rostelecom හි BGP මාර්ගය කාන්දු වීමට පැය තුනකට පෙර, RIPE මෘදුකාංගය යාවත්කාලීන කිරීමේ ක්රියාවලියේදී, ROA වාර්තා 4100 (RPKI මාර්ග සම්භවය අවසරය). දත්ත සමුදාය ප්රතිස්ථාපනය කරන ලද්දේ අප්රේල් 2 වන දින පමණක් වන අතර, මේ කාලය පුරාම චෙක්පත RIPE සේවාදායකයින් සඳහා ක්රියා විරහිත විය (ගැටළුව අනෙකුත් රෙජිස්ට්රාර්වරුන්ගේ RPKI ගබඩාවලට බල නොපායි). අද RIPE හට නව ගැටළු සහ RPKI ගබඩාව පැය 7ක් ඇතුලත ඇත .
කාන්දුවීම් අවහිර කිරීමට විසඳුමක් ලෙස රෙජිස්ට්රි පදනම් පෙරහන ද භාවිතා කළ හැක (අන්තර්ජාල රවුටින් රෙජිස්ට්රි), එය නිශ්චිත උපසර්ග මාර්ගගත කිරීමට ඉඩ දෙන ස්වයංක්රීය පද්ධති නිර්වචනය කරයි. කුඩා ක්රියාකරුවන් සමඟ අන්තර් ක්රියා කරන විට, මානව දෝෂ වල බලපෑම අවම කිරීම සඳහා, ඔබට EBGP සැසි (උපරිම උපසර්ග සැකසුම) සඳහා උපරිම පිළිගත් උපසර්ග ගණන සීමා කළ හැක.
බොහෝ අවස්ථාවන්හීදී, සිදුවීම් අහඹු පුද්ගල දෝෂයන්ගේ ප්රතිඵලයක් වන නමුත් මෑතකදී ඉලක්කගත ප්රහාර ද සිදු වී ඇති අතර, එම කාලය තුළ ප්රහාරකයන් සැපයුම්කරුවන්ගේ යටිතල පහසුකම් සම්මුතියට පත් කරයි. и සඳහා ගමනාගමනය DNS ප්රතිචාර වෙනුවට MiTM ප්රහාරයක් සංවිධානය කිරීම හරහා විශේෂිත අඩවි.
එවැනි ප්රහාර වලදී TLS සහතික ලබා ගැනීම වඩාත් අපහසු කිරීමට, අපි සහතික කිරීමේ අධිකාරිය සංකේතනය කරමු. විවිධ උපජාල භාවිතා කරමින් බහු-ස්ථාන වසම් පරීක්ෂා කිරීමට. මෙම චෙක්පත මග හැරීමට, ප්රහාරකයෙකුට විවිධ උඩුගත කිරීම් සහිත සැපයුම්කරුවන්ගේ ස්වයංක්රීය පද්ධති කිහිපයක් සඳහා එකවර මාර්ග යළි-යොමුවීම් ලබා ගැනීමට අවශ්ය වනු ඇත, එය තනි මාර්ගයක් යළි හරවා යැවීමට වඩා බෙහෙවින් දුෂ්කර ය.
මූලාශ්රය: opennet.ru