Zaradi napačne objave BGP več kot 8800 tujih omrežnih predpon prek omrežja Rostelecom, kar je povzročilo kratkotrajni kolaps usmerjanja, motnje omrežne povezljivosti in težave z dostopom do nekaterih storitev po svetu. Problem več kot 200 avtonomnih sistemov v lasti večjih internetnih podjetij in omrežij za dostavo vsebin, vključno z Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba in Linode.
Napačno objavo je 12389. aprila ob 1:22 (MSK) objavil Rostelecom (AS28), nato jo je prevzel ponudnik Rascom (AS20764) in naprej po verigi se je razširila na Cogent (AS174) in Level3 (AS3356). , katerega področje je pokrivalo skoraj vse internetne ponudnike prve stopnje (). BGP je o težavi nemudoma obvestil Rostelecom, tako da je incident trajal približno 10 minut (glede na učinke so opazovali približno eno uro).
To ni prvi incident, ki vključuje napako na strani Rostelecoma. Leta 2017 v 5-7 minutah prek Rostelecoma omrežja največjih bank in finančnih storitev, vključno z Viso in MasterCard. V obeh primerih se zdi, da je vir težave delo, povezano z upravljanjem prometa, na primer lahko pride do uhajanja poti pri organizaciji notranjega spremljanja, določanja prednosti ali zrcaljenja prometa, ki poteka skozi Rostelecom za določene storitve in CDN (zaradi povečanja obremenitve omrežja zaradi množičnega dela od doma ob koncu marec vprašanje znižanja prioritete prometa tujih storitev v korist domačih virov). Na primer, pred nekaj leti je bil izveden poskus v Pakistanu Podomrežja YouTube na ničelnem vmesniku so povzročila pojav teh podomrežij v objavah BGP in pretok celotnega prometa YouTube v Pakistan.
Zanimivo je, da je dan pred incidentom z Rostelecomom, majhnim ponudnikom "New Reality" (AS50048) iz mesta. preko Transtelecoma je bilo 2658 predpon, ki vplivajo na Orange, Akamai, Rostelecom in omrežja več kot 300 podjetij. Puščanje poti je povzročilo več valov prometnih preusmeritev, ki so trajale nekaj minut. Na vrhuncu je težava prizadela do 13.5 milijona naslovov IP. Občutni globalni motnji smo se izognili zahvaljujoč Transtelecomovi uporabi omejitev poti za vsako stranko.
Podobni dogodki se dogajajo na internetu in se bodo nadaljevali, dokler se ne bodo izvajali povsod BGP obvestila, ki temeljijo na RPKI (BGP Origin Validation), kar omogoča sprejemanje obvestil samo od lastnikov omrežja. Brez pooblastila lahko vsak operater oglašuje podomrežje s fiktivnimi informacijami o dolžini poti in prek sebe sproži tranzit dela prometa iz drugih sistemov, ki ne uporabljajo filtriranja oglasov.
Hkrati se je v obravnavanem incidentu izkazalo, da je preverjanje z uporabo repozitorija RIPE RPKI . Po naključju, tri ure pred uhajanjem poti BGP v Rostelecomu, med postopkom posodabljanja programske opreme RIPE, 4100 ROA zapisov (RPKI Route Origin Authorization). Baza podatkov je bila obnovljena šele 2. aprila in ves ta čas preverjanje ni delovalo za stranke RIPE (težava ni vplivala na repozitorije RPKI drugih registrarjev). Danes ima RIPE nove težave in repozitorij RPKI v 7 urah .
Filtriranje na podlagi registra se lahko uporablja tudi kot rešitev za blokiranje uhajanja (Internet Routing Registry), ki definira avtonomne sisteme, prek katerih je dovoljeno usmerjanje določenih predpon. Pri interakciji z majhnimi operaterji lahko za zmanjšanje vpliva človeških napak omejite največje število sprejetih predpon za seje EBGP (nastavitev največje predpone).
V večini primerov so incidenti posledica naključnih kadrovskih napak, v zadnjem času pa se pojavljajo tudi ciljani napadi, med katerimi napadalci ogrozijo infrastrukturo ponudnikov. и prometa za določena spletna mesta z organizacijo napada MiTM za zamenjavo odzivov DNS.
Da bi med takšnimi napadi otežili pridobitev potrdil TLS, je overitelj potrdil Let’s Encrypt na večpozicijsko preverjanje domen z uporabo različnih podomrežij. Za obhod tega preverjanja bo moral napadalec hkrati doseči preusmeritev poti za več avtonomnih sistemov ponudnikov z različnimi povezavami navzgor, kar je veliko težje kot preusmeritev ene same poti.
Vir: opennet.ru