Hello, magacaygu waa Alexander Azimov. Yandex, waxaan horumariyaa nidaamyo kala duwan oo la socodka, iyo sidoo kale qaab dhismeedka shabakada gaadiidka. Laakiin maanta waxaan ka hadli doonaa borotokoolka BGP.
Toddobaad ka hor, Yandex wuxuu awood u siiyay ROV (Ansaxinta Asalka Waddada) ee is-dhexgalka dhammaan shuraakada asaagga ah, iyo sidoo kale dhibcaha sarrifka taraafigga. Hoos ka akhriso sababta tan loo sameeyay iyo sida ay u saameyn doonto isdhexgalka shirkadaha isgaarsiinta.
BGP iyo maxaa ka qaldan
Waxay u badan tahay inaad ogtahay in BGP loo qaabeeyay sidii hab-maamuuska isku xidhka interdomain. Si kastaba ha noqotee, inta lagu gudajiro, tirada kiisaska isticmaalka ayaa u suurtagashay inay koraan: maanta, BGP, mahadsanid kordhin badan, waxay u rogtay bas fariin ah, oo daboolaya hawlaha VPN ee hadda casriga ah ee SD-WAN, oo xitaa helay codsi sida gaadiid loogu talagalay kontaroolaha SDN u eg, oo u rogaya fogaanta vector BGP shay la mid ah isku xidhka fadhiistay borotokoolka.
Sawir 1.
Waa maxay sababta ay BGP u heshay (oo ay u sii waddo helista) isticmaalka badan? Waxaa jira laba sababood oo waaweyn:
- BGP waa borotokoolka kaliya ee ka shaqeeya nidaamyada ismaamulka (AS);
- BGP waxay taageertaa sifada qaabka TLV (nooca dhererka-qiimaha). Haa, hab-maamuusku maahan kaligiis tan, laakiin maadaama aysan jirin wax lagu beddelayo isgoysyada u dhexeeya hawlwadeennada isgaadhsiinta, had iyo jeer waxay soo baxdaa inay faa'iido badan tahay in lagu dhejiyo shay kale oo shaqeynaya halkii ay ka taageeri lahayd borotokool dheeraad ah oo marin ah.
Maxaa isaga ka qaldan? Marka la soo koobo, borotokoolku ma laha habab ku dhisan oo lagu hubinayo saxnaanta macluumaadka la helay. Taasi waa, BGP waa borotokoolka kalsoonida mudnaanta leh: haddii aad rabto inaad u sheegto adduunka inaad hadda leedahay shabakadda Rostelecom, MTS ama Yandex, fadlan!
Shaandheeyaha ku salaysan IRRDB - kan ugu fiican ee ugu xun
Su'aashu waxay soo baxaysaa: muxuu Internetku weli ugu shaqeeyaa xaaladdan oo kale? Haa, inta badan way shaqeysaa, laakiin isla mar ahaantaana waxay si joogta ah u qaraxdaa, taasoo ka dhigaysa dhammaan qaybaha qaranka mid aan la heli karin. In kasta oo dhaqdhaqaaqa Hackers-ka ee BGP uu sidoo kale kor u kacayo, inta badan cilladaha aan caadiga ahayn ayaa weli ay sababaan dhiqlaha. Tusaalaha sanadkan waa Belarus, taas oo ka dhigtay qayb muhiim ah oo internetka ah oo aan la heli karin isticmaalayaasha MegaFon muddo nus saac ah. Tusaale kale - jabiyay mid ka mid ah shabakadaha CDN ee ugu waaweyn aduunka.
Bariis 2. Cloudflare ka-hortagga taraafikada
Laakiin weli, waa maxay sababta cilladaha noocaas ahi ay u dhacaan hal mar lixdii biloodba mar, oo aanay maalin kasta dhicin? Sababtoo ah sidayaal adeegsada xogta macluumaadka dibadeed si ay u xaqiijiyaan waxa ay ka helaan deriska BGP. Waxaa jira xog ururin badan oo noocaas ah, qaarkood waxaa maamula diiwaan-geliyayaasha (RIPE, APNIC, ARIN, AFRINIC), qaar waa ciyaartoy madax-bannaan (kuwa ugu caansan waa RADB), sidoo kale waxaa jira diiwaangelin dhan oo ay leeyihiin shirkado waaweyn (Heerka 3). , NTT, iwm.). Waxa mahad iska leh kaydadkan xogta ku saabsan in isku xidhka domainka uu ilaaliyo xasiloonida xad dhaafka ah ee hawlgalkeeda.
Si kastaba ha ahaatee, waxaa jira nuances. Macluumaadka dariiqa waxaa lagu hubiyaa iyadoo lagu salaynayo ROUTE-OBJECTS iyo AS-SET walxaha. Oo haddii tan ugu horreysa ay ka dhigan tahay oggolaanshaha qayb ka mid ah IRRDB, markaa fasalka labaad ma jirto oggolaansho fasal ahaan. Taasi waa, qof kastaa wuxuu ku dari karaa qof kasta setskiisa oo uu markaas dhaafo filtarrada bixiyayaasha korka. Waxaa intaa dheer, mid ka mid ah magacaabista AS-SET ee u dhexeeya saldhigyada IRR ee kala duwan lama dammaanad qaadayo, taas oo keeni karta saameyn la yaab leh oo ay la socoto luminta isku xirnaanta hawlwadeenka isgaarsiinta, kaas oo, dhinaciisa, waxba iska beddelin.
Caqabada dheeraadka ah waa qaabka isticmaalka AS-SET. Halkan waxaa ah laba qodob:
- Marka hawlwadeenku helo macmiil cusub, wuxuu ku daraa AS-SET-kiisa, laakiin ku dhawaad ββwaligii kama saaro;
- Shaandhooyinka laftooda waxaa lagu habeeyey oo keliya is-dhexgalka macaamiisha.
Natiijo ahaan, qaabka casriga ah ee filtarrada BGP wuxuu ka kooban yahay filtarrada si tartiib tartiib ah hoos u dhigaya is-dhexgalka macaamiisha iyo kalsoonida mudnaanta leh ee waxa ka yimaada la-hawlgalayaasha isku midka ah iyo bixiyeyaasha IP-ga.
Maxaa bedelaya filtarrada horgalayaasha ah ee ku salaysan AS-SET? Waxa ugu xiisaha badan waa in muddada gaaban - waxba. Laakiin habab dheeraad ah ayaa soo baxaya kuwaas oo buuxinaya shaqada filtarrada ku salaysan IRRDB, iyo marka hore, tani waa, dabcan, RPKI.
RPKI
Si fudud, qaab dhismeedka RPKI waxaa loo malayn karaa inuu yahay xog-ururin la qaybiyay oo diiwaankooda si qarsoodi ah loo xaqiijin karo. Arrinka ROA (Ogolaanshaha Shayga Waddada), saxeexuhu waa mulkiilaha meesha ciwaanka, diiwaanka laftiisuna waa saddex-laab (horgale, asn, max_length). Asal ahaan, gelitaankan ayaa soo dhejinaya kuwan soo socda: mulkiilaha booska ciwaanka $ horgalayaasha ayaa u oggolaaday lambarka AS $asn inuu xayeysiiyo horgalayaasha dhererkoodu aan ka badnayn $max_length. Iyo router-yada, isticmaalaya khasnadda RPKI, waxay awoodaan inay hubiyaan lammaanaha inay u hoggaansamaan horgale - hadalka ugu horreeya ee jidka.
Jaantuska 3. Nashqada RPKI
Walxaha ROA ayaa la jaangooyey muddo dheer, laakiin ilaa dhawaan waxay ku hadhay warqad kaliya ee joornaalka IETF. Fikradayda, sababta tani waxay u egtahay cabsi - suuqgeyn xun. Ka dib qaabaynta habaynta, dhiirigelinta waxay ahayd in ROA ay ka ilaaliso afduubka BGP - taas oo aan run ahayn. Weeraryahanadu waxay si fudud u dhaafi karaan filtarrada ku salaysan ROA iyagoo gelinaya lambarka AC saxda ah ee bilowga waddada. Isla markii ay xaqiiqadu timid, tillaabada macquulka ah ee xigta waxay ahayd in laga tago isticmaalka ROA. Oo runtii, maxaan ugu baahanahay tignoolajiyada haddii aysan shaqayn?
Waa maxay sababta ay tahay waqtigii aad bedeli lahayd maskaxdaada? Sababtoo ah tani maaha runta oo dhan. ROA kama ilaaliso dhaqdhaqaaqa hackers gudaha BGP, laakiin waxay ka ilaalisaa afduubka gaadiidka ee shilalka ah, tusaale ahaan leaksyada taagan ee BGP, kaas oo noqonaya mid aad u badan. Sidoo kale, si ka duwan filtarrada ku salaysan IRR, ROV looma isticmaali karo oo keliya is-dhexgalka macaamiisha, laakiin sidoo kale isdhexgalka asxaabta iyo bixiyeyaasha sare. Taasi waa, oo ay weheliso soo bandhigida RPKI, kalsoonida mudnaanta leh ayaa si tartiib tartiib ah uga sii baxaysa BGP.
Hadda, hubinta waddooyinka ku saleysan ROA waxaa si tartiib tartiib ah u fulinaya ciyaartoy muhiim ah: IX-ka ugu weyn Yurub wuxuu durba iska tuurayaa waddooyin khaldan; Ka mid ah hawl wadeennada Tier-1, waxaa habboon in la muujiyo AT&T, taas oo awood u siisay shaandhada is-dhexgalka ee la-hawlgalayaasheeda. Bixiyaha nuxurka ugu weyn ayaa sidoo kale ku soo wajahan mashruuca. Iyo daraasiin ka mid ah hawl-wadeennada gaadiidka ee dhexdhexaadka ah ayaa durba si aamusan u hirgeliyay, iyaga oo aan cidna u sheegin. Waa maxay sababta dhammaan hawl-wadeennadan ay u fulinayaan RPKI? Jawaabtu waa sahlan tahay: inaad ka ilaaliso taraafikadaada baxaysa khaladaadka dadka kale. Taasi waa sababta Yandex waa mid ka mid ah kuwa ugu horreeya ee Ruushka si loogu daro ROV cidhifka shabakadeeda.
Maxaa xigi doona?
Waxaan hadda awoodnay hubinta macluumaadka dariiqa is-dhexgalka ee leh goobaha isdhaafsiga taraafikada iyo kuwa gaarka ah. Mustaqbalka dhow, xaqiijinta sidoo kale waxaa lagu suurtagelin doonaa bixiyeyaasha taraafikada.
Waa maxay farqiga ay tani kuu samaynaysaa? Haddii aad rabto inaad kordhiso amniga marin-u-socodka taraafikada ee u dhexeeya shabakadaada iyo Yandex, waxaan kugula talineynaa:
- Saxeex booska cinwaankaaga - way fududahay, waxay qaadataa 5-10 daqiiqo celcelis ahaan. Tani waxay ilaalin doontaa isku xirnaantayada haddii ay dhacdo in qof si ula kac ah u xado booska cinwaankaaga (tanina hubaal waxay dhici doontaa mar dhow ama goor dambe);
- Ku rakib mid ka mid ah khasnadaha RPKI ee isha furan (, ) oo awood u siinaya hubinta marinka xadka shabakada - tani waxay qaadan doontaa waqti badan, laakiin mar labaad, ma keeni doonto wax dhibaato farsamo ah.
Yandex sidoo kale waxay taageertaa horumarinta nidaamka shaandhaynta ee ku salaysan shayga cusub ee RPKI - (Ogolaanshaha Bixiyaha Nidaamka Madaxbanaan). Shaandhaynta ku salaysan ASPA iyo walxaha ROA kaliya ma beddeli karaan "leaky" AS-SETs, laakiin sidoo kale waxay xidhaan arrimaha weerarrada MiTM iyadoo la isticmaalayo BGP.
Waxaan si faahfaahsan ugala hadli doonaa ASPA bil gudaheed shirka Next Hop. Saaxiibada Netflix, Facebook, Dropbox, Juniper, Mellanox iyo Yandex ayaa sidoo kale halkaas ka hadli doona. Haddii aad xiisaynayso kaydka shabakada iyo horumarkeeda mustaqbalka, kaalay .
Source: www.habr.com