Salaku hasil tina pengumuman BGP anu salah, langkung ti 8800 awalan jaringan asing ngaliwatan jaringan Rostelecom, nu ngarah ka runtuhna jangka pondok tina routing, gangguan konektipitas jaringan jeung masalah sareng aksés ka sababaraha layanan di sakuliah dunya. Masalah leuwih ti 200 sistem otonom milik pausahaan Internet utama jeung jaringan pangiriman eusi, kaasup Akamai, Cloudflare, Digital Samudra, Amazon AWS, Hetzner, Level3, Facebook, Alibaba jeung Linode.
Pengumuman anu salah dilakukeun ku Rostelecom (AS12389) dina 1 April jam 22:28 (MSK), teras dijemput ku panyadia Rascom (AS20764) sareng salajengna sapanjang ranté éta sumebar ka Cogent (AS174) sareng Level3 (AS3356) , widang anu ngawengku ampir sakabéh panyadia Internet tingkat kahiji (). BGP geuwat ngabéjaan Rostelecom ngeunaan masalah éta, janten kajadian éta lumangsung sakitar 10 menit (nurutkeun pangaruhna dititénan sakitar sajam).
Ieu sanés kajadian anu munggaran ngalibetkeun kasalahan di sisi Rostelecom. Dina 2017 dina 5-7 menit via Rostelecom jaringan tina bank panggedéna jeung jasa finansial, kaasup Visa na MasterCard. Dina duanana kajadian, sumber masalah sigana Pagawean anu aya hubunganana sareng manajemén lalu lintas, contona, kabocoran rute tiasa kajantenan nalika ngatur ngawaskeun internal, prioritas atanapi mirroring lalu lintas ngalangkungan Rostelecom pikeun jasa sareng CDN anu tangtu (kusabab kanaékan beban jaringan kusabab kerja massal ti bumi di ahir Maret masalah nurunkeun prioritas pikeun lalu lintas jasa asing pikeun sumber daya domestik). Salaku conto, sababaraha taun ka pengker usaha dilakukeun di Pakistan Subnet YouTube dina antarmuka null nyababkeun penampilan subnet ieu dina pengumuman BGP sareng aliran sadaya lalu lintas YouTube ka Pakistan.
Éta metot yén poé saméméh kajadian kalawan Rostelecom, panyadia leutik "New Reality" (AS50048) ti kota. ngaliwatan Transtelecom éta Awalan 2658 mangaruhan Oranyeu, Akamai, Rostelecom sareng jaringan langkung ti 300 perusahaan. Rute bocor nyababkeun sababaraha gelombang alihan lalu lintas salami sababaraha menit. Dina puncakna, masalahna mangaruhan dugi ka 13.5 juta alamat IP. Gangguan global anu nyata dihindari berkat panggunaan larangan rute Transtelecom pikeun unggal klien.
Kajadian sarupa lumangsung dina Internét sarta baris nuluykeun dugi aranjeunna dilaksanakeun madhab Pengumuman BGP dumasar kana RPKI (Validasi Asal BGP), ngamungkinkeun nampi béwara ngan ukur ti anu gaduh jaringan. Tanpa otorisasina, operator naon waé tiasa ngiklankeun subnet kalayan inpormasi fiktif ngeunaan panjang rute sareng ngamimitian transit ngalangkungan dirina tina bagian lalu lintas tina sistem sanés anu henteu nerapkeun panyaring iklan.
Dina waktos anu sami, dina kajadian anu ditalungtik, cek nganggo gudang RIPE RPKI tétéla . Ku kabeneran, tilu jam sateuacan bocor rute BGP di Rostelecom, nalika prosés ngapdet parangkat lunak RIPE, 4100 rékaman ROA (Otorisasi Asal Rute RPKI). Pangkalan data dibalikeun ngan dina 2 April, sareng salami ieu cek henteu tiasa dianggo pikeun klien RIPE (masalahna henteu mangaruhan repositori RPKI registrar sanés). Dinten RIPE gaduh masalah anyar sareng gudang RPKI dina 7 jam .
Nyaring dumasar kana pendaptaran ogé tiasa dianggo salaku solusi pikeun meungpeuk bocor (Internet Routing Registry), nu nangtukeun sistem otonom ngaliwatan nu routing prefiks husus diwenangkeun. Nalika berinteraksi sareng operator leutik, pikeun ngirangan dampak kasalahan manusa, anjeun tiasa ngawates jumlah maksimum awalan anu ditampi pikeun sesi EBGP (setelan awalan maksimum).
Dina kalolobaan kasus, insiden mangrupikeun akibat tina kasalahan tanaga anu teu kahaja, tapi ayeuna-ayeuna ogé aya serangan anu ditargetkeun, dimana panyerang badamikeun infrastruktur panyadia. и lalulintas keur situs husus ngaliwatan pangatur serangan MiTM pikeun ngaganti réspon DNS.
Sangkan leuwih hese pikeun meunangkeun sertipikat TLS salila serangan sapertos kitu, otoritas sertipikat Hayu Encrypt pikeun mariksa domain multi-posisi nganggo subnet anu béda. Pikeun ngalangkungan pamariksaan ieu, panyerang kedah sakaligus ngahontal alihan rute pikeun sababaraha sistem otonom panyadia sareng uplink anu béda, anu langkung hese tibatan alihan hiji rute.
sumber: opennet.ru