Som ett resultat av ett felaktigt BGP-meddelande om mer än 8800 utländska nätverksprefix genom Rostelecom-nätverket, vilket ledde till en kortvarig kollaps av routing, avbrott i nätverksanslutningen och problem med åtkomst till vissa tjänster runt om i världen. Problem över 200 autonoma system som ägs av stora internetföretag och innehållsleveransnätverk, inklusive Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba och Linode.
Det felaktiga tillkännagivandet gjordes av Rostelecom (AS12389) den 1 april klockan 22:28 (MSK), sedan plockades det upp av leverantören Rascom (AS20764) och vidare längs kedjan spreds det till Cogent (AS174) och Level3 (AS3356), vars område täckte nästan alla internetleverantörer på första nivån (). BGP meddelade omgående Rostelecom om problemet, så incidenten varade i cirka 10 minuter (enl. effekter observerades i ungefär en timme).
Detta är inte den första incidenten relaterad till ett fel på Rostelecoms sida. Under 2017 inom 5-7 minuter via Rostelecom nätverk av de största bankerna och finansiella tjänster, inklusive Visa och MasterCard. Uppenbarligen, i båda incidenterna, källan till problemet arbete relaterat till trafikledning, till exempel kan ruttläckor uppstå när man organiserar intern övervakning, prioritering eller speglar trafiken för vissa tjänster och CDN som passerar genom Rostelecom (på grund av ökad nätverksbelastning på grund av massarbete hemma i slutet av mars frågan om att sänka prioriteringen för trafiken av utländska tjänster till förmån för inhemska resurser). Till exempel för några år sedan i Pakistan, ett försök YouTubes undernät till nollgränssnittet resulterade i att dessa undernät dök upp i BGP-meddelanden och dränerade all YouTube-trafik till Pakistan.
Det är intressant att dagen före händelsen med Rostelecom, en liten leverantör "New Reality" (AS50048) från staden St. genom Transtelecom var 2658 prefix som påverkar Orange, Akamai, Rostelecom och nätverk av mer än 300 företag. Vägläckan resulterade i flera vågor av trafikomdirigeringar som varade i flera minuter. Som mest täckte problemet upp till 13.5 miljoner IP-adresser. En märkbar global störning undveks tack vare användningen av ruttbegränsningar i Transtelecom för varje kund.
Liknande incidenter inträffar på den globala webben och kommer att fortsätta tills den är allmänt implementerad BGP-meddelanden baserade på RPKI (BGP Origin Validation), som tillåter mottagning av meddelanden endast från nätägare. Utan tillstånd kan vilken operatör som helst annonsera ett subnät med fiktiv information om sträckans längd och initiera transitering genom sig själv av en del av trafiken från andra system som inte tillämpar annonsfiltrering.
Samtidigt visade sig, i den aktuella incidenten, en kontroll med användning av RIPE RPKI-förvaret vara . Av en slump, tre timmar före läckan av BGP-rutten i Rostelecom, i färd med att uppdatera RIPE-mjukvaran, 4100 ROA-poster (RPKI Route Origin Authorization). Databasen återställdes först den 2 april, och hela denna tid för RIPE-klienter var kontrollen inoperabel (problemet påverkade inte andra registrarers RPKI-förråd). Idag har RIPE nya problem och RPKI-förråd inom 7 timmar .
Registerbaserad filtrering kan också användas som en lösning för att blockera läckor (Internet Routing Registry), som definierar autonoma system genom vilka routing av givna prefix tillåts. När du interagerar med små operatörer kan du begränsa det maximala antalet accepterade prefix för EBGP-sessioner (inställning för maximalt prefix) för att minska konsekvenserna av mänskliga fel.
I de flesta fall är incidenter resultatet av slumpmässiga personalfel, men nyligen har det också förekommit riktade attacker, under vilka angripare genom att äventyra leverantörernas infrastruktur и trafik för specifika webbplatser genom att organisera MiTM-attacker för att ersätta DNS-svar.
För att göra det svårare att få TLS-certifikat under sådana attacker, Let's Encrypt-certifieringsmyndigheten för domänkontroll på flera platser med olika subnät. För att kringgå denna kontroll måste en angripare samtidigt uppnå ruttomdirigering för flera leverantörers autonoma system med olika upplänkar, vilket är mycket svårare än att omdirigera en enskild rutt.
Källa: opennet.ru