8800 க்கும் மேற்பட்ட வெளிநாட்டு நெட்வொர்க் முன்னொட்டுகளின் தவறான BGP அறிவிப்பின் விளைவாக Rostelecom நெட்வொர்க் மூலம், இது ரூட்டிங் குறுகிய கால சரிவு, நெட்வொர்க் இணைப்பு இடையூறு மற்றும் உலகம் முழுவதும் சில சேவைகளை அணுகுவதில் சிக்கல்களுக்கு வழிவகுத்தது. பிரச்சனை அகமாய், கிளவுட்ஃப்ளேர், டிஜிட்டல் ஓஷன், அமேசான் AWS, Hetzner, Level200, Facebook, Alibaba மற்றும் Linode உள்ளிட்ட முக்கிய இணைய நிறுவனங்கள் மற்றும் உள்ளடக்க விநியோக நெட்வொர்க்குகளுக்கு சொந்தமான 3 க்கும் மேற்பட்ட தன்னாட்சி அமைப்புகள்.
ஏப்ரல் 12389 ஆம் தேதி 1:22 (MSK) மணிக்கு Rostelecom (AS28) மூலம் தவறான அறிவிப்பு வெளியிடப்பட்டது, பின்னர் அது வழங்குநர் Rascom (AS20764) மூலம் எடுக்கப்பட்டது, மேலும் Cogent (AS174) மற்றும் Level3 (AS3356) வரை பரவியது. கிட்டத்தட்ட அனைத்து இணைய வழங்குநர்களையும் உள்ளடக்கிய துறை முதல் நிலை (). BGP உடனடியாக ரோஸ்டெலெகாமிற்கு பிரச்சனை பற்றி அறிவித்தது, எனவே சம்பவம் சுமார் 10 நிமிடங்கள் நீடித்தது (படி விளைவுகள் சுமார் ஒரு மணி நேரம் காணப்பட்டன).
ரோஸ்டெலெகாமின் பக்கத்தில் ஒரு பிழை தொடர்பான முதல் சம்பவம் இதுவல்ல. 2017 இல் Rostelecom வழியாக 5-7 நிமிடங்களுக்குள் விசா மற்றும் மாஸ்டர்கார்டு உள்ளிட்ட மிகப்பெரிய வங்கிகள் மற்றும் நிதிச் சேவைகளின் நெட்வொர்க்குகள். வெளிப்படையாக, இரண்டு சம்பவங்களிலும், பிரச்சனையின் ஆதாரம் போக்குவரத்து மேலாண்மை தொடர்பான பணி, எடுத்துக்காட்டாக, உள் கண்காணிப்பு, முன்னுரிமை அல்லது சில சேவைகளின் போக்குவரத்தை பிரதிபலிக்கும் போது மற்றும் Rostelecom வழியாக CDN கடந்து செல்லும் போது பாதை கசிவுகள் ஏற்படலாம் (மார்ச் இறுதியில் வீட்டில் அதிக வேலை காரணமாக நெட்வொர்க் சுமை அதிகரிப்பு காரணமாக. உள்நாட்டு வளங்களுக்கு ஆதரவாக வெளிநாட்டு சேவைகளின் போக்குவரத்திற்கான முன்னுரிமையை குறைக்கும் பிரச்சினை). உதாரணமாக, சில ஆண்டுகளுக்கு முன்பு பாகிஸ்தானில், ஒரு முயற்சி பூஜ்ய இடைமுகத்திற்கான யூடியூப் சப்நெட்கள் இந்த சப்நெட்கள் பிஜிபி அறிவிப்புகளில் தோன்றி, பாகிஸ்தானுக்கான அனைத்து யூடியூப் ட்ராஃபிக்கையும் வெளியேற்றியது.
ரோஸ்டெலெகாமுடன் சம்பவத்திற்கு முந்தைய நாள், செயின்ட் நகரத்தைச் சேர்ந்த "நியூ ரியாலிட்டி" (AS50048) என்ற சிறிய வழங்குநரானது சுவாரஸ்யமானது. Transtelecom மூலம் இருந்தது 2658 முன்னொட்டுகள் ஆரஞ்சு, அகமாய், ரோஸ்டெலெகாம் மற்றும் 300க்கும் மேற்பட்ட நிறுவனங்களின் நெட்வொர்க்குகளைப் பாதிக்கின்றன. வழித்தடக் கசிவு காரணமாக பல அலை அலையான போக்குவரத்து வழிமாற்றங்கள் பல நிமிடங்கள் நீடித்தன. அதன் உச்சத்தில், பிரச்சனை 13.5 மில்லியன் ஐபி முகவரிகளை உள்ளடக்கியது. ஒவ்வொரு வாடிக்கையாளருக்கும் டிரான்ஸ்டெலிகாமில் வழிக் கட்டுப்பாடுகளைப் பயன்படுத்தியதால் குறிப்பிடத்தக்க உலகளாவிய இடையூறு தவிர்க்கப்பட்டது.
உலகளாவிய இணையத்தில் இதே போன்ற சம்பவங்கள் நடக்கின்றன மற்றும் உலகளவில் செயல்படுத்தப்படும் வரை தொடரும் RPKI (BGP தோற்றம் சரிபார்ப்பு) அடிப்படையிலான BGP அறிவிப்புகள், நெட்வொர்க் உரிமையாளர்களிடமிருந்து மட்டுமே அறிவிப்புகளைப் பெற அனுமதிக்கும். அங்கீகாரம் இல்லாமல், எந்தவொரு ஆபரேட்டரும் வழித்தடத்தின் நீளம் பற்றிய கற்பனையான தகவல்களுடன் ஒரு சப்நெட்டை விளம்பரப்படுத்தலாம் மற்றும் விளம்பர வடிகட்டலைப் பயன்படுத்தாத பிற அமைப்புகளிலிருந்து போக்குவரத்தின் ஒரு பகுதியின் மூலம் போக்குவரத்தைத் தொடங்கலாம்.
அதே நேரத்தில், பரிசீலனையில் உள்ள சம்பவத்தில், RIPE RPKI களஞ்சியத்தைப் பயன்படுத்தி ஒரு காசோலையானது . தற்செயலாக, RIPE மென்பொருளைப் புதுப்பிக்கும் பணியில், Rostelecom இல் BGP பாதை கசிவதற்கு மூன்று மணி நேரத்திற்கு முன், 4100 ROA பதிவுகள் (RPKI ரூட் ஆரிஜின் அங்கீகாரம்). தரவுத்தளம் ஏப்ரல் 2 அன்று மட்டுமே மீட்டமைக்கப்பட்டது, மேலும் RIPE வாடிக்கையாளர்களுக்கு இந்த நேரத்தில் காசோலை செயலிழந்தது (சிக்கல் மற்ற பதிவாளர்களின் RPKI களஞ்சியங்களை பாதிக்கவில்லை). இன்று RIPE புதிய சிக்கல்கள் மற்றும் RPKI களஞ்சியத்தை 7 மணி நேரத்திற்குள் கொண்டுள்ளது .
கசிவுகளைத் தடுக்க பதிவேடு அடிப்படையிலான வடிகட்டுதல் ஒரு தீர்வாகவும் பயன்படுத்தப்படலாம் (இன்டர்நெட் ரூட்டிங் ரெஜிஸ்ட்ரி), இது தன்னாட்சி அமைப்புகளை வரையறுக்கிறது, இதன் மூலம் கொடுக்கப்பட்ட முன்னொட்டுகளின் ரூட்டிங் அனுமதிக்கப்படுகிறது. சிறிய ஆபரேட்டர்களுடன் தொடர்பு கொள்ளும்போது, மனிதப் பிழைகளின் விளைவுகளைக் குறைக்க, EBGP அமர்வுகளுக்கு (அதிகபட்ச முன்னொட்டு அமைப்பு) ஏற்றுக்கொள்ளப்பட்ட முன்னொட்டுகளின் அதிகபட்ச எண்ணிக்கையை நீங்கள் கட்டுப்படுத்தலாம்.
பெரும்பாலான சந்தர்ப்பங்களில், சம்பவங்கள் சீரற்ற பணியாளர்களின் பிழைகளின் விளைவாகும், ஆனால் சமீபத்தில் இலக்கு தாக்குதல்களும் உள்ளன, இதன் போது தாக்குதல் நடத்துபவர்கள் வழங்குநர்களின் உள்கட்டமைப்பை சமரசம் செய்து и போக்குவரத்து டிஎன்எஸ் பதில்களுக்குப் பதிலாக MiTM தாக்குதல்களை அமைப்பதன் மூலம் குறிப்பிட்ட தளங்கள்.
இத்தகைய தாக்குதல்களின் போது TLS சான்றிதழ்களைப் பெறுவதை மிகவும் கடினமாக்க, சான்றிதழ் அதிகாரத்தை குறியாக்குவோம் வெவ்வேறு சப்நெட்களைப் பயன்படுத்தி மல்டிசைட் டொமைன் சோதனைக்கு. இந்தச் சரிபார்ப்பைப் புறக்கணிக்க, தாக்குபவர் ஒரே நேரத்தில் பல்வேறு அப்லிங்க்களைக் கொண்ட பல வழங்குநர் தன்னாட்சி அமைப்புகளுக்கான வழித் திசைதிருப்பலை அடைய வேண்டும், இது ஒரு வழியைத் திருப்பி விடுவது மிகவும் கடினம்.
ஆதாரம்: opennet.ru