ఒక తప్పు BGP ప్రకటన ఫలితంగా, 8800 కంటే ఎక్కువ విదేశీ నెట్వర్క్ ప్రిఫిక్స్లు Rostelecom నెట్వర్క్ ద్వారా, ఇది రూటింగ్ యొక్క స్వల్పకాలిక పతనానికి దారితీసింది, నెట్వర్క్ కనెక్టివిటీకి అంతరాయం మరియు ప్రపంచవ్యాప్తంగా కొన్ని సేవలకు ప్రాప్యతతో సమస్యలకు దారితీసింది. సమస్య అకామై, క్లౌడ్ఫ్లేర్, డిజిటల్ ఓషన్, అమెజాన్ AWS, హెట్జ్నర్, లెవెల్200, ఫేస్బుక్, అలీబాబా మరియు లినోడ్తో సహా ప్రధాన ఇంటర్నెట్ కంపెనీలు మరియు కంటెంట్ డెలివరీ నెట్వర్క్ల యాజమాన్యంలోని 3 కంటే ఎక్కువ స్వయంప్రతిపత్త వ్యవస్థలు.
ఏప్రిల్ 12389న 1:22 (MSK)కి Rostelecom (AS28) ద్వారా తప్పుడు ప్రకటన చేయబడింది, తర్వాత దానిని ప్రొవైడర్ రాస్కామ్ (AS20764) కైవసం చేసుకుంది మరియు గొలుసుతో పాటు అది Cogent (AS174) మరియు Level3 (AS3356)కి వ్యాపించింది. , దాదాపు అన్ని ఇంటర్నెట్ ప్రొవైడర్లను కవర్ చేసిన ఫీల్డ్ మొదటి స్థాయి (). BGP వెంటనే సమస్య గురించి రోస్టెలెకామ్కు తెలియజేసింది, కాబట్టి సంఘటన సుమారు 10 నిమిషాల పాటు కొనసాగింది (ప్రకారం ప్రభావాలు సుమారు గంటసేపు గమనించబడ్డాయి).
రోస్టెలెకామ్లో లోపం సంభవించిన మొదటి సంఘటన ఇది కాదు. 2017లో రోస్టెలెకామ్ ద్వారా 5-7 నిమిషాలలోపు వీసా మరియు మాస్టర్ కార్డ్తో సహా అతిపెద్ద బ్యాంకులు మరియు ఆర్థిక సేవల నెట్వర్క్లు. రెండు సంఘటనల్లోనూ సమస్య మూలంగానే కనిపిస్తోంది ట్రాఫిక్ నిర్వహణకు సంబంధించిన పని, ఉదాహరణకు, అంతర్గత పర్యవేక్షణ, ప్రాధాన్యత లేదా నిర్దిష్ట సేవలు మరియు CDNల కోసం రోస్టెలెకామ్ ద్వారా ప్రయాణిస్తున్న ట్రాఫిక్ను ప్రతిబింబించేటప్పుడు మార్గాల లీకేజీ సంభవించవచ్చు (ఇంటి నుండి పెద్దఎత్తున పని చేయడం వల్ల నెట్వర్క్ లోడ్ పెరుగుదల కారణంగా మార్చి దేశీయ వనరులకు అనుకూలంగా విదేశీ సేవల ట్రాఫిక్ ప్రాధాన్యతను తగ్గించే సమస్య). ఉదాహరణకు, చాలా సంవత్సరాల క్రితం పాకిస్తాన్లో ఒక ప్రయత్నం జరిగింది శూన్య ఇంటర్ఫేస్లో YouTube సబ్నెట్లు BGP ప్రకటనలలో ఈ సబ్నెట్లు కనిపించడానికి మరియు పాకిస్తాన్కి YouTube ట్రాఫిక్ మొత్తం ప్రవహించడానికి దారితీసింది.
రోస్టెలెకామ్తో సంఘటన జరగడానికి ముందు రోజు, నగరం నుండి చిన్న ప్రొవైడర్ “న్యూ రియాలిటీ” (AS50048) ఆసక్తికరంగా ఉంది. Transtelecom ద్వారా ఇది జరిగింది ఆరెంజ్, అకామై, రోస్టెలెకామ్ మరియు 2658 కంటే ఎక్కువ కంపెనీల నెట్వర్క్లను ప్రభావితం చేసే 300 ఉపసర్గలు. మార్గం లీక్ ఫలితంగా అనేక నిమిషాల పాటు ట్రాఫిక్ దారి మళ్లింపుల యొక్క అనేక తరంగాలు ఏర్పడ్డాయి. గరిష్టంగా, సమస్య 13.5 మిలియన్ల IP చిరునామాలను ప్రభావితం చేసింది. ట్రాన్స్టెలికామ్ ప్రతి క్లయింట్ కోసం రూట్ పరిమితులను ఉపయోగించడం వల్ల గుర్తించదగిన ప్రపంచ అంతరాయం నివారించబడింది.
ఇంటర్నెట్లో ఇలాంటి సంఘటనలు జరుగుతాయి మరియు అవి ప్రతిచోటా అమలు అయ్యే వరకు కొనసాగుతుంది RPKI (BGP ఆరిజిన్ వాలిడేషన్) ఆధారంగా BGP ప్రకటనలు, నెట్వర్క్ యజమానుల నుండి మాత్రమే ప్రకటనల స్వీకరణను అనుమతిస్తుంది. అనుమతి లేకుండా, ఏదైనా ఆపరేటర్ మార్గం పొడవు గురించి కల్పిత సమాచారంతో సబ్నెట్ను ప్రచారం చేయవచ్చు మరియు ప్రకటనల వడపోత వర్తించని ఇతర సిస్టమ్ల నుండి ట్రాఫిక్లో కొంత భాగం ద్వారా రవాణాను ప్రారంభించవచ్చు.
అదే సమయంలో, పరిశీలనలో ఉన్న సంఘటనలో, RIPE RPKI రిపోజిటరీని ఉపయోగించి తనిఖీ చేయడం జరిగింది . యాదృచ్ఛికంగా, RIPE సాఫ్ట్వేర్ను నవీకరించే ప్రక్రియలో రోస్టెలెకామ్లో BGP మార్గం లీక్ కావడానికి మూడు గంటల ముందు, 4100 ROA రికార్డులు (RPKI రూట్ ఆరిజిన్ ఆథరైజేషన్). డేటాబేస్ ఏప్రిల్ 2న మాత్రమే పునరుద్ధరించబడింది మరియు ఈ సమయంలో RIPE క్లయింట్లకు చెక్ పనిచేయదు (సమస్య ఇతర రిజిస్ట్రార్ల RPKI రిపోజిటరీలను ప్రభావితం చేయలేదు). ఈరోజు RIPEకి 7 గంటలలోపు కొత్త సమస్యలు మరియు RPKI రిపోజిటరీ ఉన్నాయి .
రిజిస్ట్రీ-ఆధారిత ఫిల్టరింగ్ కూడా లీక్లను నిరోధించడానికి పరిష్కారంగా ఉపయోగించవచ్చు (ఇంటర్నెట్ రూటింగ్ రిజిస్ట్రీ), ఇది స్వయంప్రతిపత్త వ్యవస్థలను నిర్వచిస్తుంది, దీని ద్వారా పేర్కొన్న ప్రిఫిక్స్ల రూటింగ్ అనుమతించబడుతుంది. చిన్న ఆపరేటర్లతో పరస్పర చర్య చేస్తున్నప్పుడు, మానవ లోపాల ప్రభావాన్ని తగ్గించడానికి, మీరు EBGP సెషన్ల (గరిష్ట-ఉపసర్గ సెట్టింగ్) కోసం ఆమోదించబడిన గరిష్ట ప్రీఫిక్స్ల గరిష్ట సంఖ్యను పరిమితం చేయవచ్చు.
చాలా సందర్భాలలో, సంఘటనలు ప్రమాదవశాత్తూ సిబ్బంది తప్పిదాల ఫలితంగా ఉంటాయి, అయితే ఇటీవల లక్షిత దాడులు కూడా జరిగాయి, ఈ సమయంలో దాడి చేసేవారు ప్రొవైడర్ల మౌలిక సదుపాయాలపై రాజీ పడుతున్నారు. и కోసం ట్రాఫిక్ DNS ప్రతిస్పందనలను భర్తీ చేయడానికి MiTM దాడిని నిర్వహించడం ద్వారా నిర్దిష్ట సైట్లు.
అటువంటి దాడుల సమయంలో TLS సర్టిఫికేట్లను పొందడం మరింత కష్టతరం చేయడానికి, లెట్స్ ఎన్క్రిప్ట్ సర్టిఫికేట్ అథారిటీ విభిన్న సబ్నెట్లను ఉపయోగించి బహుళ-స్థాన డొమైన్ తనిఖీకి. ఈ చెక్ను దాటవేయడానికి, దాడి చేసే వ్యక్తి వివిధ అప్లింక్లతో ప్రొవైడర్ల యొక్క అనేక స్వయంప్రతిపత్త వ్యవస్థల కోసం ఏకకాలంలో మార్గం మళ్లింపును సాధించవలసి ఉంటుంది, ఇది ఒకే మార్గాన్ని దారి మళ్లించడం కంటే చాలా కష్టం.
మూలం: opennet.ru