13 март ба гурӯҳи кории RIPE зидди сӯиистифода дуздии BGP (hjjack) -ро ҳамчун вайрон кардани сиёсати RIPE баррасӣ кунед. Агар ин пешниҳод пазируфта шавад, провайдери интернетие, ки бо боздошти трафик ҳамла кардааст, имкон дошт дархости махсус барои фош кардани ҳамлагарро фиристад. Агар гурӯҳи бозрасӣ далелҳои кофии дастгирӣ ҷамъоварӣ кунад, LIR, ки манбаи боздошти BGP буд, вайронкор ҳисобида мешавад ва метавонад аз мақоми LIR маҳрум карда шавад. Баъзе баҳсҳо низ буданд тағирот.
Дар ин нашрия мо мехоҳем як мисоли ҳамлаеро нишон диҳем, ки дар он на танҳо ҳамлагари воқеӣ, балки тамоми рӯйхати префиксҳои зарардида низ мавриди баҳс қарор гирифта буд. Гузашта аз ин, чунин ҳамла боз саволҳоро дар бораи ангезаҳои боздошти ояндаи ин навъи ҳаракати нақлиёт ба миён меорад.
Дар тӯли ду соли охир, танҳо муноқишаҳо ба монанди MOAS (Системаи Автономии Муттаҳид) дар матбуот ҳамчун боздошти BGP инъикос карда шуданд. MOAS як ҳолати махсусест, ки ду системаи автономии гуногун префиксҳои зиддунақизро бо ASN-ҳои мувофиқ дар AS_PATH таблиғ мекунанд (аввалин ASN дар AS_PATH, минбаъд ASN ибтидоӣ номида мешавад). Бо вуҷуди ин, мо ҳадди аққал номбар карда метавонем боздоштани трафик, ки ба ҳамлагар имкон медиҳад, ки атрибути AS_PATH-ро бо мақсадҳои гуногун идора кунад, аз ҷумла канорагирии равишҳои муосири филтр ва мониторинг. Навъи маълуми ҳамла - намуди охирини чунин боздошт, аммо на дар ҳама муҳим. Мумкин аст, ки маҳз ҳамин гуна ҳамлаест, ки мо дар ҳафтаҳои охир мушоҳида кардем. Чунин ходиса характери фахмо ва окибатхои хеле вазнин дорад.
Онҳое, ки версияи TL;DR-ро меҷӯянд, метавонанд ба субтитрҳои "Ҳамлаи комил" ҳаракат кунанд.
Заминаи шабака
(барои кӯмак ба шумо беҳтар фаҳмидани равандҳои марбут ба ин ҳодиса)
Агар шумо хоҳед, ки баста фиристед ва шумо дар ҷадвали масир префиксҳои сершумор дошта бошед, ки суроғаи IP-и таъинотро дар бар мегирад, шумо масирро барои префикси дарозии дарозтарин истифода хоҳед кард. Агар дар ҷадвали масир барои як префикс якчанд хатсайрҳои гуногун вуҷуд дошта бошанд, шумо беҳтаринро интихоб мекунед (мувофиқи механизми беҳтарини интихоби роҳ).
Равишҳои мавҷудаи филтр ва мониторинг кӯшиш мекунанд, ки масирҳоро таҳлил кунанд ва тавассути таҳлили атрибути AS_PATH қарор қабул кунанд. Роутер метавонад ин атрибутро дар вақти таблиғ ба дилхоҳ арзиш иваз кунад. Танҳо илова кардани ASN-и соҳиб дар ибтидои AS_PATH (ҳамчун сарчашмаи ASN) метавонад барои гузаштан аз механизмҳои санҷиши пайдоиши ҷорӣ кифоя бошад. Ғайр аз он, агар аз ASN-и ҳамлашуда ба шумо масир мавҷуд бошад, AS_PATH-и ин масирро дар таблиғоти дигари худ истихроҷ ва истифода бурдан мумкин аст. Ҳама гуна санҷиши танҳо AS_PATH барои эълонҳои таҳиякардаи шумо дар ниҳоят мегузаранд.
Ҳанӯз якчанд маҳдудиятҳо мавҷуданд, ки бояд қайд карда шаванд. Аввалан, дар сурати филтр кардани префикс аз ҷониби провайдери болооб, масири шумо метавонад то ҳол филтр карда шавад (ҳатто бо AS_PATH дуруст), агар префикс ба конуси муштарии шумо, ки дар боло танзим карда шудааст, тааллуқ надошта бошад. Дуюм, AS_PATH дуруст метавонад беэътибор гардад, агар масири сохташуда дар самтҳои нодуруст таблиғ шавад ва аз ин рӯ, сиёсати масирро вайрон кунад. Ниҳоят, ҳама гуна масир бо префикси дарозии ROA-ро вайрон кардан мумкин аст беэътибор дониста шавад.
Ҳодиса
Чанд ҳафта пеш мо аз як корбарамон шикоят гирифтем. Мо хатсайрҳоро бо префиксҳои аслии ASN ва /25 дидем, дар ҳоле ки корбар изҳор дошт, ки онҳоро таблиғ накардааст.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
Намунаҳои эълонҳо барои оғози апрели 2019
NTT дар роҳи префикси /25 онро махсусан шубҳанок мекунад. LG NTT ҳангоми рух додани ҳодиса аз ин масир хабар надошт. Ҳамин тавр, ҳа, баъзе операторҳо барои ин префиксҳо як AS_PATH-ро эҷод мекунанд! Санҷиши роутерҳои дигар як ASN-и мушаххасро ошкор мекунад: AS263444. Пас аз дидани хатсайрҳои дигар бо ин системаи худмухтор, мо ба вазъияти зерин дучор омадем:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
Кӯшиш кунед, ки дар ин ҷо чӣ хатост
Чунин ба назар мерасад, ки касе префиксро аз хатсайр гирифта, ба ду қисм тақсим кардааст ва масирро бо ҳамон AS_PATH барои ин ду префикс таблиғ кардааст.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
Намунаи хатсайрҳо барои яке аз ҷуфтҳои префикси ҷудошуда
Якчанд саволҳо якбора ба миён меоянд. Оё касе воқеан ин намуди боздоштро дар амал санҷидааст? Оё касе ин роҳҳоро пеш гирифтааст? Кадом префиксҳо таъсир карданд?
Ин аст, ки силсилаи нокомиҳои мо оғоз мешавад ва боз як даври ноумедӣ аз вазъи кунунии саломатии Интернет.
Роҳи нокомӣ
Аввалин чизҳои аввал. Чӣ тавр мо муайян карда метавонем, ки кадом роутерҳо чунин хатсайрҳои боздоштшударо қабул кардаанд ва трафики киро имрӯз метавон иваз кард? Мо фикр мекардем, ки мо бо префиксҳои /25 оғоз мекунем, зеро онҳо "танҳо тақсимоти глобалӣ надоранд". Тавре ки шумо тахмин карда метавонед, мо хеле хато кардем. Ин метрика хеле пурғавғо баромад ва хатсайрҳо бо чунин префиксҳо метавонанд ҳатто аз операторони Tier-1 пайдо шаванд. Масалан, NTT тақрибан 50 чунин префикс дорад, ки онро ба мизоҷони худ тақсим мекунад. Аз тарафи дигар, ин нишондиҳанда бад аст, зеро агар оператор истифода барад, чунин префиксҳоро филтр кардан мумкин аст , дар тамоми самтхо. Аз ин рӯ, ин усул барои дарёфти ҳамаи операторҳое, ки трафики онҳо дар натиҷаи чунин ҳодиса равона шудааст, мувофиқ нест.
Боз як идеяи хубе, ки мо фикр мекардем, назар кардан буд . Махсусан барои масирҳое, ки қоидаи maxLength-и ROA-и мувофиқро вайрон мекунанд. Бо ин роҳ, мо метавонем шумораи ASN-ҳои пайдоиши гуногунро бо ҳолати Беэътибор, ки ба AS-и додашуда намоён буданд, пайдо кунем. Бо вуҷуди ин, мушкилоти "хурд" вуҷуд дорад. Миёнаи (медиан ва режим) ин адад (шумораи ASN-ҳои пайдоиши гуногун) тақрибан 150 аст ва ҳатто агар мо префиксҳои хурдро филтр кунем ҳам, он аз 70 боло боқӣ мемонад. Ин ҳолат шарҳи хеле содда дорад: танҳо як чанд операторе, ки аллакай филтрҳои ROA-ро бо сиёсати "аз нав танзим кардани масирҳои беэътибор" дар нуқтаҳои даромад истифода мебаранд, то дар ҳар ҷое, ки масир бо вайронкунии ROA дар ҷаҳони воқеӣ пайдо шавад, он метавонад дар ҳама самт паҳн шавад.
Ду равиши охирин ба мо имкон медиҳанд, ки операторҳоеро пайдо кунем, ки ҳодисаи моро дидаанд (зеро он хеле калон буд), аммо дар маҷмӯъ онҳо қобили татбиқ нестанд. Хуб, аммо мо метавонем вайронкорро пайдо кунем? Хусусиятҳои умумии ин манипуляцияи AS_PATH кадомҳоянд? Якчанд фарзияҳои асосӣ вуҷуд доранд:
- Префикс пештар дар ягон ҷо дида нашуда буд;
- Origin ASN (хотиррасон: аввал ASN дар AS_PATH) эътибор дорад;
- Охирин ASN дар AS_PATH ASN-и ҳамлагар аст (агар ҳамсояаш ASN-и ҳамсояро дар ҳама хатсайрҳои воридотӣ тафтиш кунад);
- Ҳамла аз як провайдери ягона сарчашма мегирад.
Агар ҳама фарзияҳо дуруст бошанд, пас ҳама масирҳои нодуруст ASN-и ҳамлакунандаро пешниҳод мекунанд (ба истиснои ASN пайдоиш) ва аз ин рӯ, ин нуқтаи "муҳим" аст. Дар байни дуздони ҳақиқӣ AS263444 буд, гарчанде дигарон низ буданд. Ҳатто вақте ки мо роҳҳои ҳодисаро аз баррасӣ дур кардем. Чаро? Нуқтаи муҳим ҳатто барои хатсайрҳои дуруст муҳим буда метавонад. Он метавонад ё натиҷаи алоқаи заиф дар минтақа ё маҳдудият дар дидани худи мо бошад.
Дар натиҷа, роҳи ошкор кардани ҳамлакунанда вуҷуд дорад, аммо танҳо дар сурати риоя шудани ҳамаи шартҳои дар боло зикршуда ва танҳо вақте ки боздошта барои гузаштан аз ҳадди мониторинг кофӣ аст. Агар баъзе аз ин омилҳо риоя нашаванд, пас оё мо метавонем префиксҳоеро, ки аз чунин боздошт зарар дидаанд, муайян кунем? Барои баъзе операторҳо - ҳа.
Вақте ки ҳамлакунанда масири мушаххасро эҷод мекунад, чунин префикс аз ҷониби соҳиби ҳақиқӣ таблиғ карда намешавад. Агар шумо рӯйхати динамикии ҳамаи префиксҳои онро аз он дошта бошед, пас имкон пайдо мешавад, ки муқоиса кунед ва масирҳои мушаххаси таҳрифшударо пайдо кунед. Мо ин рӯйхати префиксҳоро бо истифода аз сеансҳои BGP ҷамъ меорем, зеро ба мо на танҳо рӯйхати пурраи хатсайрҳое, ки ҳоло ба оператор намоёнанд, балки рӯйхати ҳамаи префиксҳо, ки мехоҳад ба ҷаҳон таблиғ кунад, дода мешавад. Мутаассифона, ҳоло даҳҳо корбарони радар вуҷуд доранд, ки қисми охиринро дуруст анҷом намедиҳанд. Мо ба зудӣ онҳоро огоҳ хоҳем кард ва кӯшиш мекунем, ки ин масъаларо ҳал кунем. Ҳама одамони дигар метавонанд ҳоло ба системаи мониторинги мо ҳамроҳ шаванд.
Агар мо ба ҳодисаи аслӣ баргардем, ҳам ҳамлагар ва ҳам минтақаи тақсимот аз ҷониби мо тавассути ҷустуҷӯи нуқтаҳои муҳим муайян карда шуданд. Тааҷҷубовар аст, ки AS263444 ба ҳамаи муштариёни худ хатсайрҳои сохта нафиристод. Ҳарчанд як лаҳзаи бегона вуҷуд дорад.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
Намунаи охирини кӯшиши боздоштани фазои суроғаи мо
Вақте ки барои префиксҳои мо префиксҳои мушаххастар сохта шуданд, AS_PATH махсус сохташуда истифода мешуд. Аммо, ин AS_PATH аз ягон хатсайрҳои қаблии мо гирифта намешавад. Мо ҳатто бо AS6762 алоқа надорем. Ба дигар масирҳои ҳодиса нигоҳ карда, баъзеи онҳо як AS_PATH воқеӣ доштанд, ки қаблан истифода шуда буд, дар ҳоле ки дигарон надоштанд, ҳатто агар он ба роҳи воқеӣ монанд бошад. Тағир додани AS_PATH ба таври иловагӣ маънои амалӣ надорад, зеро трафик ба ҳар ҳол ба ҳамлагар равона карда мешавад, аммо масирҳоро бо "бад" AS_PATH тавассути ASPA ё ягон механизми дигари санҷиш филтр кардан мумкин аст. Дар ин ҷо мо дар бораи ангезаи ҳавопайморабо фикр мекунем. Дар ҳоли ҳозир мо маълумоти кофӣ надорем, ки ин ҳодиса ҳамлаи тарҳрезишуда буд. Бо вуҷуди ин, имконпазир аст. Биёед кӯшиш кунем, ки вазъиятро тасаввур кунем, гарчанде ки ҳанӯз фарзиявӣ, вале эҳтимолан воқеист.
Ҳамлаи комил
Мо чӣ дорем? Фарз мекунем, ки шумо провайдери транзитӣ ҳастед, ки барои муштариёни худ хатсайрҳои пахши барномаҳоро пахш мекунад. Агар мизоҷони шумо ҳузури сершумор дошта бошанд (мултихона), шумо танҳо як қисми трафики онҳоро мегиред. Аммо чӣ қадаре ки трафик зиёд бошад, даромади шумо ҳамон қадар зиёд мешавад. Пас, агар шумо ба таблиғи префиксҳои зершабакаи ин масирҳо бо ҳамон AS_PATH шурӯъ кунед, шумо қисми боқимондаи трафики онҳоро хоҳед гирифт. Дар натича маблаги бокимонда.
Оё ROA дар ин ҷо кӯмак мекунад? Шояд ҳа, агар шумо қарор диҳед, ки истифодаи онро комилан қатъ кунед . Илова бар ин, доштани сабтҳои ROA бо префиксҳои буриш хеле номатлуб аст. Барои баъзе операторҳо, чунин маҳдудиятҳо қобили қабул нестанд.
Бо назардошти дигар механизмҳои амнияти масир, ASPA дар ин ҳолат ҳам кӯмак намекунад (зеро он AS_PATH-ро аз масири дуруст истифода мебарад). BGPSec аз сабаби сатҳи пасти қабул ва имкони боқимондаи ҳамлаҳои пастсифат ҳанӯз як варианти беҳтарин нест.
Ҳамин тавр, мо барои ҳамлагар фоидаи равшан дорем ва бехатарӣ надорем. Омезиши олӣ!
Чӣ бояд кард?
Қадами возеҳ ва шадидтарин ин баррасии сиёсати ҷории масир аст. Фазои суроғаи худро ба қисмҳои хурдтарин тақсим кунед (бе такрори такрорӣ), ки шумо мехоҳед таблиғ кунед. Танҳо барои онҳо, бидуни истифодаи параметри maxLength ROA имзо кунед. Дар ин ҳолат, POV-и кунунии шумо метавонад шуморо аз чунин ҳамла наҷот диҳад. Аммо, боз ҳам, барои баъзе операторҳо ин равиш аз сабаби истифодаи истисноии хатсайрҳои мушаххас оқилона нест. Ҳама мушкилот бо ҳолати кунунии ROA ва объектҳои хатсайр дар яке аз маводҳои ояндаи мо тавсиф карда мешаванд.
Илова бар ин, шумо метавонед кӯшиш кунед, ки чунин боздоштҳоро назорат кунед. Барои ин ба мо маълумоти боэътимод дар бораи префиксҳои шумо лозим аст. Ҳамин тариқ, агар шумо бо коллектори мо ҷаласаи BGP таъсис диҳед ва ба мо дар бораи намуди зоҳирии интернети худ маълумот диҳед, мо метавонем доираи ҳодисаҳои дигарро пайдо кунем. Барои онҳое, ки ҳанӯз ба системаи мониторинги мо пайваст нестанд, барои оғоз, рӯйхати хатсайрҳо танҳо бо префиксҳои шумо кофӣ хоҳад буд. Агар шумо бо мо ҷаласа дошта бошед, лутфан тафтиш кунед, ки ҳамаи хатсайрҳои шумо фиристода шудаанд. Мутаассифона, инро дар хотир бояд дошт, зеро баъзе операторҳо як ё ду префиксро фаромӯш мекунанд ва аз ин рӯ ба усулҳои ҷустуҷӯи мо халал мерасонанд. Агар дуруст анҷом дода шавад, мо дар бораи префиксҳои шумо маълумоти боэътимод хоҳем дошт, ки дар оянда ба мо кӯмак мекунад, ки ин (ва дигар) намуди боздоштани трафикро барои фазои суроғаи шумо ба таври худкор муайян ва ошкор кунем.
Агар шумо аз чунин боздоштани трафики шумо дар вақти воқеӣ огоҳ шавед, шумо метавонед худатон кӯшиш кунед, ки ба он муқобилат кунед. Усули аввал ин аст, ки худатон таблиғи масирҳоро бо ин префиксҳои мушаххастар кунед. Дар сурати ҳамлаи нав ба ин префиксҳо, такрор кунед.
Равиши дуюм ин ҷазо додани ҳамлагар ва онҳое, ки барои онҳо нуқтаи муҳим аст (барои хатсайрҳои хуб) бо қатъ кардани дастрасии хатсайрҳои шумо ба ҳамлагар. Инро метавон тавассути илова кардани ASN-и ҳамлакунанда ба AS_PATH хатсайрҳои кӯҳнаи худ анҷом дод ва аз ин рӯ онҳоро маҷбур кард, ки аз ин AS бо истифода аз механизми дарунсохти муайянкунии ҳалқа дар BGP канорагирӣ кунанд. .
Манбаъ: will.com