Дар натиҷаи эълони нодурусти BGP, зиёда аз 8800 префикси шабакаи хориҷӣ тавассути шабакаи Ростелеком, ки боиси суқути кӯтоҳмуддати масир, қатъи пайвасти шабака ва мушкилоти дастрасӣ ба баъзе хидматҳо дар саросари ҷаҳон гардид. Мушкилот зиёда аз 200 системаҳои мустақил, ки ба ширкатҳои бузурги интернетӣ ва шабакаҳои интиқоли мундариҷа тааллуқ доранд, аз ҷумла Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba ва Linode.
Эълони хато аз ҷониби Ростелеком (AS12389) рӯзи 1 апрел соати 22:28 (MSK) дода шуда буд, пас он аз ҷониби провайдери Rascom (AS20764) гирифта шуд ва минбаъд дар занҷир ба Cogent (AS174) ва Level3 (AS3356) паҳн шуд. , ки майдони он қариб ҳамаи провайдерҳои интернетии дараҷаи аввалро фаро гирифтааст (). BGP фавран Ростелекомро дар бораи мушкилот огоҳ кард, бинобар ин ҳодиса тақрибан 10 дақиқа давом кард (тибқи маълумоти таъсири тақрибан як соат мушоҳида шуд).
Ин аввалин ҳодисаи марбут ба иштибоҳ дар ҷониби Ростелеком нест. Дар соли 2017 дар давоми 5-7 дақиқа тавассути Ростелеком шабакаҳои бузургтарин бонкҳо ва хадамоти молиявӣ, аз ҷумла Visa ва MasterCard. Дар ҳарду ҳодиса, манбаи мушкилот ба назар мерасад корҳое, ки ба идоракунии трафик вобастаанд, масалан, ихроҷи хатсайрҳо метавонад ҳангоми ташкили мониторинги дохилӣ, афзалият додан ё инъикоси трафики тавассути Ростелеком барои баъзе хидматҳо ва CDN-ҳо (аз сабаби зиёд шудани сарбории шабака бо сабаби кори оммавӣ аз хона дар охири рӯз) рух диҳад. март масъалаи паст кардани афзалияти трафики хизматрасониҳои хориҷӣ ба фоидаи захираҳои дохилӣ). Масалан, чанд сол пеш дар Покистон кушише карда шуд Зершабакаҳои YouTube дар интерфейси нул боиси пайдо шудани ин зершабакаҳо дар эълонҳои BGP ва ҷараёни тамоми трафики YouTube ба Покистон шуданд.
Ҷолиб он аст, ки як рӯз пеш аз ҳодиса бо Ростелеком, провайдери хурди "Нав воқеият" (AS50048) аз шаҳр. тавассути Transtelecom буд 2658 префикс, ки ба Orange, Akamai, Rostelecom ва шабакаҳои беш аз 300 ширкат таъсир мерасонанд. Ихроҷи масир боиси чанд мавҷи масирҳои ҳаракати нақлиёт гардид, ки чанд дақиқа тӯл мекашанд. Дар авҷи худ, мушкилот то ба 13.5 миллион суроғаҳои IP таъсир расонд. Ба шарофати истифодаи Транстелеком маҳдудиятҳои масир барои ҳар як муштарӣ аз халалдоршавии назарраси ҷаҳонӣ пешгирӣ карда шуд.
Чунин ҳодисаҳо дар Интернет низ рух медиҳанд ва то даме ки онхо дар хама чо ба амал бароварда шаванд, давом мекунад Эълонҳои BGP дар асоси RPKI (BGP Origin Validation) имкон медиҳанд, ки эълонҳоро танҳо аз соҳибони шабака қабул кунанд. Бе иҷозат, ҳар як оператор метавонад зершабақаро бо маълумоти бардурӯғ дар бораи дарозии масир таблиғ кунад ва транзити як қисми трафикро аз системаҳои дигар, ки филтркунии таблиғро татбиқ намекунанд, оғоз кунад.
Ҳамзамон, дар ҳодисаи баррасӣшуда, чек бо истифода аз анбори RIPE RPKI маълум шуд. . Тасодуфан, се соат пеш аз ихроҷи масири BGP дар Ростелеком, ҳангоми навсозии нармафзори RIPE, 4100 сабти ROA (Authorization Route Origin RPKI). Махзани маълумот танҳо 2 апрел барқарор карда шуд ва дар тӯли ин муддат чек барои муштариёни RIPE корношоям буд (мушкилот ба анбори RPKI-и дигар бақайдгирандагон таъсир нарасонд). Имрӯз RIPE дорои мушкилоти нав ва анбори RPKI дар давоми 7 соат аст .
Филтр дар асоси реестр инчунин метавонад ҳамчун роҳи ҳалли бастани ихроҷ истифода шавад (Рестри масирҳои интернетӣ), ки системаҳои мустақилро муайян мекунад, ки тавассути онҳо масир кардани префиксҳои муайян иҷозат дода мешавад. Ҳангоми муошират бо операторҳои хурд, барои кам кардани таъсири хатогиҳои инсонӣ, шумо метавонед шумораи ниҳоии пешояндҳои қабулшударо барои сессияҳои EBGP маҳдуд кунед (танзими максималии префикс).
Дар бештари ҳолатҳо, ҳодисаҳо натиҷаи хатогиҳои тасодуфии кадрҳо мебошанд, аммо вақтҳои охир ҳамлаҳои мақсаднок низ ба назар мерасанд, ки дар ҷараёни он ҳамлагарон инфрасохтори провайдерҳоро зери хатар мегузоранд. и ҳаракати нақлиёт барои сайтҳои мушаххас тавассути ташкили ҳамлаи MiTM барои иваз кардани посухҳои DNS.
Барои душвортар кардани гирифтани шаҳодатномаҳои TLS ҳангоми чунин ҳамлаҳо, мақомоти сертификатсияи Let's Encrypt ба тафтиши доменҳои бисёр мавқеъ бо истифода аз зершабакаҳои гуногун. Барои гузаштан аз ин санҷиш, ҳамлакунанда бояд ҳамзамон ба масир барои якчанд системаҳои мустақили провайдерҳо бо пайвандҳои гуногун ноил шавад, ки ин нисбат ба масир ба як масир хеле мушкилтар аст.
Манбаъ: opennet.ru