จากการประกาศผิดพลาดของ BGP ทำให้มีคำนำหน้าเครือข่ายต่างประเทศมากกว่า 8800 รายการ ผ่านเครือข่าย Rostelecom ซึ่งนำไปสู่การล่มสลายของเส้นทางในระยะสั้น การเชื่อมต่อเครือข่ายหยุดชะงัก และปัญหาในการเข้าถึงบริการบางอย่างทั่วโลก ปัญหา ระบบอัตโนมัติมากกว่า 200 ระบบที่บริษัทอินเทอร์เน็ตรายใหญ่และเครือข่ายการจัดส่งเนื้อหาเป็นเจ้าของ รวมถึง Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba และ Linode
การประกาศที่ผิดพลาดเกิดขึ้นโดย Rostelecom (AS12389) เมื่อวันที่ 1 เมษายน เวลา 22:28 น. (MSK) จากนั้นผู้ให้บริการ Rascom (AS20764) มารับไป และขยายต่อไปตามห่วงโซ่ที่แพร่กระจายไปยัง Cogent (AS174) และระดับ 3 (AS3356) ซึ่งครอบคลุมผู้ให้บริการอินเทอร์เน็ตระดับแรกเกือบทั้งหมด (). BGP แจ้งปัญหาให้ Rostelecom ทราบทันที เหตุการณ์จึงกินเวลาประมาณ 10 นาที (ตามข้อมูลของ สังเกตผลกระทบได้ประมาณหนึ่งชั่วโมง)
นี่ไม่ใช่เหตุการณ์แรกที่เกี่ยวข้องกับข้อผิดพลาดในฝั่งของ Rostelecom ในปี 2017 ภายใน 5-7 นาทีผ่าน Rostelecom เครือข่ายของธนาคารที่ใหญ่ที่สุดและบริการทางการเงิน รวมถึง Visa และ MasterCard ในทั้งสองเหตุการณ์ดูเหมือนว่าสาเหตุของปัญหาคือ งานที่เกี่ยวข้องกับการจัดการจราจร เช่น การรั่วไหลของเส้นทางอาจเกิดขึ้นเมื่อจัดระเบียบการตรวจสอบภายใน การจัดลำดับความสำคัญ หรือการสะท้อนการรับส่งข้อมูลผ่าน Rostelecom สำหรับบริการบางอย่างและ CDN (เนื่องจากภาระเครือข่ายเพิ่มขึ้นเนื่องจากการทำงานจำนวนมากจากที่บ้านเมื่อสิ้นสุด มีนาคม ปัญหาการลดลำดับความสำคัญของการรับส่งข้อมูลบริการจากต่างประเทศเพื่อสนับสนุนทรัพยากรภายในประเทศ) ตัวอย่างเช่น เมื่อหลายปีก่อนมีความพยายามเกิดขึ้นในปากีสถาน ซับเน็ตของ YouTube บนอินเทอร์เฟซแบบว่างทำให้เกิดการปรากฏของซับเน็ตเหล่านี้ในประกาศ BGP และกระแสการรับส่งข้อมูลของ YouTube ทั้งหมดไปยังปากีสถาน
เป็นที่น่าสนใจว่าวันก่อนเกิดเหตุกับ Rostelecom ผู้ให้บริการรายเล็ก “New Reality” (AS50048) จากเมือง ผ่าน Transtelecom มันเป็น 2658 คำนำหน้าส่งผลกระทบต่อ Orange, Akamai, Rostelecom และเครือข่ายของบริษัทมากกว่า 300 แห่ง การรั่วไหลของเส้นทางส่งผลให้เกิดการเปลี่ยนเส้นทางการจราจรหลายระลอกเป็นเวลานานหลายนาที เมื่อถึงจุดสูงสุด ปัญหาดังกล่าวส่งผลกระทบต่อที่อยู่ IP มากถึง 13.5 ล้านที่อยู่ การหยุดชะงักทั่วโลกที่เห็นได้ชัดเจนสามารถหลีกเลี่ยงได้เนื่องจากการใช้ข้อจำกัดเส้นทางของ Transtelecom สำหรับลูกค้าแต่ละราย
เหตุการณ์ที่คล้ายกันนี้เกิดขึ้นบนอินเทอร์เน็ต และจะดำเนินต่อไปจนกว่าจะมีการปฏิบัติทุกที่ ประกาศ BGP ตาม RPKI (การตรวจสอบแหล่งกำเนิด BGP) ช่วยให้สามารถรับประกาศจากเจ้าของเครือข่ายเท่านั้น โดยไม่ได้รับอนุญาต ผู้ดำเนินการใดๆ สามารถโฆษณาเครือข่ายย่อยด้วยข้อมูลสมมติเกี่ยวกับความยาวเส้นทาง และเริ่มการขนส่งผ่านตัวมันเองของส่วนหนึ่งของการรับส่งข้อมูลจากระบบอื่นที่ไม่ใช้การกรองโฆษณา
ในเวลาเดียวกัน ในเหตุการณ์ที่อยู่ระหว่างการพิจารณา การตรวจสอบโดยใช้พื้นที่เก็บข้อมูล RIPE RPKI กลับกลายเป็นว่า . โดยบังเอิญสามชั่วโมงก่อนการรั่วไหลของเส้นทาง BGP ใน Rostelecom ระหว่างกระบวนการอัปเดตซอฟต์แวร์ RIPE บันทึก ROA 4100 รายการ (การอนุญาตแหล่งกำเนิดเส้นทาง RPKI) ฐานข้อมูลได้รับการกู้คืนเฉพาะในวันที่ 2 เมษายนและตลอดเวลานี้การตรวจสอบไม่สามารถใช้งานได้สำหรับไคลเอนต์ RIPE (ปัญหาไม่ส่งผลกระทบต่อที่เก็บ RPKI ของผู้รับจดทะเบียนรายอื่น) วันนี้ RIPE มีปัญหาใหม่และคลัง RPKI ภายใน 7 ชั่วโมง .
การกรองตามรีจิสทรีสามารถใช้เป็นวิธีแก้ปัญหาเพื่อป้องกันการรั่วไหลได้ (Internet Routing Registry) ซึ่งกำหนดระบบอัตโนมัติที่อนุญาตให้กำหนดเส้นทางของคำนำหน้าที่ระบุได้ เมื่อโต้ตอบกับโอเปอเรเตอร์ขนาดเล็ก เพื่อลดผลกระทบจากข้อผิดพลาดของมนุษย์ คุณสามารถจำกัดจำนวนคำนำหน้าสูงสุดที่ยอมรับสำหรับเซสชัน EBGP (การตั้งค่าคำนำหน้าสูงสุด)
ในกรณีส่วนใหญ่ เหตุการณ์ต่างๆ เป็นผลมาจากข้อผิดพลาดของบุคลากรโดยไม่ได้ตั้งใจ แต่เมื่อเร็วๆ นี้ก็มีการโจมตีแบบกำหนดเป้าหมายเช่นกัน ในระหว่างที่ผู้โจมตีโจมตีโครงสร้างพื้นฐานของผู้ให้บริการ и การจราจรสำหรับ ไซต์เฉพาะผ่านการจัดระเบียบการโจมตี MiTM เพื่อแทนที่การตอบสนอง DNS
เพื่อให้ยากขึ้นในการรับใบรับรอง TLS ในระหว่างการโจมตีดังกล่าว Let's Encrypt ผู้ออกใบรับรอง เพื่อตรวจสอบโดเมนหลายตำแหน่งโดยใช้เครือข่ายย่อยที่แตกต่างกัน เพื่อหลีกเลี่ยงการตรวจสอบนี้ ผู้โจมตีจะต้องบรรลุการเปลี่ยนเส้นทางเส้นทางสำหรับระบบอัตโนมัติหลายระบบของผู้ให้บริการที่มีอัปลิงก์ต่างกันไปพร้อมๆ กัน ซึ่งยากกว่าการเปลี่ยนเส้นทางเส้นทางเดียวมาก
ที่มา: opennet.ru