Bilang resulta ng maling anunsyo ng BGP, higit sa 8800 foreign network prefix sa pamamagitan ng network ng Rostelecom, na humantong sa isang panandaliang pagbagsak ng pagruruta, pagkagambala sa pagkakakonekta ng network at mga problema sa pag-access sa ilang mga serbisyo sa buong mundo. Problema higit sa 200 mga autonomous system na pagmamay-ari ng mga pangunahing kumpanya sa Internet at mga network ng paghahatid ng nilalaman, kabilang ang Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba at Linode.
Ang maling anunsyo ay ginawa ng Rostelecom (AS12389) noong Abril 1 sa 22:28 (MSK), pagkatapos ay kinuha ng Rascom provider (AS20764) at higit pa sa kahabaan ng chain na kumalat sa Cogent (AS174) at Level3 (AS3356), ang larangan na sumasaklaw sa halos lahat ng mga tagapagbigay ng Internet sa unang antas (). Kaagad na inabisuhan ng BGP ang Rostelecom tungkol sa problema, kaya tumagal ang insidente ng mga 10 minuto (ayon sa ang mga epekto ay naobserbahan nang halos isang oras).
Hindi ito ang unang insidente na kinasasangkutan ng isang error sa panig ng Rostelecom. Sa 2017 sa loob ng 5-7 minuto sa pamamagitan ng Rostelecom mga network ng pinakamalalaking bangko at serbisyong pinansyal, kabilang ang Visa at MasterCard. Sa parehong mga insidente, lumilitaw na ang pinagmulan ng problema gawaing nauugnay sa pamamahala ng trapiko, halimbawa, ang pagtagas ng mga ruta ay maaaring mangyari kapag nag-oorganisa ng panloob na pagsubaybay, pag-prioritize o pag-mirror ng trapiko na dumadaan sa Rostelecom para sa ilang partikular na serbisyo at CDN (dahil sa pagtaas ng network load dahil sa mass work from home sa pagtatapos ng Marso ang isyu ng pagpapababa ng priyoridad para sa trapiko ng mga dayuhang serbisyo sa pabor sa mga mapagkukunang lokal). Halimbawa, ilang taon na ang nakalipas isang pagtatangka ang ginawa sa Pakistan Ang mga subnet ng YouTube sa null interface ay humantong sa paglitaw ng mga subnet na ito sa mga anunsyo ng BGP at ang daloy ng lahat ng trapiko sa YouTube sa Pakistan.
Ito ay kagiliw-giliw na ang araw bago ang insidente sa Rostelecom, ang maliit na provider na "Bagong Reality" (AS50048) mula sa lungsod. sa pamamagitan ng Transtelecom noon 2658 prefix na nakakaapekto sa Orange, Akamai, Rostelecom at sa mga network ng higit sa 300 kumpanya. Ang pagtagas ng ruta ay nagresulta sa ilang mga pag-redirect ng trapiko na tumagal ng ilang minuto. Sa kasagsagan nito, naapektuhan ng problema ang hanggang 13.5 milyong IP address. Naiwasan ang isang kapansin-pansing pandaigdigang pagkagambala salamat sa paggamit ng Transtelecom ng mga paghihigpit sa ruta para sa bawat kliyente.
Ang mga katulad na insidente ay nangyayari sa Internet at magpapatuloy hanggang sa maipatupad ang mga ito sa lahat ng dako Mga anunsyo ng BGP batay sa RPKI (BGP Origin Validation), na nagpapahintulot sa pagtanggap ng mga anunsyo mula lamang sa mga may-ari ng network. Nang walang awtorisasyon, maaaring mag-advertise ang sinumang operator ng subnet na may gawa-gawang impormasyon tungkol sa haba ng ruta at simulan ang transit sa sarili nitong bahagi ng trapiko mula sa ibang mga system na hindi naglalapat ng pag-filter ng ad.
Kasabay nito, sa insidenteng isinasaalang-alang, ang isang tseke gamit ang RIPE RPKI repository ay naging . Sa pamamagitan ng pagkakataon, tatlong oras bago ang pagtagas ng ruta ng BGP sa Rostelecom, sa panahon ng proseso ng pag-update ng RIPE software, 4100 ROA records (RPKI Route Origin Authorization). Ang database ay naibalik lamang noong Abril 2, at sa lahat ng oras na ito ang tseke ay hindi mapapatakbo para sa mga kliyente ng RIPE (ang problema ay hindi nakakaapekto sa mga repositoryo ng RPKI ng iba pang mga registrar). Ngayon ang RIPE ay may mga bagong problema at RPKI repository sa loob ng 7 oras .
Ang pag-filter na nakabatay sa rehistro ay maaari ding gamitin bilang isang solusyon upang harangan ang mga pagtagas (Internet Routing Registry), na tumutukoy sa mga autonomous system kung saan pinapayagan ang pagruruta ng mga tinukoy na prefix. Kapag nakikipag-ugnayan sa maliliit na operator, upang mabawasan ang epekto ng mga error ng tao, maaari mong limitahan ang maximum na bilang ng mga tinatanggap na prefix para sa mga session ng EBGP (ang setting ng maximum-prefix).
Sa karamihan ng mga kaso, ang mga insidente ay resulta ng mga hindi sinasadyang pagkakamali ng mga tauhan, ngunit kamakailan ay mayroon ding mga naka-target na pag-atake, kung saan ang mga umaatake ay nakompromiso ang imprastraktura ng mga provider. ΠΈ trapiko para sa mga partikular na site sa pamamagitan ng pag-aayos ng pag-atake ng MiTM upang palitan ang mga tugon ng DNS.
Upang gawing mas mahirap ang pagkuha ng mga TLS certificate sa panahon ng naturang mga pag-atake, ang Let's Encrypt certificate authority sa multi-position domain checking gamit ang iba't ibang subnet. Upang ma-bypass ang pagsusuring ito, kakailanganin ng isang attacker na magkasabay na makamit ang pag-redirect ng ruta para sa ilang mga autonomous system ng mga provider na may iba't ibang mga uplink, na mas mahirap kaysa sa pag-redirect ng isang ruta.
Pinagmulan: opennet.ru