Bi abajade ikede BGP aṣiṣe, diẹ sii ju awọn ami-iṣaaju nẹtiwọọki ajeji 8800 nipasẹ awọn Rostelecom nẹtiwọki, eyi ti yori si a kukuru-oro Collapse ti afisona, idalọwọduro ti nẹtiwọki Asopọmọra ati awọn iṣoro pẹlu wiwọle si diẹ ninu awọn iṣẹ ni ayika agbaye. Isoro diẹ ẹ sii ju awọn ọna ṣiṣe adase 200 ti awọn ile-iṣẹ Intanẹẹti pataki ati awọn nẹtiwọọki ifijiṣẹ akoonu, pẹlu Akamai, Cloudflare, Digital Ocean, Amazon AWS, Hetzner, Level3, Facebook, Alibaba ati Lindode.
Ikede aṣiṣe jẹ nipasẹ Rostelecom (AS12389) ni Oṣu Kẹrin Ọjọ 1 ni 22: 28 (MSK), lẹhinna o ti gbe nipasẹ olupese Rascom (AS20764) ati siwaju pẹlu pq ti o tan si Cogent (AS174) ati Level3 (AS3356) , aaye eyiti o bo fere gbogbo awọn olupese Intanẹẹti ni ipele akọkọ (). BGP leti lẹsẹkẹsẹ fun Rostelecom nipa iṣoro naa, nitori naa iṣẹlẹ naa gba to iṣẹju mẹwa 10 (gẹgẹ bi A ṣe akiyesi ipa naa fun bii wakati kan).
Eyi kii ṣe iṣẹlẹ akọkọ ti o kan aṣiṣe ni ẹgbẹ Rostelecom. Ni ọdun 2017 laarin awọn iṣẹju 5-7 nipasẹ Rostelecom awọn nẹtiwọki ti awọn banki ti o tobi julọ ati awọn iṣẹ inawo, pẹlu Visa ati MasterCard. Ninu awọn iṣẹlẹ mejeeji, orisun iṣoro naa han lati jẹ iṣẹ ti o ni ibatan si iṣakoso ijabọ, fun apẹẹrẹ, jijo awọn ipa-ọna le waye nigbati o ba ṣeto ibojuwo inu, iṣaju tabi digi ti ijabọ ti n kọja nipasẹ Rostelecom fun awọn iṣẹ kan ati CDN (nitori ilosoke ninu fifuye nẹtiwọọki nitori iṣẹ pipọ lati ile ni ipari Oṣu Kẹta oro ti sokale ayo fun ijabọ ti awọn ajeji awọn iṣẹ ni ojurere ti abele oro). Fun apẹẹrẹ, ni ọpọlọpọ ọdun sẹyin igbiyanju kan ṣe ni Pakistan Awọn subnets YouTube lori wiwo asan yori si hihan ti awọn subnets wọnyi ni awọn ikede BGP ati ṣiṣan gbogbo awọn ijabọ YouTube si Pakistan.
O jẹ iyanilenu pe ọjọ ṣaaju iṣẹlẹ naa pẹlu Rostelecom, olupese kekere “Otito Tuntun” (AS50048) lati ilu naa. nipasẹ Transtelecom o jẹ Awọn asọtẹlẹ 2658 ti o kan Orange, Akamai, Rostelecom ati awọn nẹtiwọọki ti o ju awọn ile-iṣẹ 300 lọ. Iṣiṣi ipa ọna yorisi ọpọlọpọ awọn igbi ti awọn àtúnjúwe ijabọ ti o to iṣẹju pupọ. Ni tente oke rẹ, iṣoro naa kan to awọn adiresi IP 13.5 milionu. Idalọwọduro agbaye ti o ṣe akiyesi ni a yago fun ọpẹ si lilo Transtelecom ti awọn ihamọ ipa-ọna fun alabara kọọkan.
Iru awọn iṣẹlẹ waye lori Intanẹẹti ati pe yoo tẹsiwaju titi ti wọn yoo fi ṣe imuse nibi gbogbo Awọn ikede BGP ti o da lori RPKI (Afọwọsi Ibẹrẹ BGP), gbigba gbigba awọn ikede nikan lati ọdọ awọn oniwun nẹtiwọọki. Laisi aṣẹ, eyikeyi oniṣẹ le polowo subnet kan pẹlu alaye asan nipa gigun ipa ọna ati bẹrẹ irekọja nipasẹ ara rẹ ti apakan ijabọ lati awọn ọna ṣiṣe miiran ti ko lo sisẹ ipolowo.
Ni akoko kanna, ninu iṣẹlẹ ti o wa labẹ ero, ayẹwo kan nipa lilo ibi ipamọ RIPE RPKI ti jade lati jẹ. . Nipa lasan, wakati mẹta ṣaaju jijo ti ipa ọna BGP ni Rostelecom, lakoko ilana ti imudojuiwọn sọfitiwia RIPE, 4100 ROA igbasilẹ (RPKI Route Oti ašẹ). A mu data data pada nikan ni Oṣu Kẹrin Ọjọ 2, ati ni gbogbo akoko yii ayẹwo ko ṣiṣẹ fun awọn alabara RIPE (iṣoro naa ko kan awọn ibi ipamọ RPKI ti awọn iforukọsilẹ miiran). Loni RIPE ni awọn iṣoro tuntun ati ibi ipamọ RPKI laarin awọn wakati 7 .
Sisẹ orisun iforukọsilẹ le tun ṣee lo bi ojutu kan lati dènà awọn n jo (Igbasilẹ Iforukọsilẹ Intanẹẹti), eyiti o ṣalaye awọn eto adase nipasẹ eyiti a gba laaye ipa-ọna ti awọn ami-iṣaaju pato. Nigbati o ba n ṣepọ pẹlu awọn oniṣẹ kekere, lati dinku ipa ti awọn aṣiṣe eniyan, o le ṣe idinwo nọmba ti o pọju ti awọn ami-iṣaaju ti o gba fun awọn akoko EBGP (eto-iṣaaju ti o pọju).
Ni ọpọlọpọ awọn ọran, awọn iṣẹlẹ jẹ abajade ti awọn aṣiṣe eniyan lairotẹlẹ, ṣugbọn laipẹ awọn ikọlu tun ti wa, lakoko eyiti awọn ikọlu ṣe adehun awọn amayederun ti awọn olupese. и ijabọ fun awọn aaye kan pato nipasẹ siseto ikọlu MiTM kan lati rọpo awọn idahun DNS.
Lati jẹ ki o nira diẹ sii lati gba awọn iwe-ẹri TLS lakoko iru awọn ikọlu, aṣẹ ijẹrisi Jẹ ki a Encrypt to olona-ipo ašẹ yiyewo lilo o yatọ si subnets. Lati fori ayẹwo yii, ikọlu yoo nilo lati ṣaṣeyọri atunṣe ipa-ọna nigbakanna fun ọpọlọpọ awọn ọna ṣiṣe adase ti awọn olupese pẹlu awọn ọna asopọ oriṣiriṣi, eyiti o nira pupọ ju ṣiṣatunṣe ipa-ọna kan.
orisun: opennet.ru