由於錯誤的 BGP 公告超過 8800 個外部網絡前綴 通過 Rostelecom 網絡,導致短期路由崩潰、網絡連接中斷以及世界各地某些服務的訪問問題。 問題 主要互聯網公司和內容交付網絡擁有的 200 多個自治系統,包括 Akamai、Cloudflare、Digital Ocean、Amazon AWS、Hetzner、Level3、Facebook、阿里巴巴和 Linode。
該錯誤公告由 Rostelecom (AS12389) 於 1 月 22 日 28:20764 (MSK) 發布,隨後提供商 Rascom (AS174) 發現了該消息,並沿著鏈條進一步傳播到 Cogent (AS3) 和 Level3356 (ASXNUMX),其領域幾乎涵蓋了所有一級互聯網提供商(). BGP及時向Rostelecom通報了該問題,因此該事件持續了大約10分鐘(根據 觀察效果約一個小時)。
這並不是第一起與 Rostelecom 方面的錯誤相關的事件。 2017 年,通過 Rostelecom 5-7 分鐘內 最大的銀行和金融服務網絡,包括 Visa 和 MasterCard。 顯然,在這兩起事件中,問題的根源 與流量管理相關的工作,例如,在組織內部監控、優先級或鏡像某些服務以及經過Rostelecom的CDN流量時可能會發生路由洩漏(由於XNUMX月底大量在家工作導致網絡負載增加) 降低外國服務流量優先級以支持國內資源的問題)。 例如,幾年前在巴基斯坦,一次嘗試 YouTube 子網連接到空接口導致這些子網出現在 BGP 公告中,並將所有 YouTube 流量排到巴基斯坦。
有趣的是,在 Rostelecom 事件發生的前一天,來自聖路易斯市的一家小型提供商“New Reality”(AS50048) 通過 Transtelecom 是 2658 個前綴影響 Orange、Akamai、Rostelecom 以及 300 多家公司的網絡。 路由洩漏導致了幾波持續幾分鐘的流量重定向。 在高峰期,該問題覆蓋了多達 13.5 萬個 IP 地址。 由於 Transtelecom 對每個客戶使用了路線限制,避免了明顯的全球中斷。
全球網絡上也發生過類似事件 並將持續到普遍實施為止 基於 RPKI(BGP 起源驗證)的 BGP 公告,僅允許接收來自網絡所有者的公告。 在不使用授權的情況下,任何運營商都可以使用有關路由長度的虛構信息來通告子網,並啟動來自不應用通告過濾的其他系統的部分流量通過其本身的傳輸。
與此同時,在所考慮的事件中,使用 RIPE RPKI 存儲庫進行的檢查結果是 。 巧合的是,在Rostelecom的BGP路由洩露前三個小時,在更新RIPE軟件的過程中, 4100 ROA 記錄(RPKI 路由始發地授權)。 數據庫直到 2 月 7 日才恢復,對於 RIPE 客戶端來說,檢查一直無法進行(該問題並未影響其他註冊商的 RPKI 存儲庫)。 今天 RIPE 在 XNUMX 小時內有新問題和 RPKI 存儲庫 .
基於註冊表的過濾也可以用作阻止洩漏的解決方案 (互聯網路由註冊),它定義了允許給定前綴路由的自治系統。 與小型運營商交互時,您可以限制 EBGP 會話可接受的前綴的最大數量(最大前綴設置),以減少人為錯誤的後果。
在大多數情況下,事件是隨機人員錯誤造成的,但最近也出現了有針對性的攻擊,攻擊者通過破壞提供商的基礎設施 и 流量為 通過組織特定站點的 MiTM 攻擊來替換 DNS 響應。
為了讓在此類攻擊期間獲取 TLS 證書變得更加困難,Let's Encrypt 證書頒發機構 使用不同子網進行多站點域檢查。 要繞過此檢查,攻擊者需要同時為具有不同上行鏈路的多個提供商自治系統實現路由重定向,這比重定向單個路由要困難得多。
來源: opennet.ru