Как настроить префикс ростелеком
Обновлено: 21.11.2024
На прошлой неделе «Ростелеком», один из крупнейших в России частично государственных интернет-провайдеров, обнародовал десятки маршрутов, относящихся к IP-адресам, принадлежащим крупным финансовым компаниям. Эта утечка маршрута перенаправляла интернет-трафик, предназначенный для этих финансовых компаний, на Ростелком, поскольку некоторые маршрутизаторы в Интернете решили, что новые, утекшие маршруты предпочтительнее законных.
После многочисленных запросов от наших клиентов, некоторые из которых пострадали от этого события, мы решили добавить некоторые дополнительные сведения. Что наиболее важно, затронутые префиксы (диапазоны IP-адресов) не только принадлежали компаниям, предоставляющим финансовые услуги, но также включали префиксы, на которых размещены критически важные службы электронной коммерции и платежей. И дело не только в утечке маршрутов, мы также можем подтвердить, что трафик проходил через сеть Ростелеком по пути к намеченным адресатам.
Хотя трудно подтвердить, что утечка маршрутов к Интернету была преднамеренной (например, для проверки трафика, который должен направляться в сети компаний, предоставляющих финансовые услуги), целенаправленный выбор услуг электронной коммерции, по-видимому, не был совпадение.
Влияние на услуги электронной коммерции
Что особенно интригует в этой утечке маршрута, так это набор затронутых служб, которые используют префиксы или диапазоны IP-адресов, которые были обнаружены. Мы выполнили обратный поиск DNS для затронутых префиксов, чтобы определить, какие домены и службы были затронуты.
Включая затронутые службы:
- SecureCode Mastercard, Smart Data и MasterPass
- Проверено Visa и CardinalCommerce, принадлежащей Visa
- Symantec WebSecurity и Geotrust
- Почтовые серверы RSA
- Сайты банковских услуг в Интернете для французских банков BNP Paribas и CIT и польского банка Zachodni, принадлежащих Сантандеру
- Торговые и депозитарные сайты для HSBC и MoneyPort от MUFG
- Обработка платежей для услуг EPS и PPS HSBC, CardCenter UBS, Redsys и Atos Worldline
Некоторые из этих сервисов составляют основу инфраструктуры онлайн-платежей. SecureCode и Verified by Visa, например, аутентифицируют держателей карт во время покупки в электронной коммерции, чтобы уменьшить мошенничество. Компания Symantec GeoTrust – это крупный поставщик цифровых сертификатов для шифрования TLS/SSL, который, среди прочего, обеспечивает безопасность платежного трафика.
Независимо от того, была ли эта утечка маршрута преднамеренной или нет, выбор префиксов кажется очень преднамеренным и предполагает, что Ростелеком пытался направить платежный трафик электронной коммерции по крайней мере в свою собственную сеть.
Утечка маршрута Ростелекома
Вечером в среду, 26 апреля, с 22:36–22:43 UTC (15:36–15:43 по тихоокеанскому времени) «Ростелеком» создал 137 префиксов для выхода в Интернет через партнеров, таких как Telecom Italia, Telstra, Hurricane Electric, KDDI, Cogent, Telia и Tata. Из этих 137 префиксов примерно 100 принадлежат организациям в России и, как таковые, вероятно, являются частью нормальной работы сети. Однако 36 префиксов принадлежали таким компаниям, как Symantec, Visa, Mastercard, BNP Paribas и EMC. Эти цифры согласуются с отчетом BGPmon об этом событии.
В течение 7 минут трафик, предназначенный для услуг электронной коммерции и обработки платежей, предоставляемых этими финансовыми компаниями, а также для служб веб-безопасности и интернет-безопасности, был перенаправлен в сеть Ростелеком. Утечка маршрута затронула большую часть интернет-трафика, но не всю, поскольку не все сети принимали или предпочитали маршруты Ростелекома законным.
Что такое утечки маршрутов?
Интернет-трафик доставляется по назначению, представленному IP-адресом, после прохождения через серию сетей, называемых автономными системами. Эти автономные системы (АС) представляют собой сети таких компаний, как Comcast, Verizon, GE или Coca-Cola. Каждая AS имеет диапазоны IP-адресов, называемых префиксами, которые зарегистрированы в этой организации. Чтобы помочь маршрутизаторам в Интернете определить, через какую AS должен проходить трафик, протокол пограничного шлюза (BGP) используется для передачи новых или измененных маршрутов для каждого префикса.
Утечки маршрутов происходят, когда AS объявляет незаконные маршруты случайно или намеренно. Маршруты могут быть нелегитимными, если:
- AS-угонщик утверждает, что является источником префикса, хотя это не так (как в данном случае с Ростелекомом)
- AS-угонщик объявляет новый, более конкретный префикс, который предпочтут маршрутизаторы.
- AS-угонщик объявляет более короткий путь AS, чем существует на самом деле, что делает его маршруты предпочтительными.
В каждом случае интернет-трафик можно направить на нарушившую AS, что позволит ей проверить трафик или отказать в обслуживании.
Анатомия утечки маршрута
Давайте посмотрим, что на самом деле показывают данные об этой утечке маршрута.ThousandEyes собирает информацию о маршрутизации из более чем сотни точек наблюдения (мы называем их мониторами маршрутов) в Интернете.
На рис. 1 показаны маршруты из подмножества этих точек обзора. Визуализация маршрутов BGP показывает, что Ростелеком (AS 12389) объявляет, а затем отзывает маршруты. Такие партнеры, как Cogent (AS 174), Hurricane Electric (AS 6939) и Tata (AS 6453), приняли эти маршруты и распространили их по Интернету. Мониторы маршрутов, выделенные оранжевым и красным цветом, были затронуты, в то время как те, что выделены зеленым, продолжали отправлять трафик в законную исходную сеть.
Рис. 1. Ростелеком (синий пунктирный кружок) объявил, а затем отозвал маршруты (красные пунктирные линии). Мониторы маршрутов (ромбы) в оранжевом и красном цветах
были затронуты, в то время как те, что в зеленом, продолжали отправлять трафик в законную исходную сеть (зеленый кружок).
Связь трафика с маршрутами
Данные ThousandEyes включают не только информацию о маршрутизации, но и путь трафика, по которому IP-пакеты проходят через Интернет, в представлении, называемом визуализацией пути. На рис. 2 видно, что трафик вошел в сеть Ростелеком, а затем вернулся обратно в сеть назначения, в данном случае через Cogent в Стокгольме. Но «Ростелеком» пропустил трафик через более чем 60 интерфейсов, что было либо непреднамеренной петлей маршрутизации, либо очень преднамеренной серией устройств для проверки трафика. Вы можете увидеть их как белые, не отвечающие интерфейсы в визуализации.
Рис. 2. Трафик из Торонто, предназначенный для затронутой службы электронной коммерции, поступает в сеть Ростелеком, проходит через
более 60 не отвечающих (белых) интерфейсов и возвращается обратно в сеть Cogent, а затем в сеть назначения.
Предупреждение и устранение утечек маршрутов
Утечки маршрутов вызывают особое беспокойство, поскольку оператор сети не может полностью контролировать распространение маршрутов в Интернете. Распространение маршрутов основано на доверии и зависит от предпочтений и политик, которые каждая сеть устанавливает для маршрутов, которые они принимают от одноранговых узлов и рекламируют себя.
В краткосрочной перспективе вы можете отслеживать утечку маршрутов с помощью сервисов, которыми вы управляете, или тех, на которые вы полагаетесь в критически важных операциях (например, платежный шлюз). В ThousandEyes можно обнаружить три типа перехвата маршрутов и утечек:
- Источником вашего префикса является другая сеть (хорошим примером является утечка из Ростелекома). Установите оповещение для Origin AS, которого нет в [Ваши ASN].
- Другая сеть создает более конкретный префикс в вашем адресном пространстве. Настройте оповещение для закрытого префикса [Существует] или закрытого префикса, которого нет в [Ваши префиксы].
- Другая сеть вставляет свой ASN в путь AS. Установите оповещение для ASN следующего перехода, которого нет в
Помимо предупреждений, вы можете выполнять такие действия, как обращение к вышестоящим интернет-провайдерам, объявление покрытых префиксов, объявление более предпочтительных маршрутов, изменение используемых вами IP-адресов или публикация ROA. Ознакомьтесь с нашими рекомендациями по борьбе с утечками и перехватами маршрутов, чтобы получить более подробную информацию, а также долгосрочные общие стратегии смягчения последствий, такие как фильтрация маршрутов, RPKI, RPSL, BGPSEC и TCP MD5.
Не пропустите наш предстоящий веб-семинар по обнаружению перехватов и утечек BGP, на котором мы поговорим о том, как диагностировать и предотвращать эти явления маршрутизации.
Ростелеком — крупнейшая российская компания, специализирующаяся на предоставлении телекоммуникационных услуг населению в виде местной и сотовой связи, интерактивного телевидения и широкополосного доступа в Интернет. В последнее время все большую популярность приобретает телевидение от Ростелеком.
Настройка приставки является обязательной частью использования данной услуги и в большинстве случаев вызывает у пользователей ряд трудностей. В этой статье мы рассмотрим, как настроить телевизионную приставку Ростелеком.
Настройка приставки Ростелеком
Настройка iptv приставки Ростелеком начинается с подключения всех проводов, подключив их к соответствующим разъемам. Далее настройка приставки Ростелеком происходит в несколько этапов.
Включение консоли
Ответ на вопрос, как настроить приставку Ростелеком, начинается с включения приставки:
Настройка приставки
Функции
Вот так выглядит инструкция по настройке iptv приставки Ростелеком.
Как настроить пульт от приставки Ростелеком
В комплекте с приставкой идет пульт от Ростелеком. Как настроить приставку? Ответ на этот вопрос был бы неполным без настройки пульта дистанционного управления.
По коду производителя:
Автоматический подбор:
- в одновременном режиме нажимаются ОК и TV, которые удерживаются пару секунд, пока светодиод на кнопке TV не мигнет два раза;
- введен код 991;
- нажата одна из кнопок переключения каналов. При этом пульт выбирает код из внутреннего списка, после нахождения которого телевизор автоматически выключается;
- после включения телевизора нажимается ОК для сохранения кода;
- при успешных действиях светодиод мигнет два раза.
Выше была изложена подробная инструкция, информирующая о том, как настроить приставку Ростелеком-ТВ. Исходя из этого, можно сделать вывод, что вопрос, как настроить приставку от Ростелеком, не сложен. Кроме того, использование данной приставки делает просмотр ТВ более удобным и функциональным.
Как купить Iphone 7 в 10 раз дешевле?
Месяц назад заказал копию iPhone 7, через 6 дней забрал по почте) И вот решил оставить отзыв!
Современные модели телевизоров оснащены большим количеством опций, позволяющих смотреть фильмы и передачи в максимально доступном качестве. Интерактивное телевидение — одна из самых популярных услуг, предлагаемых провайдером RTC. Приставка IPTV от Ростелеком приобретается в офисе компании вместе с договором на соответствующий тариф. При этом можно установить несколько приставок, что удобно в том случае, если в доме сразу несколько телевизоров. Как подключить приставку «Ростелеком» к телевизору и правильно ее настроить, описано ниже.
Содержание доставки
Приставка "Ростелеком" поставляется провайдером в следующей комплектации:
- Консоль.
- Электропитание. Он подключается к сети через розетку.
- Кабель Ethernet. Он подключается к модему, оптическому терминалу или маршрутизатору.
- Дистанционное управление от приставки «Ростелеком», позволяющее управлять телевизором.
- Кабель HDMI.
- Батарейки.
Как подключить приставку «Ростелеком»
Пакет интерактивного телевидения, предоставляемый провайдером РТК, включает в себя сотни каналов в высоком разрешении, коллекцию караоке, возможность проката фильмов и записи программ и фильмов. В офисе провайдера предоставляется приставка «Ростелеком», цена которой варьируется в зависимости от выбранного тарифа: «Стандарт» обойдется в 4 тысячи рублей, «Премиум» — в 8700 рублей. Подключение и оказание услуг осуществляется посредством оборудования, предоставляемого в офисе провайдера. Уточнить цену приставки «Ростелеком» можно на официальном сайте РТК, обратившись в офисы или связавшись с оператором.
Услуга активируется после покупки консоли и внесения платежей на счет абонента. Подключение приставки «Ростелеком» к телевизору может произвести как абонент, так и техник провайдера. Оборудование работает при наличии доступа в Интернет, силовых и соединительных кабелей и дистанционного управления.
В комплекте с приставкой "Ростелеком" поставляется все необходимое для ее работы. В руководстве пользователя указан комплект оборудования, которое необходимо проверить перед покупкой.
Схема подключения консоли
Приставка "Ростелеком" подключается с помощью кабеля HDMI к телевизору. Разъем LAN подключает Ethernet-кабель, соединяющий приставку с роутером. В комплекте с приставкой «Ростелеком» поставляется кабель питания, который подключается к сети.
Если на телевизоре нет разъема HDMI, подключение к IPTV-приставке осуществляется с помощью AV-адаптера. В комплект также входит специальный адаптер для разъема SCART.
Включение консоли
При платной и активированной услуге ТВ включается с помощью пульта дистанционного управления, а сама приставка "Ростелеком" - с пульта управления, идущего в комплекте. При правильном подключении ресивера к телевизору появляется экранная заставка и начинается процесс загрузки последней версии программного обеспечения. После завершения загрузки необходимо принять условия предложения. На экран выводится стартовое меню, которое указывает на готовность оборудования к работе. Все функции консоли отображаются в меню. На официальном сайте РТК вы можете прочитать о вариантах, преимуществах и недостатках каждого из них.
В зависимости от конкретного разъема, к которому была подключена приставка «Ростелеком», при работе с меню выбирается тип подключения.
Функции и дополнительные функции
Приставку IPTV «Ростелеком» можно одновременно подключить сразу к двум телевизорам. Делается это путем подключения ресивера к разным разъемам: AV и HDMI. Провода подходящей длины при недостаточной длине кабеля можно приобрести в любом магазине электроники.
Аналогичный вариант подключения отличается тем, что на обоих телевизорах будет транслироваться один и тот же канал. Если вам нужно транслировать разные каналы, то вам необходимо приобрести дополнительный комплект оборудования.
В руководстве пользователя подробно описано, как и куда лучше всего установить приставку и условия ее эксплуатации. Перед подключением ресивера желательно прочитать инструкцию и строго ей следовать - это продлит срок использования оборудования и поможет избежать затрат на ремонтные работы.
Подключить консоль к персональному компьютеру с помощью кабелей, идущих в комплекте, невозможно. При наличии подключения к услуге интерактивного телевидения достаточно скачать специальное программное обеспечение и ввести данные пользователя в поля регистрации. После этого будет открыт доступ практически ко всем каналам, транслируемым по ТВ.
"Ростелеком" предлагает своим клиентам удобную услугу - приложение "Веселье". Его можно скачать на компьютер, планшет или телефон. После введения данных пользователя доступ к телевидению будет открыт. Скачать необходимое приложение - достаточно зайти на страницу Забава и авторизоваться как клиент Ростелеком! На сайте вы можете смотреть фильмы и сериалы в высоком качестве.
Подключение второй приставки
Если в доме два телевизора, купите два комплекта оборудования, ведь подключение оборудования к одной приставке позволяет транслировать один и тот же канал на оба телевизора одновременно. Независимая трансляция возможна только с разных консолей.
Обе консоли можно подключить к одному роутеру, так как он имеет 4 выхода LAN. Например, первый телевизор можно подключить к первой приставке, которая подключена кабелем к порту LAN1, второй телевизор, соответственно, ко второй приставке и порту LAN2. Длины кабеля Ethernet, поставляемого в комплекте с оборудованием Ростелеком, может не хватить, поэтому желательно заранее приобрести провод подходящей длины.
Две одновременно работающие приставки требуют наличия хорошего интернет-соединения, т.к. используемый ими трафик увеличивается многократно, что может спровоцировать как помехи в трансляции, так и сбои интернета.
Устранение неполадок
В случае возникновения затруднений пользователь всегда может обратиться в службу технической поддержки Ростелеком по соответствующим номерам, указанным как на официальном сайте, так и в договоре, заключенном при оформлении услуги. Оператор может подсказать, как правильно подключить и настроить приставку «Ростелеком» и устранить неполадки. В случае неисправности оборудования или прекращения его эксплуатации специалисты не советуют пытаться ремонтировать его самостоятельно: желательно описать проблему оператору, который примет решение и, при необходимости, направит мастера по указанному адресу. указано, что устранит проблему.
Возможны сбои в работе приставки. Несмотря на то, что настройка всех каналов происходит автоматически, в некоторых случаях могут возникнуть проблемы. Появление синего экрана свидетельствует о неправильно выбранном разъеме для подключения. Бегущий кролик обычно сопровождает проблемы с прошивкой оборудования, его неправильным подключением или плохим контактом в разъеме. Такие неисправности проверяются проверкой оборудования и его перезагрузкой. Специалисты могут посоветовать заменить кабель HDMI на "тюльпан".
Если подключение корректное и правильный приставка транслирует не все каналы, входящие в пакет услуг, вероятно, абонент вовремя не оплатил абонентскую плату. Крайне редко встречаются технические сбои. В случае возникновения каких-либо неполадок желательно сразу же обращаться в техподдержку компании.
Дополнительный пакет
Одной из наиболее распространенных функций является поддержка TimeShift. Опция позволяет в любой момент приостановить и возобновить телетрансляцию.
Абонентам компании «Ростелеком» предоставляется 180 различных телеканалов. Префикс предлагает пользователям передачу на основе их интересов и предпочтений.
Также подписчики могут снимать фильмы в прокат. Выбрать и приобрести понравившиеся картинки можно вверху экрана с помощью пульта дистанционного управления.
Сброс настроек консоли
Улучшить качество и расширить функционал приставки «Ростелеком» можно посредством ее прошивки. Сбросить настройки просто: достаточно зайти в меню, выбрать пункт Def. Settings и подтвердите выбор Exit & Save. После этого все аппаратные настройки сбрасываются. Абонент может настроить префикс самостоятельно или с помощью специалиста компании. Процедура регулировки подробно описана в инструкции к оборудованию.
Возможности интерактивной приставки Wink
Особенности Винк Ростелеком включают в себя:
- префикс Wink может работать в двух стандартах (PAL/NTSC);
- устройство работает в 3D, в HD или в 4K, на частоте 60 кадров в секунду (то есть 2160p60 вместо 1080p60);
- приставка Винк Ростелеком работает на ОС Android, подходит практически ко всем современным SMART TV;
- приставка имеет видеовыход CVBS («тюльпаны», уже почти не используются), современный видео- и аудиовыход HDMI, выход на наушники (если они используют мини-джек) и порт USB Type 2.0 ;
- для выхода в интернет в комплектацию добавляется Ethernet-интерфейс RJ-45, который передает информацию со скоростью до 100 Мбит/с;
- для подключения интерактивной приставки к телевизору без проводов Wink Ростелеком оснащен датчиком Wi-Fi, поддерживающим все стандарты 802.11ac, 802.11b, 802.11g и 802.11n в диапазонах 2,4 ГГц и 5 ГГц .
Подмигивайте префикс Ростелеком А так же:
- Подключение к Wi-Fi.
- Более трехсот телеканалов, сотни игр и более трех тысяч фильмов, а также аудиокниги «Литерс» доступны на любом из подключенных устройств.
- Возможен просмотр в формате 4K и HD.
- К учетной записи можно подключить до пяти устройств.
- Есть каталог игр и приложений (обучающих и развлекательных), как в SMART TV.
- На основе ваших просмотров добавляются советы (рекомендации).
- Управление просмотром — запись передач, можно поставить фильм на паузу или перемотать.
- Лицей – лекции с преподавателями лучших общеобразовательных школ и институтов Российской Федерации.
- Караоке — каталог русских и зарубежных песен.
- Высокое качество графики в играх.
- Поддерживает огромное количество современных контроллеров и клавиатур.
- Нет необходимости приобретать специальный ПК, консоль и Smart TV.
- Виртуальный геймпад в приложениях Wink.
Приставка Ростелеком Комплектация:
- Дистанционное управление.
- Префикс.
- Кабель для цифрового подключения (HDMI).
- Кабель питания.
Гарантия – два года. Полный комплект приставки Винкс от Ростелеком
Как подключить приставку Ростелеком Wink к телевизору и настроить трансляцию
После покупки необходимо создать учетную запись Ростелеком. Он работает для нескольких устройств. Вы можете создать его один раз на телевизоре, смартфоне или ПК и впоследствии применить к другим устройствам. При аренде или покупке приставки Ростелеком учетная запись создается при оформлении договора; договор должен содержать имя пользователя и пароль для его активации.
К одной учетной записи можно подключить не более пяти устройств. Чтобы подключить еще один, необходимо будет отключить один из подключенных ранее. Это делается в настройках, если вы не собираетесь больше им пользоваться. Подключиться к телевизору:
- Возьмите приставку, подключите к ней адаптер питания, но не втыкайте его в розетку.
- Войдите в параметры роутера, найдите IPTV, запустите IGMP Proxy, выберите режим «Мост» и определите номер LAN-порта. Сохраните параметры и перезапустите маршрутизатор.
- Подключите кабель к маршрутизатору, а другой конец — к телевизионной приставке. И вам нужно подключить его только к тому номеру LAN-порта, который вы указали в параметрах.
- Подключите видеокабель к телевизору. Если у вас есть интерфейс HDMI, вам необходимо использовать кабель HDMI. Это гарантирует одно из лучших на сегодняшний день качества изображения и звука. Если кабеля нет в комплекте, приобретите его. Или подключить через «тюльпаны» по цветовой индикации.
- Схема включения приставки к телевизору.
- Подключите приставку, выберите правильный источник видео — через HDMI или VGA. Как правило, кнопка AV или TV управляет источниками сигнала.
- После успешного запуска появится экран загрузки. Затем попросит ввести логин и пароль, указанные в договоре с Интерактив ТВ Ростелеком. Введите их с помощью удаленной поддержки Wink. Через пару секунд на экране появится список каналов и видео. ол>р>
- приставка зависает, загрузка не идет;
- устройство постоянно перезагружается;
- Приставка перестала работать и больше не включается;
- постоянные сбои прошивки;
- настройки возвращаются к заводским.
- множество возможностей для просмотра телепередач и фильмов;
- хорошее качество изображения;
- возможность одновременного просмотра видеопотока на 5 устройствах;
- функция контроля просмотра (и отключения рекламы);
- возможность аренды оборудования.
- 104.18.216.0/21
- 104.17.128.0/21
- 104.18.184.0/21
- 95.100.200.0/24
- 104.18.168.0/21
- 104.107.217.0/24
- 95.101.181.0/24
- 95.216.178.0/24
- 104.17.232.0/21
- 95.101.82.0/23
- 2.16.100.0/24:20940 | 2.16.100.0 | AKAMAI-ASN1, США
- 2.16.101.0/24:20940 | 2.16.101.0 | AKAMAI-ASN1, США
- 2.16.106.0/24:20940 | 2.16.106.0 | AKAMAI-ASN1, США
- 2.16.115.0/24:20940 | 2.16.115.0 | AKAMAI-ASN1, США
- 2.16.186.0/24:20940 | 2.16.186.0 | AKAMAI-ASN1, США
Пульт Ростелеком В некоторых случаях прошивка может обновиться сразу при первом включении. Управление просмотром интерактивного ТВ через Wink TV
Как обновить программное обеспечение консоли
Перегрев устройства
Приставка всегда будет перегреваться после нескольких часов интенсивного использования, потому что корпус и особенно блок питания выделяют много тепла. Но если через короткое время после включения происходит перегрев, то, скорее всего, операция работает неправильно. Задача пользователя – обеспечить надлежащую вентиляцию. Все элементы системы должны располагаться на открытом пространстве. Обратите внимание на то, чтобы между приставкой и мебелью оставался зазор.
Какие проблемы в работе?
В некоторых версиях приставки у пользователей возникает такая проблема: примерно через полчаса работы вместе загораются красная и зеленая лампочки. Речь идет о моделях с серийными номерами, начинающимися с комбинации цифр 30819 и 30823. В основном эта проблема возникает на приставке IPTV HD Mini. Это происходит из-за перегрева. Обеспечив нормальные условия вентиляции, пользователь может решить эту проблему самостоятельно, но рано или поздно на конденсаторе появятся необратимые повреждения, и придется обращаться в сервис. Самая сложная проблема, с которой самостоятельно не справится даже очень продвинутый пользователь, связана с проблемами с флеш-памятью приставки. Флэш-память не только хранит программное обеспечение, но и обменивается операционными данными. Проблема может быть выражена следующим образом:
В случае возникновения таких проблем следует обратиться к техническому специалисту.
Плюсы и минусы телевизионной приставки Wink
Прежде чем купить приставку Винк Ростелеком, необходимо изучить ее преимущества и недостатки. Преимущества:
Недостатки:
1 апреля 2020 г. во многих сетях произошел массовый захват BGP со стороны AS12389 (Ростелеком). В этом посте мы подробно рассмотрим этот инцидент с маршрутизацией и объясним, почему внедрение строгих методов сетевой фильтрации и соблюдение принципов MANRS жизненно важно для безопасной и отказоустойчивой глобальной системы маршрутизации в Интернете.
Захваты BGP, к сожалению, распространены, но большинство из них очень недолговечны и не вызывают перебоев в обслуживании на глобальном уровне. Большинство (но не все) инцидентов маршрутизации происходят из-за ошибок конфигурации, но, как мы снова и снова убеждаемся, внедрение строгой фильтрации резко снижает вероятность того, что эти ошибки распространятся дальше по сети и вызовут дополнительные сбои.
К сожалению, взлом на этой неделе привел к перебоям в работе многих сервисов по всему миру.
Что произошло?
Краткий обзор был представлен в этой записи блога QRATOR Labs. QRATOR Labs предоставляет услуги сетевой аналитики и мониторинга под названием Radar.
Согласно сообщению в блоге QRATOR, первое неправильное создание маршрута, когда сеть объявляет маршруты одноранговым узлам, которые на самом деле не являются частью их сети, было зафиксировано в 19:28 UTC 1 апреля 2020 года. Они показали скриншот из своего мониторинга. система со списком IP-префиксов, которые были перехвачены AS12389 (Ростелеком):
Когда я искал каждый префикс выше в представлениях маршрутов, я не нашел совпадений для этих конкретных префиксов. BGPMon также предоставил список, содержащий более 8800 префиксов.
Однако произошел массовый взлом, так как его разделили многие видные члены сообщества, и он затронул, по крайней мере, Amazon и Akamai, о которых мы знаем. В блоге также была ссылка RIPE Bgplay, которая показывала 2.17.123.0/24.
Чтобы получить больше информации, я просмотрел все объявления от AS12389 с AS_PATH «20764 12389». Я использовал Isolario.it bgpdump, так как у него больше пиров, чем просмотров маршрутов. Мгновенно появилось несколько хитов (4569 уникальных объявлений) и ни одно из них не принадлежало AS12389. В наборе инструментов BGP компании Hurricane Electric также указано аналогичное число (4567).
Из этих 4569 префиксов 4255 принадлежат Amazon (AS16509 и AS14618), 85 принадлежат Akamai (AS20940, AS16625), а остальные принадлежат нескольким различным поставщикам услуг, включая Level3, Alibaba, Digital Ocean, Linode и другим. .
С этими префиксами есть несколько интересных моментов; возьмем эти пять префиксов Akamai (AS20940) в качестве примеров.
Согласно статусу маршрутизации RIPE RIS, эти префиксы в их точной длине никогда не были видны в глобальной таблице маршрутизации до того, как AS12389 объявил об этом во время взлома. Тот же результат для оставшихся четырех префиксов (интересно отметить отметку времени). Статус 2.16.100.0/24
Я проверил более 100 префиксов с тем же результатом. Это поведение может быть похоже на другие виды поведения маршрутизации, с которыми вы могли сталкиваться в прошлом. Это потому, что это похоже на то, как ведут себя оптимизаторы BGP. (В данном случае неясно, было ли это сделано оптимизатором BGP или каким-то внутренним механизмом управления трафиком.)
Кроме того, если вернуться на три года назад, был очень похожий инцидент с AS12389, который был очень хорошо задокументирован BGPMon в статье «BGPStream и любопытный случай с AS12389». Пятьдесят (50) префиксов были украдены из 37 различных ASN путем объявления более конкретных префиксов (/24).
Почему важна фильтрация
Всего этого можно было бы избежать, если бы в AS20764 (Rascom) была реализована строгая фильтрация, гарантирующая, что они не объявляют маршруты для адресов, которые они или их клиенты на самом деле не контролируют.Еще один интересный момент заключается в том, что AS12389 также напрямую связывается с AS3356 (Level3), AS1299 (Telia) и другими, но ни один из них не позволял распространять эти плохие объявления, за исключением AS20764, который также связывается с AS174 (Cogent Co), и, к сожалению, AS174 не фильтровал. эти плохие объявления и распространяли их дальше. Это прямо показывает, как сети, которые строго фильтруют исходящий трафик, помогают бороться с распространением поддельных объявлений о маршрутах, вредоносных или иных. RPKI значительно упростил фильтрацию ошибочного происхождения (угона). Из 4569 украденных префиксов 4040 имели ДЕЙСТВИТЕЛЬНЫЕ ROA для соответствующих номеров ASN. Например, вот один из угнанных префиксов 3.93.187.0/24 Amazon.
Джоб Снайдерс также провел очень хороший анализ этого инцидента с точки зрения RPKI, поскольку RIPE NCC случайно удалил около 4100 ROA за тот же период времени, что и здесь. Его анализ можно найти в списке рассылки RIPE routing-wg.
Важно отметить, что AS174 (Cogent Co) и AS3356 (Level3) должны были лучше справляться с фильтрацией на всех уровнях. В прошлом мы были свидетелями того, что все они выполняют фильтрацию префиксов (помните взлом Amazon Route53? Они хорошо его фильтруют). Фильтрация одного пира и оставление другого вообще не служит цели. Ошибки случаются, но мы все должны извлечь из них уроки и принять меры, чтобы не повторять их снова.
Я все еще ищу дамп rib bgp, чтобы он соответствовал префиксам QRATOR Labs и bgpmon 8800+, и почему он длился почти 1 час, как указано в их сообщении в блоге QRATOR? RIPE RIS и bgpdumps от isolario показывают, что это продолжалось почти 10 минут или около того. Конечно, это сильно зависит от точек обзора.
Где точки обзора, которые видели эти 8800+ объявлений? Были ли эти дополнительные объявления сделаны только для какой-либо конкретной IX? Все это произошло из-за оптимизатора BGP? Или что-то другое? Была ли это попытка захватить эти префиксы из-за аналогичного поведения и в 2017 году? Это может и дальше оставаться загадкой.
Итог: сетевые операторы должны обеспечить глобальную маршрутизацию
Я не могу не подчеркнуть, это может повториться в любое время. Сетевые операторы несут ответственность за обеспечение глобальной надежной и безопасной инфраструктуры маршрутизации. Безопасность вашей сети зависит от инфраструктуры маршрутизации, которая останавливает злоумышленников и смягчает случайные неправильные настройки, которые наносят ущерб Интернету. Чем больше сетевых операторов работает вместе, тем меньше будет инцидентов и тем меньший ущерб они могут нанести.
Если вы являетесь оператором сети, мы рекомендуем вам внедрить действия MANRS и присоединиться к сообществу MANRS. Если вы уже являетесь членом MANRS (как некоторые ASN, которые переслали эти плохие объявления), извлеките из этого урок и убедитесь, что это больше не повторится. Вы обязаны содержать глобальную таблицу маршрутизации в чистоте.
Читайте также: