Как увеличить трафик на ростелеком

Обновлено: 24.11.2024

На прошлой неделе «Ростелеком», один из крупнейших в России частично государственных интернет-провайдеров, обнародовал десятки маршрутов, относящихся к IP-адресам, принадлежащим крупным финансовым компаниям. Эта утечка маршрута перенаправляла интернет-трафик, предназначенный для этих финансовых компаний, на Ростелком, поскольку некоторые маршрутизаторы в Интернете решили, что новые, утекшие маршруты предпочтительнее законных.

После многочисленных запросов от наших клиентов, некоторые из которых пострадали от этого события, мы решили добавить некоторые дополнительные сведения. Что наиболее важно, затронутые префиксы (диапазоны IP-адресов) не только принадлежали компаниям, предоставляющим финансовые услуги, но также включали префиксы, на которых размещены критически важные службы электронной коммерции и платежей. И дело не только в утечке маршрутов, мы также можем подтвердить, что трафик проходил через сеть Ростелеком по пути к намеченным адресатам.

Хотя трудно подтвердить, что утечка маршрутов к Интернету была преднамеренной (например, для проверки трафика, который должен направляться в сети компаний, предоставляющих финансовые услуги), целенаправленный выбор услуг электронной коммерции, по-видимому, не был совпадение.

Влияние на услуги электронной коммерции

Что особенно интригует в этой утечке маршрута, так это набор затронутых служб, которые используют префиксы или диапазоны IP-адресов, которые были обнаружены. Мы выполнили обратный поиск DNS для затронутых префиксов, чтобы определить, какие домены и службы были затронуты.

Включая затронутые службы:

• SecureCode Mastercard, Smart Data и MasterPass
• Проверено Visa и CardinalCommerce, принадлежащей Visa
• Symantec WebSecurity и Geotrust
• Почтовые серверы RSA
• Сайты банковских услуг в Интернете для французских банков BNP Paribas и CIT и польского банка Zachodni, принадлежащих Сантандеру
• Торговые и депозитарные сайты для HSBC и MoneyPort от MUFG
• Обработка платежей для услуг EPS и PPS HSBC, CardCenter UBS, Redsys и Atos Worldline

Некоторые из этих сервисов составляют основу инфраструктуры онлайн-платежей. SecureCode и Verified by Visa, например, аутентифицируют держателей карт во время покупки в электронной коммерции, чтобы уменьшить мошенничество. Компания Symantec GeoTrust – это крупный поставщик цифровых сертификатов для шифрования TLS/SSL, который, среди прочего, обеспечивает безопасность платежного трафика.

Независимо от того, была ли эта утечка маршрута преднамеренной или нет, выбор префиксов кажется очень преднамеренным и предполагает, что Ростелеком пытался направить платежный трафик электронной коммерции по крайней мере в свою собственную сеть.

Утечка маршрута Ростелекома

Вечером в среду, 26 апреля, с 22:36–22:43 UTC (15:36–15:43 по тихоокеанскому времени) «Ростелеком» создал 137 префиксов для выхода в Интернет через партнеров, таких как Telecom Italia, Telstra, Hurricane Electric, KDDI, Cogent, Telia и Tata. Из этих 137 префиксов примерно 100 принадлежат организациям в России и, как таковые, вероятно, являются частью нормальной работы сети. Однако 36 префиксов принадлежали таким компаниям, как Symantec, Visa, Mastercard, BNP Paribas и EMC. Эти цифры согласуются с отчетом BGPmon об этом событии.

В течение 7 минут трафик, предназначенный для услуг электронной коммерции и обработки платежей, предоставляемых этими финансовыми компаниями, а также для служб веб-безопасности и интернет-безопасности, был перенаправлен в сеть Ростелеком. Утечка маршрута затронула большую часть интернет-трафика, хотя и не всю, поскольку не все сети принимали или предпочитали маршруты Ростелекома законным.

Что такое утечки маршрутов?

Интернет-трафик доставляется по назначению, представленному IP-адресом, после прохождения через серию сетей, называемых автономными системами. Эти автономные системы (АС) представляют собой сети таких компаний, как Comcast, Verizon, GE или Coca-Cola. Каждая AS имеет диапазоны IP-адресов, называемых префиксами, которые зарегистрированы в этой организации. Чтобы помочь маршрутизаторам в Интернете определить, через какую AS должен проходить трафик, протокол пограничного шлюза (BGP) используется для передачи новых или измененных маршрутов для каждого префикса.

Утечки маршрутов происходят, когда AS объявляет незаконные маршруты случайно или намеренно. Маршруты могут быть нелегитимными, если:

• AS-угонщик утверждает, что является источником префикса, хотя это не так (как в данном случае с Ростелекомом)
• AS-угонщик объявляет новый, более конкретный префикс, который предпочтут маршрутизаторы.
• AS-угонщик объявляет более короткий путь AS, чем существует на самом деле, что делает его маршруты предпочтительными.

В каждом случае интернет-трафик можно направить на нарушившую AS, что позволит ей проверить трафик или отказать в обслуживании.

Анатомия утечки маршрута

Давайте посмотрим, что на самом деле показывают данные об этой утечке маршрута.ThousandEyes собирает информацию о маршрутизации из более чем сотни точек наблюдения (мы называем их мониторами маршрутов) в Интернете.

На рис. 1 показаны маршруты из подмножества этих точек обзора. Визуализация маршрутов BGP показывает, что Ростелеком (AS 12389) объявляет, а затем отзывает маршруты. Такие партнеры, как Cogent (AS 174), Hurricane Electric (AS 6939) и Tata (AS 6453), приняли эти маршруты и распространили их по Интернету. Мониторы маршрутов, выделенные оранжевым и красным цветом, были затронуты, в то время как те, что выделены зеленым, продолжали отправлять трафик в законную исходную сеть.

Рис. 1. Ростелеком (синий пунктирный кружок) объявил, а затем отозвал маршруты (красные пунктирные линии). Мониторы маршрутов (ромбы) в оранжевом и красном цветах
были затронуты, в то время как те, что в зеленом, продолжали отправлять трафик в законную исходную сеть (зеленый кружок).

Связь трафика с маршрутами

Данные ThousandEyes включают не только информацию о маршрутизации, но и путь трафика, по которому IP-пакеты проходят через Интернет, в представлении, называемом визуализацией пути. На рис. 2 видно, что трафик вошел в сеть Ростелеком, а затем вернулся обратно в сеть назначения, в данном случае через Cogent в Стокгольме. Но «Ростелеком» пропустил трафик через более чем 60 интерфейсов, что было либо непреднамеренной петлей маршрутизации, либо очень преднамеренной серией устройств для проверки трафика. Вы можете увидеть их как белые, не отвечающие интерфейсы в визуализации.

Рис. 2. Трафик из Торонто, предназначенный для затронутой службы электронной коммерции, поступает в сеть Ростелеком, проходит через
более 60 не отвечающих (белых) интерфейсов и возвращается обратно в сеть Cogent, а затем в сеть назначения.

Предупреждение и устранение утечек маршрутов

Утечки маршрутов вызывают особое беспокойство, поскольку оператор сети не может полностью контролировать распространение маршрутов в Интернете. Распространение маршрутов основано на доверии и зависит от предпочтений и политик, которые каждая сеть устанавливает для маршрутов, которые они принимают от одноранговых узлов и рекламируют себя.

В краткосрочной перспективе вы можете отслеживать утечку маршрутов с помощью сервисов, которыми вы управляете, или тех, на которые вы полагаетесь в критически важных операциях (например, платежный шлюз). В ThousandEyes можно обнаружить три типа перехвата маршрутов и утечек:

• Источником вашего префикса является другая сеть (хорошим примером является утечка из Ростелекома). Установите оповещение для Origin AS, которого нет в [Ваши ASN].
• Другая сеть создает более конкретный префикс в вашем адресном пространстве. Настройте оповещение для закрытого префикса [Существует] или закрытого префикса, которого нет в [Ваши префиксы].
• Другая сеть вставляет свой ASN в путь AS. Установите оповещение для ASN следующего перехода, которого нет в

Помимо предупреждений, вы можете выполнять такие действия, как обращение к вышестоящим интернет-провайдерам, объявление покрытых префиксов, объявление более предпочтительных маршрутов, изменение используемых вами IP-адресов или публикация ROA. Ознакомьтесь с нашими рекомендациями по борьбе с утечками и перехватами маршрутов, чтобы получить более подробную информацию, а также долгосрочные общие стратегии смягчения последствий, такие как фильтрация маршрутов, RPKI, RPSL, BGPSEC и TCP MD5.

Не пропустите наш предстоящий веб-семинар по обнаружению перехватов и утечек BGP, на котором мы поговорим о том, как диагностировать и предотвращать эти явления маршрутизации.

Примечание читателя. В пятницу, 4 марта, мы опубликовали эту запись в блоге, чтобы прокомментировать решение Cogent о прекращении коммерческих отношений со своими российскими клиентами. Сегодня, 7 марта, другая международная телеком-компания Lumen объявила, что также примет меры. Мы обновили эту запись в блоге, чтобы отразить последнюю имеющуюся у нас информацию.

О Cogent

Несмотря на недавний запрос Украины об отключении от глобального интернета, Россия остается онлайн. Однако по состоянию на 17:00 по Гринвичу 4 марта Россия стала подключаться к миру через одну международную связь меньше.

3 марта компания Cogent разослала своим клиентам в России электронные письма с извещением о немедленном прекращении их коммерческих отношений в связи с вторжением России в Украину.

В свете необоснованного и неспровоцированного вторжения в Украину Cogent прекращает предоставление всех ваших услуг с 17:00 по Гринвичу 4 марта 2022 года.Экономические санкции, введенные в результате вторжения, и все более неопределенная ситуация с безопасностью лишают Cogent возможности продолжать предоставлять вам услуги.

Все порты и IP-адреса, предоставленные Cogent, будут возвращены на дату прекращения действия. Для всех клиентов колокации ваше оборудование будет отключено и оставлено в стойке, чтобы вы могли его забрать.

Если оборудование не будет собрано в течение тридцати дней, оно будет снято со стойки и отправлено на хранение. Для любых клиентов служебных вычислений у вас не будет доступа к вашим серверам после прекращения обслуживания. Серверы будут отключены и помещены в хранилище Cogent на неопределенный период времени.

Отключение их клиентов в России не приведет к отключению России , но уменьшит общую пропускную способность, доступную для международного подключения. Это сокращение пропускной способности может привести к перегрузке, поскольку оставшиеся международные операторы связи пытаются восполнить пробел.

Cogent — один из крупнейших в мире магистральных интернет-провайдеров. Фактически, он является членом редкой транзитной свободной зоны, которая представляет собой небольшую группу глобальных телекоммуникационных компаний, настолько большую, что они никому не платят за транзит (международную пропускную способность интернета). Телекоммуникационные компании TFZ бесплатно обмениваются интернет-трафиком с другими членами TFZ и взимают плату за пропускную способность с меньшими сетями.

Компания Cogent, базирующаяся в США, продает услуги транзита по всему миру, в том числе на российском рынке. Если мы возьмем список российских клиентов Cogent в Kentik Market Intelligence, мы сможем получить представление о потенциальном влиянии. Ниже приведен скриншот из KMI только для пяти крупнейших российских клиентов Cogent на основе транзитного пространства IPv4. В нее входят как российская государственная телекоммуникационная компания «Ростелеком» (AS12389), так и другой российский национальный оператор оптоволоконных магистральных сетей «Транстелеком» (известный как ТТК, AS20485). На российском рынке мобильной связи доминирует «большая тройка» МТС (AS8359), «Мегафон» (AS31133) и VEON (ранее «Вымпелком», AS3216). Из них два из трех российских операторов мобильной связи являются клиентами Cogent.

Если мы возьмем то, что, по оценкам KMI, является крупнейшим клиентом Cogent в России (Ростелеком), и посмотрим, у кого они покупают транзит, мы увидим картину ниже. После потери Cogent у Ростелекома останется несколько других вариантов транзита, включая Vodafone (AS1273), Telecom Italia Sparkle (AS6762), Lumen (AS3356) и Arelion (ранее Telia, AS1299).

Помимо перечисленных выше телекоммуникационных компаний, Cogent обслуживает российскую поисковую систему Яндекс (AS208722), а также StormWall (AS59796), российскую фирму по предотвращению DDoS-атак, защищающую три из 31 известного российского веб-сайта в отношении вице-премьер-министра Украины Федорова. список.

Поскольку Россия становится все более изолированной от финансовой системы, у российских компаний связи могут возникнуть трудности с оплатой услуг иностранных транзитных провайдеров.

Эндрю Салливан, президент Internet Society, недавно ответил на просьбу удалить Россию из системы доменных имен (DNS) страстным призывом. «Отключение всего населения от Интернета остановит распространение дезинформации от этого населения, но также остановит поток правды», — написал он.

Магистральный оператор, отключающий своих клиентов в стране размером с Россию, не имеет прецедента в истории Интернета и отражает бурную глобальную реакцию, которую мир испытал на вторжение в Украину.

ОБНОВЛЕНИЕ (7 марта)

Видимые последствия отключения

Российские телекоммуникационные компании VEON (ранее Vimpelcom, AS3216) и Транстелеком (TTK, AS20485) потеряли транзитную услугу Cogent в 17:05 UTC в пятницу, 4 марта, через несколько минут после крайнего срока. Однако на сегодняшний день государственная телекоммуникационная компания Ростелеком (AS12389) и оператор мобильной связи Мегафон (AS31133) по-прежнему используют транзит Cogent.

Ниже показано изменение входящего трафика для VEON.

Стоит отметить, что VEON и ТТК также обеспечивают транзит в страны Средней Азии и Монголию. Таким образом, отключение Cogent от российского рынка имеет некоторые последствия для Казахстана, Таджикистана и Узбекистана.

Когда Cogent отключится от Ростелекома, это также повлияет на интернет в Иране, Азербайджане, Беларуси и оспариваемых регионах Крыма и Абхазии.

В результате потери клиентов VEON и TTK компания Cogent опустилась на одну позицию в общем рейтинге клиентской базы KMI (на фото ниже) в России. Когда они потеряют Ростелеком и Мегафон, они выйдут из Топ-10.

Объявление Lumen

После решения Cogent о прекращении обслуживания своих российских клиентов в понедельник Lumen опубликовала заявление о своем бизнесе в России.

Среди объявлений Lumen заявила, что прекратит продажу любых новых услуг как российским компаниям, так и компаниям за пределами России, которые предоставляли услуги в России. Кроме того, Lumen заявляет, что «расторгла соглашение об оказании услуг существующему российскому финансовому учреждению, и мы отказались от рассмотрения нашего имени для нового бизнеса с другим российским финансовым учреждением».

Lumen уже является ведущим международным транзитным провайдером в России, а его клиентами являются Ростелеком, ТТК, а также все три основных оператора мобильной связи (МТС, Мегафон и VEON). Хотя они могут не брать новых клиентов в России, они могут нести больше трафика из-за потери Cogent в качестве транзитной альтернативы.

26 апреля 2017 г. российская телекоммуникационная компания «Ростелеком» захватила большие объемы конфиденциального сетевого трафика более чем десятка финансовых организаций, включая Mastercard и VISA. «Ростелеком», одна из крупнейших телекоммуникационных компаний России, сделала это, неточно объявив 36 сетевых блоков своими через таблицы протокола пограничного шлюза (BGP). Этот тип неточного объявления сетевого пространства и последующего перенаправления иногда происходит случайно. Однако тот факт, что пострадало более двух десятков международных финансовых институтов, на самом деле нацелено на то, что это действие не было случайным. Небольшое расследование показывает, что «Ростелеком» принадлежит (49%) российскому правительству. Более того, в настоящее время несколько высокопоставленных государственных чиновников занимают места в совете директоров «Ростелекома».

Похищение целевого финансового интернет-трафика российскими телекоммуникационными компаниями по меньшей мере любопытно

BGPMon назвал угон «любопытным». Дуг Мэдори из Dyn выразился более прямолинейно; он сказал ArsTechnica:

«Я бы назвал это весьма подозрительным. Как правило, случайные утечки кажутся более объемными и неизбирательными. Похоже, что это нацелено на финансовые учреждения. Типичная причина этих ошибок [заключается] в каком-то внутреннем управлении трафиком, но было бы странно, если бы кто-то ограничил управление своим трафиком в основном финансовыми сетями».

Ростелеком никак не прокомментировал инцидент. Что мы знаем, так это то, что конфиденциальная информация со всего мира поступала в Россию в течение 5-7 минут. Это позволило бы русским видеть и манипулировать любым незашифрованным в то время трафиком; или, по крайней мере, посмотреть, кто подключался и откуда. Такая информация будет иметь неоценимое значение для хакеров, поскольку она может раскрыть не только конфиденциальную информацию, но и источники финансовых транзакций, которые затем сами могут стать мишенью.

Учреждения, которые пострадали от этого захвата (информация через BGPMon):

< /tr> td> < td colspan="2">Reliance Communications Ltd.DAKC MUMBAI

Российское правительство хочет делать в Интернете все, что хочет

Москва намерена стать первым городом, подключенным к 5G, к 2020 году, но все эти данные будут храниться российскими телекоммуникационными компаниями в соответствии с российским законом о старшем брате. За последний год Россия показала свое истинное лицо, когда дело дошло до интернет-прав: они выгнали Amnesty International и заставили некоторые компании, такие как Twitter, перенести серверы в Россию. Российское правительство даже убедило некоторые VPN-компании подвергать цензуре то, что хочет правительство. Напротив, компания Private Internet Access удалила все серверы из России после отдельного инцидента с сомнительным изъятием в России в июле прошлого года.

Понравилась эта статья? Получайте уведомления по электронной почте о появлении новой статьи или подпишитесь на получение последних новостей о борьбе за конфиденциальность с помощью RSS-канала новостей о конфиденциальности в Интернете.

Российская телекоммуникационная компания «Ростелеком», которая частично принадлежит российскому правительству, захватила большую часть интернет-трафика из сетей доставки контента (CDN), таких как Amazon Web Services, Google, Cloudflare и Akamai, сообщает ZDNet. Инцидент, который, как сообщается, привел к отключению некоторых сервисов, размещенных на этих CDN, произошел 1 апреля и длился час, говорится в сообщении. Это был взлом BGP, когда интернет-провайдер или другая сеть могут, намеренно или нет, притворяться, что размещают другие сети, чтобы трафик, предназначенный для этих сетей, проходил через них.

Согласно отчету, затронуто более 200 CDN и более 8000 маршрутов трафика. Это, вероятно, было вызвано неправильной конфигурацией, сказал Андре Тунк, основатель BGPmon, дочерней компании Cisco, которая отслеживает подобные инциденты. Тунк сказал, что телекоммуникационная компания, скорее всего, пыталась настроить перемещение трафика этих CDN в своей собственной сети, но случайно стала владельцем маршрутов, по которым они проходят.

Это не первое родео «Ростелекома» — в 2017 году компания совершила аналогичный захват только финансовых данных таких компаний, как Visa и Mastercard, говорится в отчете ZDNet. Перехваты BGP частично связаны с архитектурой Интернета, основанной на доверии, где сети могут просто искажать свою идентичность и направлять к ним трафик. Но поскольку большая часть данных в Интернете в наши дни зашифрована (включая этот самый сайт), технически невозможно расшифровать данные в пути, что делает перехват BGP менее рискованным, чем в прошлом, когда мало данных в Интернете было зашифровано. сильно. Однако в отчете отмечается, что когда текущие стандарты шифрования устареют в будущем, угонщики BGP, которые направляли трафик через свои сети и сохраняли копии всего, что проходило, теоретически могли затем расшифровать эту информацию.

Internet Society запускает MANRS, Взаимно согласованные нормы безопасности маршрутизации, программу кибербезопасности, чтобы предотвратить такие инциденты, как перехват BGP, даже случайно. В сообщении MANRS говорится, что «Ростелеком» мог бы избежать взлома, просто имея более совершенные системы фильтрации. В 2018 году индийские интернет-провайдеры подписались на MANRS. По словам Тунка из BGPmon, в 2015 году Airtel оказалась в центре серьезного инцидента с захватом BGP. Такие инциденты менее вероятны, если интернет-провайдеры предпримут шаги, чтобы предотвратить превращение ошибок неправильной конфигурации в путаницу международной маршрутизации.

Читайте также:

  
• Создание пользователя Oracle 19c
  
• В чем разница между базой данных и файлом
  
• Недостаток виртуальной памяти в системе успешно обнаружен
  
• Как сохранить все фото из вк на компьютер сразу
  
• Как смотреть ютуб на слабом компьютере

AS	Имя автономной системы
49002	ФГУП России
3561	Саввис
41268	LANTA Ltd
2559	Visa International
8255	Euro-Information-Europeenne de Traitemen
31627	Сервисиос Пара Медиос Де Паго С.А.
701	MCI Communications Services, Inc.d/b/a
3259	Docapost Bpo SAS
3303	Swisscom (Switzerland) Ltd
3741	IS
5553	Государственное образовательное учреждение высшего образования
5630	Worldline SA
8291	Федеральная служба охраны России
8677	Worldline SA
9162	Государственное образовательное учреждение Высокого
9221	HSBC Гонконг
9930	TIME dotCom Berhad
11383	Xand Corporation
12257	Корпорация EMC
12578	SIA Lattelecom
12954	SIA SpA
15468	38, Театральный ул.ая
15632	АО Альфа-Банк
15742< /td>	ПАО КБ "ПриватБанк"
15835	РОСНИИРОС Российский институт общественных наук
15919	Services de Hosting en Internet SA
18101
25410	Bank Zachodni WBK SA
26380	MasterCard Technologies LLC
28827	Fortis Bank NV
30060	Инфраструктура и операции VeriSign
34960	Netcetera AG
35469	ОАО Банк Авангард
50080	Provus Service Provider SA
50351	полная карта Service Bank AG
61100	Norvik Banka AS
200163	Itera Norge AS