Можно ли поменять префикс Ростелеком на другой

Обновлено: 21.11.2024

1 апреля 2020 г. во многих сетях произошел массовый захват BGP со стороны AS12389 (Ростелеком). В этом посте мы подробно рассмотрим этот инцидент с маршрутизацией и объясним, почему внедрение строгих методов сетевой фильтрации и соблюдение принципов MANRS жизненно важно для безопасной и отказоустойчивой глобальной системы маршрутизации в Интернете.

Захваты BGP, к сожалению, распространены, но большинство из них очень недолговечны и не вызывают перебоев в обслуживании на глобальном уровне. Большинство (но не все) инцидентов маршрутизации происходят из-за ошибок конфигурации, но, как мы снова и снова убеждаемся, внедрение строгой фильтрации резко снижает вероятность того, что эти ошибки распространятся дальше по сети и вызовут дополнительные сбои.

К сожалению, взлом на этой неделе привел к перебоям в работе многих сервисов по всему миру.

Что произошло?

Краткий обзор был представлен в этой записи блога QRATOR Labs. QRATOR Labs предоставляет услуги сетевой аналитики и мониторинга под названием Radar.

Согласно сообщению в блоге QRATOR, первое неправильное создание маршрута, когда сеть объявляет маршруты одноранговым узлам, которые на самом деле не являются частью их сети, было зафиксировано в 19:28 UTC 1 апреля 2020 года. Они показали скриншот из своего мониторинга. система со списком IP-префиксов, которые были перехвачены AS12389 (Ростелеком):

  • 104.18.216.0/21
  • 104.17.128.0/21
  • 104.18.184.0/21
  • 95.100.200.0/24
  • 104.18.168.0/21
  • 104.107.217.0/24
  • 95.101.181.0/24
  • 95.216.178.0/24
  • 104.17.232.0/21
  • 95.101.82.0/23

Когда я искал каждый префикс выше в представлениях маршрутов, я не нашел совпадений для этих конкретных префиксов. BGPMon также предоставил список, содержащий более 8800 префиксов.

Однако произошел массовый взлом, так как его разделили многие видные члены сообщества, и он затронул, по крайней мере, Amazon и Akamai, о которых мы знаем. В блоге также была ссылка RIPE Bgplay, которая показывала 2.17.123.0/24.

Чтобы получить больше информации, я просмотрел все объявления от AS12389 с AS_PATH «20764 12389». Я использовал Isolario.it bgpdump, так как у него больше пиров, чем просмотров маршрутов. Мгновенно появилось несколько хитов (4569 уникальных объявлений) и ни одно из них не принадлежало AS12389. В наборе инструментов BGP компании Hurricane Electric также указано аналогичное число (4567).

Из этих 4569 префиксов 4255 принадлежат Amazon (AS16509 и AS14618), 85 принадлежат Akamai (AS20940, AS16625), а остальные принадлежат нескольким различным поставщикам услуг, включая Level3, Alibaba, Digital Ocean, Linode и другим. .

С этими префиксами есть несколько интересных моментов; возьмем эти пять префиксов Akamai (AS20940) в качестве примеров.

  • 2.16.100.0/24:20940 | 2.16.100.0 | AKAMAI-ASN1, США
  • 2.16.101.0/24:20940 | 2.16.101.0 | AKAMAI-ASN1, США
  • 2.16.106.0/24:20940 | 2.16.106.0 | AKAMAI-ASN1, США
  • 2.16.115.0/24:20940 | 2.16.115.0 | AKAMAI-ASN1, США
  • 2.16.186.0/24:20940 | 2.16.186.0 | AKAMAI-ASN1, США

Согласно статусу маршрутизации RIPE RIS, эти префиксы в их точной длине никогда не были видны в глобальной таблице маршрутизации до того, как AS12389 объявил об этом во время взлома. Тот же результат для оставшихся четырех префиксов (интересно отметить отметку времени). Статус 2.16.100.0/24

Я проверил более 100 префиксов с тем же результатом. Это поведение может быть похоже на другие виды поведения маршрутизации, с которыми вы могли сталкиваться в прошлом. Это потому, что это похоже на то, как ведут себя оптимизаторы BGP. (В данном случае неясно, было ли это сделано оптимизатором BGP или каким-то внутренним механизмом управления трафиком.)

Кроме того, если вернуться на три года назад, был очень похожий инцидент с AS12389, который был очень хорошо задокументирован BGPMon в статье «BGPStream и любопытный случай с AS12389». Пятьдесят (50) префиксов были украдены из 37 различных ASN путем объявления более конкретных префиксов (/24).

Почему важна фильтрация

Всего этого можно было бы избежать, если бы в AS20764 (Rascom) была реализована строгая фильтрация, гарантирующая, что они не объявляют маршруты для адресов, которые они или их клиенты на самом деле не контролируют. Еще один интересный момент заключается в том, что AS12389 также напрямую связывается с AS3356 (Level3), AS1299 (Telia) и другими, но ни один из них не позволял распространять эти плохие объявления, за исключением AS20764, который также связывается с AS174 (Cogent Co), и, к сожалению, AS174 не фильтровал. эти плохие объявления и распространяли их дальше.Это прямо показывает, как сети, которые строго фильтруют исходящий трафик, помогают бороться с распространением поддельных объявлений о маршрутах, вредоносных или иных. RPKI значительно упростил фильтрацию ошибочного происхождения (угона). Из 4569 украденных префиксов 4040 имели ДЕЙСТВИТЕЛЬНЫЕ ROA для соответствующих номеров ASN. Например, вот один из угнанных префиксов 3.93.187.0/24 Amazon.

Джоб Снайдерс также провел очень хороший анализ этого инцидента с точки зрения RPKI, поскольку RIPE NCC случайно удалил около 4100 ROA за тот же период времени, что и здесь. Его анализ можно найти в списке рассылки RIPE routing-wg.

Важно отметить, что AS174 (Cogent Co) и AS3356 (Level3) должны были лучше справляться с фильтрацией на всех уровнях. В прошлом мы были свидетелями того, что все они выполняют фильтрацию префиксов (помните взлом Amazon Route53? Они хорошо его фильтруют). Фильтрация одного пира и оставление другого вообще не служит цели. Ошибки случаются, но мы все должны извлечь из них уроки и принять меры, чтобы не повторять их снова.

Я все еще ищу дамп rib bgp, чтобы он соответствовал префиксам QRATOR Labs и bgpmon 8800+, и почему он длился почти 1 час, как указано в их сообщении в блоге QRATOR? RIPE RIS и bgpdumps от isolario показывают, что это продолжалось почти 10 минут или около того. Конечно, это сильно зависит от точек обзора.

Где точки обзора, которые видели эти 8800+ объявлений? Были ли эти дополнительные объявления сделаны только для какой-либо конкретной IX? Все это произошло из-за оптимизатора BGP? Или что-то другое? Была ли это попытка захватить эти префиксы из-за аналогичного поведения и в 2017 году? Это может и дальше оставаться загадкой.

Итог: сетевые операторы должны обеспечить глобальную маршрутизацию

Я не могу не подчеркнуть, это может повториться в любое время. Сетевые операторы несут ответственность за обеспечение глобальной надежной и безопасной инфраструктуры маршрутизации. Безопасность вашей сети зависит от инфраструктуры маршрутизации, которая останавливает злоумышленников и смягчает случайные неправильные настройки, которые наносят ущерб Интернету. Чем больше сетевых операторов работает вместе, тем меньше будет инцидентов и тем меньший ущерб они могут нанести.

Если вы являетесь оператором сети, мы рекомендуем вам внедрить действия MANRS и присоединиться к сообществу MANRS. Если вы уже являетесь членом MANRS (как некоторые ASN, которые переслали эти плохие объявления), извлеките из этого урок и убедитесь, что это больше не повторится. Вы обязаны содержать глобальную таблицу маршрутизации в чистоте.

Ростелеком — крупнейшая российская компания, специализирующаяся на предоставлении телекоммуникационных услуг населению в виде местной и сотовой связи, интерактивного телевидения и широкополосного доступа в Интернет. В последнее время все большую популярность приобретает телевидение от Ростелеком.

Настройка приставки является обязательной частью использования данной услуги и в большинстве случаев вызывает у пользователей ряд трудностей. В этой статье мы рассмотрим, как настроить телевизионную приставку Ростелеком.

Настройка приставки Ростелеком

Настройка iptv приставки Ростелеком начинается с подключения всех проводов, подключив их к соответствующим разъемам. Далее настройка приставки Ростелеком происходит в несколько этапов.

Включение консоли

Ответ на вопрос, как настроить приставку Ростелеком, начинается с включения приставки:

Настройка приставки

Функции


Вот так выглядит инструкция по настройке iptv приставки Ростелеком.

Как настроить пульт от приставки Ростелеком

В комплекте с приставкой идет пульт от Ростелеком. Как настроить приставку? Ответ на этот вопрос был бы неполным без настройки пульта дистанционного управления.

По коду производителя:

Автоматический подбор:

  • в одновременном режиме нажимаются ОК и TV, которые удерживаются пару секунд, пока светодиод на кнопке TV не мигнет два раза;
  • введен код 991;
  • нажата одна из кнопок переключения каналов. При этом пульт выбирает код из внутреннего списка, после нахождения которого телевизор автоматически выключается;
  • после включения телевизора нажимается ОК для сохранения кода;
  • при успешных действиях светодиод мигнет два раза.

Выше была изложена подробная инструкция, информирующая о том, как настроить приставку Ростелеком-ТВ. Исходя из этого, можно сделать вывод, что вопрос, как настроить приставку от Ростелеком, не сложен. Кроме того, использование данной приставки делает просмотр ТВ более удобным и функциональным.

Как купить Iphone 7 в 10 раз дешевле?

Месяц назад заказал копию iPhone 7, через 6 дней забрал по почте) И вот решил оставить отзыв!

Visa, MasterCard и Symantec среди десятков пострадавших от «подозрительного» сбоя BGP.

Дэн Гудин – 27 апреля 2017 г., 20:20 UTC

комментарии читателей

Поделиться этой историей

В среду большие объемы сетевого трафика, принадлежащие MasterCard, Visa и более чем двум десяткам других компаний, предоставляющих финансовые услуги, были ненадолго переправлены через контролируемую государством телеком-компанию при необъяснимых обстоятельствах, что возобновляет нерешенные вопросы о доверии и надежности некоторых из самых конфиденциальных интернет-коммуникаций.

Аномалии в протоколе пограничного шлюза, который направляет большие объемы трафика между магистралями Интернета, интернет-провайдерами и другими крупными сетями, распространены и обычно являются результатом человеческой ошибки. Хотя вполне возможно, что пяти-семиминутный захват 36 крупных сетевых блоков в среду также мог быть непреднамеренным, высокая концентрация затронутых технологических и финансовых компаний сделала этот инцидент «любопытным» для инженеров службы сетевого мониторинга BGPmon. Более того, то, как были перенаправлены некоторые из затронутых сетей, указывало на то, что их базовые префиксы были вручную вставлены в таблицы BGP, скорее всего, кем-то из Ростелекома, российской телекоммуникационной компании, контролируемой государством, которая неправомерно объявила о праве собственности на блоки.

"Довольно подозрительно"

"Я бы назвал это весьма подозрительным", – сказал Дуг Мэдори, директор по анализу Интернета в компании по управлению сетями Dyn. «Обычно случайные утечки кажутся более объемными и неизбирательными. Похоже, что они нацелены на финансовые учреждения. Типичная причина этих ошибок [заключается] в какой-то внутренней организации трафика, но было бы странно, если бы кто-то ограничил свою работу с трафиком. в основном финансовые сети."

Обычно сетевой трафик для MasterCard, Visa и других затронутых компаний проходит через поставщиков услуг, нанятых и авторизованных компаниями. Используя таблицы маршрутизации BGP, авторизованные провайдеры «заявляют» о своем владении большими блоками IP-адресов, принадлежащих компаниям-клиентам. Однако в среду днем ​​около 15:36 по тихоокеанскому времени «Ростелеком» неожиданно объявил о своем контроле над блоками. В результате трафик, поступающий в пострадавшие сети, стал проходить через маршрутизаторы «Ростелекома». Угон длился пять-семь минут. Когда это закончилось, нормальная маршрутизация была восстановлена. Событие прекрасно показано здесь на графике, в котором используется BGPlay.

Захват мог позволить физическим лицам в России перехватывать или манипулировать трафиком, поступающим в затронутое адресное пространство. Такой перехват или манипулирование легче всего осуществить с данными, которые не были зашифрованы, но даже в случаях, когда они были зашифрованы, трафик все еще может быть расшифрован с помощью атак с такими именами, как Logjam и DROWN, которые работают против устаревших реализаций безопасности транспортного уровня, которые некоторые организации до сих пор используют.

Мадори сказал, что даже если данные не удастся расшифровать, злоумышленники потенциально могут использовать перенаправленный трафик для определения того, какие стороны инициируют подключения к MasterCard и другим пострадавшим компаниям. Затем злоумышленник может нацелиться на те стороны, которые могут иметь более слабую защиту.

Согласно информации акционеров, предоставленной «Ростелекомом», российскому правительству принадлежит 49 процентов обыкновенных акций телекоммуникационной компании. Министерство торговли США относит "Ростелеком" к государственным предприятиям и сообщает, что один или несколько высокопоставленных государственных чиновников имеют места в совете директоров "Ростелекома". Представители Ростелекома не ответили на электронное письмо с просьбой прокомментировать это сообщение.

  • 202.138.100.0/24 Reliance Communications Бангалор, штат Карнатака, IN
  • 145.226.109.0/24 Euro-Information-Europeenne de Traitement de l'Information SAS Paris Île-de-France FR
  • 193.58.4.0/24 Fortis Bank N.V. Brussels Bruxelles-Capitale BE
  • 217.75.242.0/24 Servicios de Hosting en Internet S.A. ES
  • 194.153.135.0/24 Norvik Banka LV
  • 93.190.87.0/24 Modrium Mdpay Oy NUF Øy Nord-Trøndelag Fylke NO
  • 217.117.65.0/24 NET_217_117_65 UA
  • 195.76.9.0/24 REDSYS SERVICIOS DE PROCESAMIENTO SLU
  • 64.75.29.0/24 Arcot Systems, Inc. Саннивейл, Калифорния, США
  • 206.99.153.0/24 Savvis Singapore SG
  • 198.241.161.0/24 VISA INTERNATIONAL CO США
  • 203.112.91.0/24 Банковские и финансовые услуги HSBC, Гонконг, Гонконг
  • 196.38.228.0/24 Internet Solutions Johannesburg Gauteng ZA
  • 216.136.151.0/24 Саввис Арлингтон, Вирджиния, США
  • 198.161.246.0/24 Корпорация EMC, Саутборо, Массачусетс, США
  • 212.243.129.0/24 UBS Card Center AG Glattbrugg Kanton Zürich CH
  • 203.112.90.0/24 Банковские и финансовые услуги HSBC, Гонконг, Гонконг
  • 216.150.144.0/24 Xand Corporation Farmingdale NY US
  • 195.20.110.0/24 Bank Zachodni WBK S.A. Poznań Województwo Wielkopolskie PL
  • 193.16.243.0/24 Servicios Para Medios De Pago S.A. ES
  • 202.187.53.0/24 TIME DOTCOM BERHAD Shah Alam Selangor MY
  • 160.92.181.0/24 Worldline Франция на хостинге FR
  • 145.226.45.0/24 Euro-Information-Europeenne de Traitement de l'Information SAS Strasbourg Alsace FR
  • 195.191.110.0/24 полная карта Service Bank AG Vienna Wien AT
  • 193.104.123.0/24 PROVUS SERVICE PROVIDER SA Бухарест Бухарест, RO
  • 69.58.181.0/24 Verisign, Inc. Нью-Йорк, штат Нью-Йорк, США
  • 194.5.120.0/24 DOCAPOST BPO SAS FR
  • 89.106.184.0/24 Worldline SA Франкфурт-на-Майне Гессен, Германия
  • 217.75.224.0/19 Servicios de Hosting en Internet S.A. Madrid Comunidad de Madrid ES
  • 195.114.57.0/24 DNBNORD PLC LV
  • 198.241.170.0/24 VISA INTERNATIONAL CO США
  • 216.119.216.0/24 MasterCard Technologies LLC, Венцвилль, Миссури, США
  • 193.203.231.0/24 SIA S.p.A. Milano Lombardia IT
  • 65.205.249.0/24 Symantec Inc Mountain View CA США
  • 194.126.145.0/24 Netcetera AG Zürich Kanton Zürich CH
  • 65.205.248.0/24 Symantec Inc Mountain View CA США

Приведенный выше список отфильтровал 14 российских префиксов, анонсированных Ростелекомом примерно в одно и то же время.

Дополнительная литература

И Мэдори, и сообщение в блоге BGPmon не исключают возможности того, что взлом был непреднамеренным. Если предположить, что это не было случайностью, это будет не первый раз, когда трафик BGP преднамеренно перенаправляется. В 2013 году компания Renesys, которая позже была приобретена Dyn, сообщила, что огромные куски интернет-трафика, принадлежащие финансовым учреждениям, государственным учреждениям и поставщикам сетевых услуг, неоднократно перенаправлялись в отдаленные места, прежде чем, наконец, были переданы в конечный пункт назначения. За девять месяцев исследователи Renesys насчитали 38 различных переадресаций на маршрутизаторы белорусских или исландских поставщиков услуг. Взломы затронули «крупные финансовые учреждения, правительства и поставщиков сетевых услуг» в США, Южной Корее, Германии, Чехии, Литве, Ливии и Иране.

Подобные атаки подчеркивают безоговорочное доверие правительств и корпораций по всему миру к объявлениям о маршрутизации BGP. В течение многих лет инженеры предлагали различные меры, чтобы поставщики услуг могли анонсировать только те сети, которые им разрешено использовать. Однако на данный момент официального способа сделать это нет. Dyn, BGPmon и аналогичные службы хорошо обнаруживают несанкционированные объявления, но эти обнаружения неизбежно происходят после того, как уже произошли неправомерные перенаправления или перехваты.

Рекламные комментарии

Я удивлен, что не была установлена ​​какая-то проверка, при которой, когда новый объект объявляет о праве собственности, старый владелец должен одобрить его, прежде чем изменение вступит в силу. Тем временем трафик проходит по старым маршрутам BGP, как будто ничего не изменилось.

Меня интересует, как 2 объекта могут претендовать на владение одними и теми же блоками IP-адресов. Не приведет ли это к конфликту маршрутизации?

Относительно вопроса о конфликте маршрутизации:
Две сети с одним и тем же префиксом не очень распространены, но случаются. Когда маршрутизатору предоставляется 2 одинаковых варианта, он выбирает наилучший (как правило, кратчайший) путь AS. Поскольку разные маршрутизаторы будут принимать разные решения, это, по сути, приведет к глобальному балансированию нагрузки. Некоторые операторы DNS используют именно этот механизм для достижения глобальной балансировки нагрузки.

Вышеприведенное верно, если 2 варианта маршрутизации относятся к одному и тому же идентичному префиксу, например 10.10.10.0/23. Однако, если один из вариантов является более конкретным, скажем, 10.10.10.0/24, то выбирается более конкретный. Вы часто видите это, например, в настройках защиты от DDOS, когда поставщик средств защиты от DDOS объявляет дополнительные подробности, а трафик перенаправляется в центр защиты. В блоге bgpmon это называется проектированием или перенаправлением трафика. Именно поэтому новые более конкретные префиксы в этом инциденте пугают. Так как более подробная информация всегда предпочтительнее, вы можете быть уверены, что трафик перенаправлялся в эту российскую сеть.

Относительно предотвращения и авторизации объявлений BGP. IETF уже много лет работает над RPKI и ROA.Целью этого является создание авторитетной распределенной базы данных аттестаций о том, кому разрешено создавать какие сети. Хотя сетевые операторы начали заполнять эти базы данных, они все еще далеки от полной и точной (и, следовательно, не очень надежной). Следующим шагом является фактическое выполнение каких-либо действий с данными, например, игнорирование маршрутов с неправильной исходной сетью. Развертывание этого все еще очень низкое, и есть некоторые вопросы о том, произойдет ли это и когда. Некоторые также будут утверждать, что это не полное решение, что снижает стимул к развертыванию.

На прошлой неделе «Ростелеком», один из крупнейших в России частично государственных интернет-провайдеров, обнародовал десятки маршрутов, относящихся к IP-адресам, принадлежащим крупным финансовым компаниям. Эта утечка маршрута перенаправляла интернет-трафик, предназначенный для этих финансовых компаний, на Ростелком, поскольку некоторые маршрутизаторы в Интернете решили, что новые, утекшие маршруты предпочтительнее законных.

После многочисленных запросов от наших клиентов, некоторые из которых пострадали от этого события, мы решили добавить некоторые дополнительные сведения. Что наиболее важно, затронутые префиксы (диапазоны IP-адресов) не только принадлежали компаниям, предоставляющим финансовые услуги, но также включали префиксы, на которых размещены критически важные службы электронной коммерции и платежей. И дело не только в утечке маршрутов, мы также можем подтвердить, что трафик проходил через сеть Ростелеком по пути к намеченным адресатам.

Хотя трудно подтвердить, что утечка маршрутов к Интернету была преднамеренной (например, для проверки трафика, который должен направляться в сети компаний, предоставляющих финансовые услуги), целенаправленный выбор услуг электронной коммерции, по-видимому, не был совпадение.

Влияние на услуги электронной коммерции

Что особенно интригует в этой утечке маршрута, так это набор затронутых служб, которые используют префиксы или диапазоны IP-адресов, которые были обнаружены. Мы выполнили обратный поиск DNS для затронутых префиксов, чтобы определить, какие домены и службы были затронуты.

Включая затронутые службы:

  • SecureCode Mastercard, Smart Data и MasterPass
  • Проверено Visa и CardinalCommerce, принадлежащей Visa
  • Symantec WebSecurity и Geotrust
  • Почтовые серверы RSA
  • Сайты банковских услуг в Интернете для французских банков BNP Paribas и CIT и польского банка Zachodni, принадлежащих Сантандеру
  • Торговые и депозитарные сайты для HSBC и MoneyPort от MUFG
  • Обработка платежей для услуг EPS и PPS HSBC, CardCenter UBS, Redsys и Atos Worldline

Некоторые из этих сервисов составляют основу инфраструктуры онлайн-платежей. SecureCode и Verified by Visa, например, аутентифицируют держателей карт во время покупки в электронной коммерции, чтобы уменьшить мошенничество. Компания Symantec GeoTrust – это крупный поставщик цифровых сертификатов для шифрования TLS/SSL, который, среди прочего, обеспечивает безопасность платежного трафика.

Независимо от того, была ли эта утечка маршрута преднамеренной или нет, выбор префиксов кажется очень преднамеренным и предполагает, что Ростелеком пытался направить платежный трафик электронной коммерции по крайней мере в свою собственную сеть.

Утечка маршрута Ростелекома

Вечером в среду, 26 апреля, с 22:36–22:43 UTC (15:36–15:43 по тихоокеанскому времени) «Ростелеком» создал 137 префиксов для выхода в Интернет через партнеров, таких как Telecom Italia, Telstra, Hurricane Electric, KDDI, Cogent, Telia и Tata. Из этих 137 префиксов примерно 100 принадлежат организациям в России и, как таковые, вероятно, являются частью нормальной работы сети. Однако 36 префиксов принадлежали таким компаниям, как Symantec, Visa, Mastercard, BNP Paribas и EMC. Эти цифры согласуются с отчетом BGPmon об этом событии.

В течение 7 минут трафик, предназначенный для услуг электронной коммерции и обработки платежей, предоставляемых этими финансовыми компаниями, а также для служб веб-безопасности и интернет-безопасности, был перенаправлен в сеть Ростелеком. Утечка маршрута затронула большую часть интернет-трафика, но не всю, поскольку не все сети принимали или предпочитали маршруты Ростелекома законным.

Что такое утечки маршрутов?

Интернет-трафик доставляется по назначению, представленному IP-адресом, после прохождения через серию сетей, называемых автономными системами. Эти автономные системы (АС) представляют собой сети таких компаний, как Comcast, Verizon, GE или Coca-Cola. Каждая AS имеет диапазоны IP-адресов, называемых префиксами, которые зарегистрированы в этой организации. Чтобы помочь маршрутизаторам в Интернете определить, через какую AS должен проходить трафик, протокол пограничного шлюза (BGP) используется для передачи новых или измененных маршрутов для каждого префикса.

Утечки маршрутов происходят, когда AS объявляет незаконные маршруты случайно или намеренно. Маршруты могут быть нелегитимными, если:

  • AS-угонщик утверждает, что является источником префикса, хотя это не так (как в данном случае с Ростелекомом)
  • AS-угонщик объявляет новый, более конкретный префикс, который предпочтут маршрутизаторы.
  • AS-угонщик объявляет более короткий путь AS, чем существует на самом деле, что делает его маршруты предпочтительными.

В каждом случае интернет-трафик можно направить на нарушившую AS, что позволит ей проверить трафик или отказать в обслуживании.

Анатомия утечки маршрута

Давайте посмотрим, что на самом деле показывают данные об этой утечке маршрута. ThousandEyes собирает информацию о маршрутизации из более чем сотни точек наблюдения (мы называем их мониторами маршрутов) в Интернете.

На рис. 1 показаны маршруты из подмножества этих точек обзора. Визуализация маршрутов BGP показывает, что Ростелеком (AS 12389) объявляет, а затем отзывает маршруты. Такие партнеры, как Cogent (AS 174), Hurricane Electric (AS 6939) и Tata (AS 6453), приняли эти маршруты и распространили их по Интернету. Мониторы маршрутов, выделенные оранжевым и красным цветом, были затронуты, в то время как те, что выделены зеленым, продолжали отправлять трафик в законную исходную сеть.

Рис. 1. Ростелеком (синий пунктирный кружок) объявил, а затем отозвал маршруты (красные пунктирные линии). Мониторы маршрутов (ромбы) в оранжевом и красном цветах
были затронуты, в то время как те, что в зеленом, продолжали отправлять трафик в законную исходную сеть (зеленый кружок).

Связь трафика с маршрутами

Данные ThousandEyes включают не только информацию о маршрутизации, но и путь трафика, по которому IP-пакеты проходят через Интернет, в представлении, называемом визуализацией пути. На рис. 2 видно, что трафик вошел в сеть Ростелеком, а затем вернулся обратно в сеть назначения, в данном случае через Cogent в Стокгольме. Но «Ростелеком» пропустил трафик через более чем 60 интерфейсов, что было либо непреднамеренной петлей маршрутизации, либо очень преднамеренной серией устройств для проверки трафика. Вы можете увидеть их как белые, не отвечающие интерфейсы в визуализации.

Рис. 2. Трафик из Торонто, предназначенный для затронутой службы электронной коммерции, поступает в сеть Ростелеком, проходит через
более 60 не отвечающих (белых) интерфейсов и возвращается обратно в сеть Cogent, а затем в сеть назначения.

Предупреждение и устранение утечек маршрутов

Утечки маршрутов вызывают особое беспокойство, поскольку оператор сети не может полностью контролировать распространение маршрутов в Интернете. Распространение маршрутов основано на доверии и зависит от предпочтений и политик, которые каждая сеть устанавливает для маршрутов, которые они принимают от одноранговых узлов и рекламируют себя.

В краткосрочной перспективе вы можете отслеживать утечку маршрутов с помощью сервисов, которыми вы управляете, или тех, на которые вы полагаетесь в критически важных операциях (например, платежный шлюз). В ThousandEyes можно обнаружить три типа перехвата маршрутов и утечек:

  • Источником вашего префикса является другая сеть (хорошим примером является утечка из Ростелекома). Установите оповещение для Origin AS, которого нет в [Ваши ASN].
  • Другая сеть создает более конкретный префикс в вашем адресном пространстве. Настройте оповещение для закрытого префикса [Существует] или закрытого префикса, которого нет в [Ваши префиксы].
  • Другая сеть вставляет свой ASN в путь AS. Установите оповещение для ASN следующего перехода, которого нет в

Помимо предупреждений, вы можете выполнять такие действия, как обращение к вышестоящим интернет-провайдерам, объявление покрытых префиксов, объявление более предпочтительных маршрутов, изменение используемых вами IP-адресов или публикация ROA. Ознакомьтесь с нашими рекомендациями по борьбе с утечками и перехватами маршрутов, чтобы получить более подробную информацию, а также долгосрочные общие стратегии смягчения последствий, такие как фильтрация маршрутов, RPKI, RPSL, BGPSEC и TCP MD5.

Не пропустите наш предстоящий веб-семинар по обнаружению перехватов и утечек BGP, на котором мы поговорим о том, как диагностировать и предотвращать эти явления маршрутизации.

BGP (протокол пограничного шлюза) уже более 25 лет лежит в основе маршрутизации в Интернете и, как и Интернет, основан на принципе доверия к вашим одноранговым узлам и другим сетям. Но по мере роста Интернета участились проблемы с безопасностью и плохая практика, а также участились инциденты с маршрутизацией.

Многие из этих инцидентов вызваны неверной информацией о маршрутизации, наиболее распространенными из которых являются перехват префикса и утечка маршрута. Они используют основную уязвимость BGP: он не может проверить, какие автономные системы (AS), отправляющие объявления, имеют на это право.

Перехват префикса происходит, когда сеть намеренно или по ошибке создает префикс, принадлежащий другой сети, без ее разрешения. Случаи перехвата префиксов случаются чаще, чем может показаться на первый взгляд. На следующем графике показано количество перехватов префиксов с середины января по июль 2020 года, что соответствует в среднем 14 перехватам в день.

Количество перехватов префиксов с января по июль 2020 г. (Источник: BGPStream)

Во многих случаях угон вызывает минимальные нарушения трафика, но в других случаях последствия оказываются огромными. Например, в феврале 2008 г. компания «Пакистан Телеком» (AS 17557) внедрила неавторизованное объявление BGP о более конкретном префиксе 208.65.153.0/24, который является частью префикса 208.65.152.0/22, назначенного YouTube. Затем один из провайдеров восходящего потока «Пакистан Телеком», PCCW Global (AS3491), распространил этот префикс на остальную часть Интернета, что позволило «Пакистан Телеком» привлечь часть глобального трафика YouTube.

Инцидент продолжался около двух часов. YouTube потребовалось примерно час, чтобы обнаружить и частично устранить проблему, после чего PCCW Global остановил объявление. В это время YouTube был недоступен для большей части Интернета. Если бы вы обслуживали более 100 миллионов видео в день, представьте, как часовой перерыв может повлиять на ваши доходы, не говоря уже о последующих потерях для сетевых провайдеров.

Несмотря на все усилия по минимизации перехвата префиксов, проблема остается актуальной. По данным BGPmon, в апреле 2020 года AS12389 (Ростелеком) перехватило 8800 префиксов. Инцидент затронул несколько провайдеров, в том числе Amazon и Akamai.

Вот пример перехвата префикса. AS1 получает префикс 198.51.100.0/22 ​​от регионального интернет-реестра (RIR) и, следовательно, является единственной автономной системой, уполномоченной создавать 198.51.100.0/22 ​​в Интернете. Предположим, что AS5 отправляет объявление BGP с тем же префиксом. Затем общая AS в Интернете получит два объявления 198.51.100.0/22 ​​и будет зависеть от процесса выбора BGP. AS2, например, может по-прежнему рассматривать объявления от AS1 как лучший путь, в то время как AS4 может выбрать AS5. Если в качестве наилучшего пути будет выбрано несанкционированное незаконное объявление, трафик, направленный на этот префикс, будет перехвачен в черную дыру и потенциально проанализирован.

Случай 1: Несанкционированное объявление того же префикса 1

Еще более опасная ситуация может возникнуть, если AS5 создаст подсеть префикса, например 198.51.100.0/23, как в приведенном ниже примере. В таком случае весь Интернет, включая AS2, будет рассматривать AS5 как лучший путь. Именно этот тип перехвата префикса стал причиной инцидента с YouTube в 2008 году.1

Случай 2: Несанкционированное объявление более конкретного префикса

Эти два случая демонстрируют присущую BGP уязвимость: нет способа подтвердить, авторизован ли объект для создания определенного префикса.

К счастью, есть способ решить эту проблему. Информация о владении и распределении интернет-ресурсов, такая как номера AS и префиксы, содержится в общедоступных базах данных, управляемых RIR. Кроме того, в некоторых RIR размещены другие базы данных, известные как реестры интернет-маршрутизации (IRR), где сетевые операторы могут хранить информацию о своих политиках маршрутизации и маршрутизируемых префиксах, которые они также могут использовать для создания фильтров для предотвращения перехвата префиксов.

Чтобы фильтры работали успешно, сетевые операторы должны создавать их, используя конкретную информацию о IRR, и всегда поддерживать эту информацию в актуальном состоянии. Им также необходимо сотрудничать друг с другом, чтобы предотвратить крупные поломки и быстро решить любые вопросы. Информация о маршрутах и ​​контактах в базах данных IRR особенно важна в наши дни, учитывая масштабы сетей в Интернете.

Однако, к сожалению, система IRR далека от точности, поскольку контент не обновляется или содержит ошибки. Более надежным и надежным механизмом предотвращения перехвата префиксов является инфраструктура открытого ключа ресурсов (RPKI). Это основано на цифровой сертификации, которая позволяет любому, обратившемуся к его репозиторию, подтвердить правильность связи между префиксом и автономной системой.

Во второй части этой статьи мы более подробно объясним преимущества RPKI и рассмотрим, как она помогает сохранить устойчивость и безопасность Интернета.

[1] ПРИМЕЧАНИЕ. IP-адреса, используемые в следующих примерах, предоставлены для использования в документации, как описано в RFC 5737. Однако концепции не меняются.

Читайте также: