ROSTELECOM-AS - PJSC Rostelecom и BGP протокол

Обычная ошибка допущенная мутным админом в конфигурации магистрального роутера любой из сетей российских провайдеров может привести к сбою при доступе к любым и даже самым популярным сервисам большого числа пользователей интернета.

ROSTELECOM-AS - PJSC Rostelecom допустило утечку маршрутов (route leaks) из своей автономной системы (autonomous system) AS12389

Протокол BGP (Border Gateway Protocol) служит для управления трафиком интернет на уровне операторов связи, и ошибки ушлых или мутных админов при его настройке систематически приводят к перехвату интересующего этих админов целевого трафика. Если провайдеры не осуществляют проверку того, что получают от своих клиентов или других провайдеров, то такая аномалия маршрутизации в работе роутеров способна повлиять на доступность реурсов в масштабах национального сегмента сети. Не так давно пообная ошибка и произошла в России.

Детали произошедшего

Небольшой оператор ROSTELECOM-AS - PJSC Rostelecom внезапно начал анонсировать сети между своими провайдерами, таким образом перенаправив значительную часть трафика сети Tata Communications (бывший Teleglobe) на свою сеть. Справиться с такой нагрузкой ROSTELECOM-AS - PJSC Rostelecom не cмогла, в результате сделав недоступными тысячи сервисов для пользователей сети Telia Sonera. В число пострадавших попали известные компании, такие как Amazon, Youtube, Вконтакте, онлайн-кинотеатр IVI и многие другие.

По нашим оценкам аномалия в работе роутера ROSTELECOM-AS - PJSC Rostelecom могла затронуть от 10% до 20% пользователей в России и Украине.

Для более чем 5000 интернет провайдеров этот сбой стал глобальным, перенаправив в черную дыру трафик из других регионов.

Произошедшая аномалия стала результатом двух связанных между собой ошибок: ROSTELECOM-AS - PJSC Rostelecom, допустившей ошибку в конфигурации BGP и ставшей источником проблемы, и сети Tata Communications (бывший Teleglobe), которая стала переносчиком, не настроив корректную фильтрацию на стыке с этим провайдером. Из-за ошибок настройки протокола BGP эти операторы не только «подвесили» свои сети, но и создали проблемы для других сервисов, чей интернет трафик оказался полностью перехвачен. Общая продолжительность аномалии составила более часа.

Существует распространенное мнение, что бороться с подобными аномалиями, возникающими за границей одной сети, практически невозможно. Однако, если известен источник перехвата трафика, то возможна эксплуатация защиты BGP от циклов для разрыва перехвата. Другими словами, при наличии мониторинга в реальном времени возможно активное противодействие подобным аномалиям.

Как это повторить?

C недавних пор изменение таблиц маршрутизации крупных транзитных интернет провайдеров с целью угона IP трафика определённой компании и дальнейшего его перехвата, стало возможным довольно широкому кругу лиц благодаря использованию программного обеспечения под названием LOKI 0.2.7, скомпилированного на языке Python для платформы Windows x64.