Какие крупные инциденты с BGP произошли за пять лет

Тенденции
29.07.2019
142
10 min

Какие крупные инциденты с BGP произошли за пять лет

#сети

[caption id="attachment_5942" align="aligncenter" width="1024"]

Какие крупные инциденты с BGP произошли за пять лет

/ фото Javier Allegue Barros Unsplash[/caption] Вспоминаем, кому пришлось столкнуться с неисправностями из-за проблем с Border Gateway Protocol. Приводим примечательные кейсы за последние несколько лет.


BGP был разработан в 1989 году инженерами Cisco и IBM. Вместе с DNS этот динамический протокол маршрутизации стал базовым для Всемирной сети и был оформлен в стандарте IETF. С 1994 года он работает практически без изменений. С его помощью автономные системы провайдеров получают данные о доступности сетей и об оптимальных маршрутах для передачи пакетов, но не могут их верифицировать. Так, существенные ошибки в таблицах маршрутизации, которыми обмениваются системы, зачастую приводят к серьезным сбоям в глобальной сети. Об этих проблемах было известно еще 20 лет назад, но сталкиваться с ними специалистам приходится и сегодня. Рассмотрим наиболее заметные кейсы.

5 лет назад — атака на майнинговые пулы

Атаковать пулы WafflePool смогли с помощью перенаправления трафика ряда провайдеров, и в этом злоумышленникам помогли BGP-маршрутизаторы одного из телекомов. Когда к ним удалось получить доступ, переводами сгенерированной майнерами криптовалюты начали управлять с помощью подменного сервера. Эту операцию повторяли каждые 30 секунд и осуществили кражу эквивалента более 80 тысяч долларов. За пять лет курсы криптовалют изменились, и похищенная сумма может оцениваться в сотни тысяч или миллионы долларов.

2 года назад — глобальный сетевой сбой в Японии

Проблемы, с которыми столкнулась сеть этой страны, продолжались более часа. Одна из вероятных причин заключалась в ошибочной настройке BGP на стороне Google. Сотрудники компании неверно анонсировали блоки IP-адресов японских интернет-провайдеров, и глобальные телекомы вроде Verizon начали перенаправлять трафик из страны на серверы Google. Данные просто уходили в никуда, так как это оборудование не могло обеспечить их маршрутизацию. [caption id="attachment_5943" align="aligncenter" width="1024"]

2 года назад — глобальный сетевой сбой в Японии

/ фото Liam Burnett-Blue Unsplash[/caption] В итоге на время, пока производилось действия по устранению проблемы, в стране остановилась работа ряда крупных веб-сервисов, включая игровые площадки и системы бронирования билетов. Среди затронутых инцидентом организаций были и государственные структуры Японии, а больше всех пострадал местный провайдер NTT Communications Corp, обслуживающий более семи миллионов человек.

В этом году — аналогичная проблема наблюдалась в Европе

На этот раз трафик ряда европейский провайдеров был перенаправлен в Китай и пошел через оборудование China Telecom. В этом инциденте поучаствовали такие телекомы, как Swisscom, KPN, Bouygues Telecom и Numericable-SFR. Все они представляют Европу. Во время сбоя, который мог быть и спланированной атакой, их клиенты не могли осуществлять переводы средств и общаться в мессенджерах.

В этом году — глобальные проблемы с доступностью сервисов

Инцидент произошел в середине лета, и его последствия все еще обсуждают. Проблемы с доступностью были практически у всех крупных ИТ-компаний — от Apple до Cloudflare — и информационных площадок вроде Reddit и Twitch. Причиной сбоя считают BGP-маршрутов на стороне небольшого провайдера в Пенсильвании. Когда неверные данные маршрутизации распространились по Сети, запросы миллионов пользователей стали проходить всего через ряд телекомов, которые не могли быть готовы к таким нагрузкам и просто не справились с их обслуживанием.

Об этой ситуации мы писали в нашем

Telegram

-канале:


Что дальше

Чтобы стабилизировать и «укрепить оборону» BGP уже предложен ряд специализированных подходов и стандартов. Так, еще с 2014 года идет разработка свода лучших практик обмена маршрутами в Сети. Эта работа проводится в рамках программы MANRS. Задача ее участников — сформулировать эффективные рекомендации и обмениваться инструментарием для устранения ошибок и сбоев. Помимо этого в 2017 году была представлена система ARTEMIS. Этот инструмент разработали американские специалисты при поддержке правительства США. Его специализация — поиск подмен в маршрутах, предотвращение BGP hijacking. [caption id="attachment_5944" align="aligncenter" width="1024"]

Система ARTEMIS предотвращает BGP hijacking

/ фото Brendan Church Unsplash[/caption] Оба продукта (практики MANRS и систему ARTEMIS) уже начинают внедрять у себя крупнейшие телекомы — от AT&T до NTT Communications. Предотвратят ли они сбои, которые мы все могли наблюдать не так давно, еще предстоит узнать.

Что еще есть в нашем корпоративном блоге:




Павел Игнатьев
Профильный эксперт