Какие крупные инциденты с BGP произошли за пять лет - IaaS Blog

Какие крупные инциденты с BGP произошли за пять лет

Какие крупные инциденты с BGP произошли за пять лет
/ фото Javier Allegue Barros Unsplash

Вспоминаем, кому пришлось столкнуться с неисправностями из-за проблем с Border Gateway Protocol. Приводим примечательные кейсы за последние несколько лет.

BGP был разработан в 1989 году инженерами Cisco и IBM. Вместе с DNS этот динамический протокол маршрутизации стал базовым для Всемирной сети и был оформлен в стандарте IETF. С 1994 года он работает практически без изменений.

С его помощью автономные системы провайдеров получают данные о доступности сетей и об оптимальных маршрутах для передачи пакетов, но не могут их верифицировать. Так, существенные ошибки в таблицах маршрутизации, которыми обмениваются системы, зачастую приводят к серьезным сбоям в глобальной сети.

Об этих проблемах было известно еще 20 лет назад, но сталкиваться с ними специалистам приходится и сегодня. Рассмотрим наиболее заметные кейсы.

5 лет назад — атака на майнинговые пулы

Атаковать пулы WafflePool смогли с помощью перенаправления трафика ряда провайдеров, и в этом злоумышленникам помогли BGP-маршрутизаторы одного из телекомов. Когда к ним удалось получить доступ, переводами сгенерированной майнерами криптовалюты начали управлять с помощью подменного сервера.

Эту операцию повторяли каждые 30 секунд и осуществили кражу эквивалента более 80 тысяч долларов. За пять лет курсы криптовалют изменились, и похищенная сумма может оцениваться в сотни тысяч или миллионы долларов.

2 года назад — глобальный сетевой сбой в Японии

Проблемы, с которыми столкнулась сеть этой страны, продолжались более часа. Одна из вероятных причин заключалась в ошибочной настройке BGP на стороне Google. Сотрудники компании неверно анонсировали блоки IP-адресов японских интернет-провайдеров, и глобальные телекомы вроде Verizon начали перенаправлять трафик из страны на серверы Google. Данные просто уходили в никуда, так как это оборудование не могло обеспечить их маршрутизацию.

Это интересно!  vCloud Connector: гибридное облако на практике для vSphere
2 года назад — глобальный сетевой сбой в Японии
/ фото Liam Burnett-Blue Unsplash

В итоге на время, пока производилось действия по устранению проблемы, в стране остановилась работа ряда крупных веб-сервисов, включая игровые площадки и системы бронирования билетов. Среди затронутых инцидентом организаций были и государственные структуры Японии, а больше всех пострадал местный провайдер NTT Communications Corp, обслуживающий более семи миллионов человек.

В этом году — аналогичная проблема наблюдалась в Европе

На этот раз трафик ряда европейский провайдеров был перенаправлен в Китай и пошел через оборудование China Telecom. В этом инциденте поучаствовали такие телекомы, как Swisscom, KPN, Bouygues Telecom и Numericable-SFR. Все они представляют Европу. Во время сбоя, который мог быть и спланированной атакой, их клиенты не могли осуществлять переводы средств и общаться в мессенджерах.

В этом году — глобальные проблемы с доступностью сервисов

Инцидент произошел в середине лета, и его последствия все еще обсуждают. Проблемы с доступностью были практически у всех крупных ИТ-компаний — от Apple до Cloudflare — и информационных площадок вроде Reddit и Twitch. Причиной сбоя считают BGP-маршрутов на стороне небольшого провайдера в Пенсильвании.

Когда неверные данные маршрутизации распространились по Сети, запросы миллионов пользователей стали проходить всего через ряд телекомов, которые не могли быть готовы к таким нагрузкам и просто не справились с их обслуживанием.

Об этой ситуации мы писали в нашем Telegram-канале:

Что дальше

Чтобы стабилизировать и «укрепить оборону» BGP уже предложен ряд специализированных подходов и стандартов. Так, еще с 2014 года идет разработка свода лучших практик обмена маршрутами в Сети. Эта работа проводится в рамках программы MANRS. Задача ее участников — сформулировать эффективные рекомендации и обмениваться инструментарием для устранения ошибок и сбоев.

Это интересно!  Функциональные возможности и настройка VMware vShield Edge

Помимо этого в 2017 году была представлена система ARTEMIS. Этот инструмент разработали американские специалисты при поддержке правительства США. Его специализация — поиск подмен в маршрутах, предотвращение BGP hijacking.

Система ARTEMIS предотвращает BGP hijacking
/ фото Brendan Church Unsplash

Оба продукта (практики MANRS и систему ARTEMIS) уже начинают внедрять у себя крупнейшие телекомы — от AT&T до NTT Communications. Предотвратят ли они сбои, которые мы все могли наблюдать не так давно, еще предстоит узнать.

Что еще есть в нашем корпоративном блоге:

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...