The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

13.11.2018 17:01  Ошибочный BGP-анонс на 74 минуты нарушил связность сетей Google и Cloudflare

Маршрутизация к нескольким миллионам IP-адресов Google вчера была нарушена в результате ошибочного BGP-анонса, отправленного небольшим провайдером MainOne из Нигерии (AS 37282). Данный провайдер анонсировал для своей автономной системы 212 префиксов подсетей Google, после чего новый маршрут подхватил крупнейший китайский провайдер China Telecom (AS 4809) и ретранслировал его для своих пиров, среди которых изменение приняли Транстелеком, NTT и многие другие транзитные провайдеры первого уровня (Tier 1).

В результате инцидента во многих регионах подсети Google оказались недоступны в течение 74 минут. Проблема затронула IP-адреса большинства сервисов и облачной сети Google, а также коснулось многих сторонних сайтов, использующих Google Cloud Platform, в том числе ‎Spotify. Инцидент также нарушил работоспособность внутренней сети Google, так как среди перенаправленных подсетей также фигурировали корпоративные IP-адреса и Google VPN.

В этот же день следом за префиксами Google тот же нигерийский провайдер анонсировал префиксы сетей Cloudflare, которые также были приняты China Telecom и переданы по цепочке пирам. Поступающий в результате ошибочного анонса трафик блокировался на одном из пограничных машрутизаторов China Telecom.

Представители Google и Cloudflare считают, что BGP-анонс был вызван ошибкой, а не злым умыслом или вредоносной активностью. Разбор показал, что после завершившейся несколько недель назад конференции провайдеров Нигерии, была предпринята попытка модернизации инфраструктуры и усиления прямой связности нигерийских провайдеров. Google и Cloudflare являются единственными крупными сетями, подключившимися к точке обмена трафиком нигерийских провайдеров (IXPN). В процессе настройки прямого подключения к данной точке обмена трафиком мелким провайдером MainOne были допущены ошибки и некорректные данные о маршрутизации утекли в China Telecom, который, в свою очередь, анонсировал их своим пирам.

Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов. В вышеописанном инциденте часть вины лежит на провайдере China Telecom, который не использует в своей инфраструктуре какую-либо фильтрацию маршрутов и доверяет всем BGP-анонсам. На днях был опубликован отчёт, в котором озвучены сведения о прошлых перенаправлениях трафика с использованием BGP, наблюдаемых в China Telecom с 2014 года. В том числе, один из похожих инцидентов, произошедший в 2015 году, подтвердила компания Oracle.

Тем временем, компанией Cisco в Иране зафиксирована попытка перехвата трафика Telegram и Instagram с использованием BGP. По данным исследователей попытки перехвата наблюдаются с 2017 года и направлены против приблизительно 40 млн иранских пользователей, которые продолжают пользоваться мессенджером Telegram, несмотря на его запрет в Иране. В ходе атаки для получения контроля за учётными записями пользователям выводились фиктивные страницы входа. Также выявлены попытки распространения вредоносного клона приложения Telegram, размещаемого в официальных репозиториях, таких как Google Play.

  1. Главная ссылка к новости (https://arstechnica.com/inform...)
  2. OpenNews: Фишинг-атака на платёжную систему Trezor, вероятно проведённая с использованием BGP
  3. OpenNews: Зафиксирована попытка использования BGP для захвата трафика IP 1.1.1.1
  4. OpenNews: Для атаки на MyEtherWallet использовался захват DNS-сервиса Amazon при помощи BGP
  5. OpenNews: BGPsec получил статус предложенного стандарта
  6. OpenNews: Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: bgp, google, cloudflare
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 17:41, 13/11/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +10 +/
    Фильтров нету анонси что попало
     
     
  • 2.6, пох (?), 18:01, 13/11/2018 [^] [ответить]     [к модератору]
  • –8 +/
    ответственности нету, а не фильтров При том что никаких неизвестных хакеров в... весь текст скрыт [показать]
     
     
  • 3.35, псевдонимус (?), 23:07, 13/11/2018 [^] [ответить]    [к модератору]  
  • –6 +/
    Смотри,как бы омерика не осталась без интернетов(хотя ваши реднеки и не заметят). А гугль без пользователей.
     
  • 3.39, псевдонимус (?), 00:57, 14/11/2018 [^] [ответить]     [к модератору]  
  • –3 +/
    Да,надутый сноб пох,давно потерявший профессиональную хватку,если омерика попыта... весь текст скрыт [показать]
     
     
  • 4.62, Михрютка (ok), 17:38, 14/11/2018 [^] [ответить]     [к модератору]  
  • +/
    я извиняюсь людям, которые фантазируют про гугель без пользователей, омереку б... весь текст скрыт [показать]
     
     
  • 5.63, псевдонимус (?), 19:09, 14/11/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Махнатка,не серчай,дай слово молвить.За нарушение межбанковского обмена правтельство омерики покарают собственно корпорации в ней и зарегистрированные.Хотя и европка подтянуться собирается.
     
     
  • 6.65, Михрютка (ok), 21:15, 14/11/2018 [^] [ответить]     [к модератору]  
  • +/
    передайте родителям, чтобы лучше следили за вашей посещаемостью в школе если б ... весь текст скрыт [показать]
     
     
  • 7.66, псевдонимус (?), 22:13, 14/11/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    С ираном ничего не сделается,махнатка За ним стоит Китай И Франция собирается вс... весь текст скрыт [показать]
     
  • 1.2, Аноним (2), 17:44, 13/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Гы... урок Пакистанской чёрной дыры для Ютьюба не всем пошёл впрок.
     
  • 1.3, OpenZFS (?), 17:46, 13/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Да, со вчера на сегодня по Москве гугл лежал полностью: поиск, почта, ютуб
     
     
  • 2.5, Анонимус_б6_выпуск_3 (?), 17:47, 13/11/2018 [^] [ответить]    [к модератору]  
  • +20 +/
    может это и к лучшему?
     
  • 1.9, Аноним (9), 18:19, 13/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +8 +/
    Ох уж эти нигерийцы. Вначале просто слали спам, теперь портят интернет.
     
     
  • 2.32, псевдонимус (?), 22:50, 13/11/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    В этом деле(испоганивании интернета)им до гугля далеко.
     
     
  • 3.48, DmA (??), 09:07, 14/11/2018 [^] [ответить]    [к модератору]  
  • +/
    больше всего поганят Интернет боты продажные!
     
     
  • 4.54, псевдонимус (?), 14:18, 14/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Ты в гугле работаешь? Если дато ты вообще конченый человек.Хотя скорее всего пострадал твой долбобизнес,мудро завязанный а гугль.
     
  • 2.45, Аноним (45), 07:29, 14/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    При чём тут нигерийцы? Просто в ООНе кто-то самый умный решил всех принудительно заинтернетить, а кадров нема, вот издержки и пошли...
     
  • 1.10, freehck (ok), 18:36, 13/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +18 +/
    Всего лишь один пакет вырубил Google на 74 минуты. Вот она -- крутизна! :)
     
     
  • 2.40, псевдонимус (?), 01:25, 14/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Завидуешь?)
     
  • 1.13, Аноним (13), 19:20, 13/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    > мелким провайдером MainOne

    Лол. Какой маленький, но гордый провайдер со скромным и совсем не амбициозным названием.

     
     
  • 2.16, Нанобот (ok), 19:57, 13/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    у него ipv6-префиксов больше, чем у всех провайдеров моего города, вместе взятых. не такой он и маленький
     
     
  • 3.41, cutlass (?), 03:54, 14/11/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Они что не знают, что ipv6 не взлетел?
     
     
  • 4.50, freehck (ok), 09:33, 14/11/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > Они что не знают, что ipv6 не взлетел?

    Не взлетел, серьёзно? Ты статистику давно видел? :/
    https://www.google.com/intl/en/ipv6/statistics.html

     
     
  • 5.57, Аноним (57), 15:33, 14/11/2018 [^] [ответить]    [к модератору]  
  • +/
    На графике равномерная ёлочка, подозрительное увеличение.
     
  • 4.52, Аноним (52), 10:57, 14/11/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    Не взлетел в Рашке? Да и то, чтобы лишний раз не нарываться на нагибы РКНа.
     
     
  • 5.58, псевдонимус (?), 16:41, 14/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Он просто ненужен.айпив6 мертворожденное нечто.
     
  • 2.30, ползкрокодил (?), 22:44, 13/11/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Между прочим, в маленькой Нигерии населление выше, чем во всей РФ.
     
     
  • 3.49, Антон (??), 09:14, 14/11/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Россию "Нигерией в снегах" не просто так назвали. Примерно схожие показатели.
     
  • 2.34, псевдонимус (?), 22:52, 13/11/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Маленький,но гордый.Поэтому кого хочет,того и выключает)
     
  • 1.17, Аноним (17), 20:09, 13/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > крупнейший китайский провайдер China Telecom
    > ошибочный анонс

    orly? /0

     
  • 1.18, Аноним (18), 20:52, 13/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Подскажите несведущему, что мешает мне скрафтить BGP-пакет, подменив src, и отправить его в тот же China Telecom?
     
     
  • 2.21, КО (?), 21:24, 13/11/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    твоя несведущесть помешает тебе сведущему помешает то, что подменить вообще кра... весь текст скрыт [показать]
     
     
  • 3.23, erthink (ok), 21:32, 13/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Так фишка же в другом - мало-мало кто фильтрует или как корректнее выразиться... весь текст скрыт [показать]
     
  • 2.51, Нанобот (ok), 10:12, 14/11/2018 [^] [ответить]     [к модератору]  
  • +/
    скрафтить и отправить - ничего не мешает просто на другом конце его проигнориру... весь текст скрыт [показать]
     
  • 2.53, zanswer CCNA RS and S (?), 12:26, 14/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Создать BGP UPDATE вам будет и правда не сложно, да и TCP segment, в придачу с I... весь текст скрыт [показать]
     
     
  • 3.56, Сергей (??), 15:21, 14/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Вы хотите сказать что BGP пакеты вот так просто бегают вместе с публичным трафик... весь текст скрыт [показать]
     
     
  • 4.59, Dmitriy (??), 16:58, 14/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Да, именно так и есть. BGP вместе с остальным трафиком летает.
     
  • 4.61, zanswer CCNA RS S (?), 17:30, 14/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Верно, не какой _специальной_ инкапсуляции на стыке двух операторов нет Для обе... весь текст скрыт [показать]
     
  • 1.19, Аноним 80_уровня (ok), 20:54, 13/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Фильтры на даунлинков?
    Не, не слыхали.
     
     
  • 2.22, КО (?), 21:26, 13/11/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    дружище, вот China Telecom и ТрансТелеком - кто кому "даунлинк" и кто тут, собственно, даун?

     
     
  • 3.36, Аноним 80_уровня (ok), 23:34, 13/11/2018 [^] [ответить]    [к модератору]  
  • +/
    TTK — плохой пример, IMHO.
    А так, кто платит — тот и даунлинк.
     
     
  • 4.42, cutlass (?), 03:58, 14/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Если факты не подтверждают теорию, тем хуже для фактов.
     
  • 3.46, Олег (??), 08:40, 14/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Ясен фильтры верхнего провайдера MainOne на него же.
     
     
  • 4.55, КО (?), 15:20, 14/11/2018 [^] [ответить]     [к модератору]  
  • +/
    а, ти в этом смисле Ну да, могли бы быть я у себя ставил для потенциально-одар... весь текст скрыт [показать]
     
     
  • 5.70, Олег (??), 00:01, 17/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Фигня Это и есть то за что админам деньги платят А железки автоматизируются ... весь текст скрыт [показать]
     
  • 1.20, erthink (ok), 20:55, 13/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    BGP и кривые руки раскатают Инет быстрее, чем просто кривые руки.
     
  • 1.24, КГБ СССР (?), 21:43, 13/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов.

    Как считает многоуважаемый All — не связаны ли на самом деле такие инциденты с возникновением так называемых CDN-ов?

     
     
  • 2.25, erthink (ok), 21:52, 13/11/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Скорее уж это следствие роста кол-ва AS ок автономных систем , что выводится ка... весь текст скрыт [показать]
     
     
  • 3.29, КГБ СССР (?), 22:29, 13/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > неизбежное из термодинамики (рост энтропии и вот это всё).

    Тут уж возразить и нечего, да. :)

     
     
  • 4.43, Акакжев (?), 05:56, 14/11/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    В то время как люди строят реакторы на быстрых нейтронах, британские учёные всё ищут Демона Максвелла.
     
  • 1.44, Дуплик (ok), 07:12, 14/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Где живут нигерийцы?
     
  • 1.47, Олег (??), 08:42, 14/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Фак. Только в европе апстримы сношают фильтрами клиентов, блин?.. Нигерийцы клали походу.
     
     
  • 2.69, пох (?), 16:13, 15/11/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    и даже в европе - не все апстримы потому что бессмысленное занятие, а расхлебы... весь текст скрыт [показать]
     
     
  • 3.71, Олег (??), 09:01, 17/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Не могу согласиться Если стабильность работы для провайдера на первом месте, т... весь текст скрыт [показать]
     
     
  • 4.72, пох (?), 18:41, 18/11/2018 [^] [ответить]     [к модератору]  
  • +/
    сносом фильтров Большая часть 1st tier давно так и сделала потому что во-первы... весь текст скрыт [показать]
     
     
  • 5.73, Олег (??), 23:26, 18/11/2018 [^] [ответить]    [к модератору]  
  • +/
    >если они тупиковые, и не анонсят ничего кроме своей единственной /24, то можно, конечно, копаться с фильтрами, а буде захотят поанонсить еще одну - пусть через менеджера получат обобрям, мы через неделю разрешим.

    Что значит копаться :-)? Там делов на 2 минуты прописать фильтр. А по поводу менеджеров - это как организуешь. У нас это быстро делается.

    Я конечно не tier1, но и транзитёры есть даунлинками и на всех фильтры, ибо страшно как-то без фильтров. Никакого гемора не ощущаю.

     
     
  • 6.74, пох (?), 07:23, 19/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > Что значит копаться :-)? Там делов на 2 минуты прописать фильтр.

    для админа локалхоста всегда любая задача - "делов на 2 минуты", только потом либо не работает, потому что не подумано, либо работает неправильно, но он об этом так и остается в блаженном неведении.

    судя по тому что ты еще и вручную их "прописываешь", там именно локалхост.

    А теперь подумай, на секундочку, как выглядят сети покрупнее твоей, сколько там разных мест с _разными_ фильтрами и сколько в час ты будешь получать "мы началали/перестали анонсить префикс ..../.. " от своего менеджера, и по ночам тоже, если будешь иметь глупость все делать вот так.

    И теперь сюрприз на закусочку: от Калининграда до Новгорода у Ростелекома нормальный инженер - _один_. Так что не надейся, что эту бессмысленную работу удастся поделить на отдел из пятидесяти человек - даже если ты в China Telecom устроишься.

     
     
  • 7.75, Олег (??), 01:07, 21/11/2018 [^] [ответить]     [к модератору]  
  • +/
    Да нет Сколько лет уже работает, проблем нет Потому, что один раз подумано, чт... весь текст скрыт [показать]
     
  • 1.60, IZh. (?), 17:19, 14/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов

    Спасёт ли авторизация от кривых рук, которые так же всё и подпишут?

     
     
  • 2.68, Аноним (68), 08:45, 15/11/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    > Спасёт ли авторизация от кривых рук, которые так же всё и подпишут?

    Как вы себе представляйте ситуацию, когда инженер Google подписывает анонс мелкого нигерийского ISP?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor