Ошибочная массовая загрузка статических маршрутов на пограничный маршрутизатор производственной сети Telstra стала причиной сбоя в работе интернет-сервиса в прошлую среду, когда трафик данных сделал большой крюк через Австралию, что привело к снижению производительности других провайдеров в этом процессе.
Старший сетевой инженер Telstra Марк Даффелл извинился за ошибку, которая означала, что 500 префиксов интернет-протокола версии 4 (IPv4), или подсетей, были объявлены принадлежащими Telstra.
Техническая ошибка произошла в рамках пост-проверочного тестирования для устранения программной ошибки в инструментах прямой подготовки Telstra Internet.
После того как неправильная конфигурация была развернута на одном пограничном маршрутизаторе, сотни префиксов IPv4 были объявлены глобальному Интернету через протокол border gateway protocol (BGP), который предоставляет информацию о маршруте для сетевых провайдеров.
Когда соседние интернет-узлы или автономные системы (ASs) узнали через BGP, что самые быстрые и эффективные маршруты к определенным сетям предположительно проходят через Telstra, они приняли эту информацию и объявили о ней другим провайдерам, к которым они подключились, что усилило ошибку.
«Важно понимать, что первопричина этого прерывания не была злонамеренной по своей природе, маршруты не были намеренно захвачены, и никакие электронные письма или данные не были нарушены или потеряны», — писал Даффелл.
Telstra временно отключила инструменты тестирования подготовки до тех пор, пока не сможет гарантировать, что случайный захват маршрута в среду не повторится.
Телекоммуникационная компания также модифицирует свою систему проверки маршрутов, чтобы запретить массовую загрузку статических маршрутов, что и стало первоначальной причиной проблем среды.
Нет практического способа предотвратить угон BGP
Telstra внедрила Инфраструктуру открытых ключей ресурсов (RPKI) в своей внутренней сети AS 1221 и работает над добавлением технологии сертификации в свою международную сеть AS 4637, сообщил ITnews представитель компании.
С помощью RPKI провайдеры могут криптографически проверить, имеет ли организация право делать объявления о маршрутах BGP.
Если нет, то объявления могут быть признаны недействительными и автоматически отфильтрованы, что предотвратит маршрутизацию трафика по неправильным сетевым узлам.
Но безопасный поставщик электронной почты Protonmail, который был среди поставщиков услуг, пострадавших от захвата маршрутизации Telstra, указал, что RPKI является опциональным и будет работать только в том случае, если каждая сеть в Интернете будет стремиться соблюдать его.
В настоящее время только 17 процентов интернета используют проверку RPKI, что означает, что угон BGP может нанести значительный ущерб.
В результате инцидента, произошедшего в среду, около 30 процентов мирового интернета, ищущего Protonmail, было направлено на Telstra.
Protonmail заявила, что, хотя никакие данные или сообщения не были потеряны, она «понесла значительные финансовые потери», поскольку некоторые услуги, такие как ее платежная система, не функционировали в течение нескольких часов.
Швейцарский провайдер смог перенаправить весь почтовый и веб-трафик на незатронутые интернет-маршруты, и единственной проблемой, с которой столкнулись его клиенты, были задержки в отправке и получении сообщений.
Это превратило то, что Protonmail назвал, возможно, самым серьезным инцидентом с захватом BGP, затронувшим более 1680 префиксов IPv4, в незначительное неудобство для своих клиентов.
Основатель службы мониторинга BGP BGPmon Андри Тунк объяснил, что проверка маршрута RPKI работает только на входе, то есть на маршрутах, которые изучаются из одноранговой сети.
В настоящее время, КОИР проверки маршрута не выполняется на выход или исходящих маршрутов.