- PVSM.RU - https://www.pvsm.ru -
Новые интернет-провайдеры появляются буквально каждый день, и 12 декабря 2017 года не было исключением. Новичок в экосистеме междоменной маршрутизации, AS39523 [1] (DV-LINK-AS), начала анонсировать собственное адресное пространство (один префикс), добавив к нему в то же время еще 80 чужих префиксов, принадлежащих как российским, так и международным контент-провайдерам, таким как Google, Facebook, Mail.ru, Vkontakte и многим других.
Инцидент длился более 2-х часов, начавшись в 4:44 по UTC с пиком в 80 префиксов, закончившись в 7:19 с еще одним пиком в районе 7:04 UTC.
Из-за специфического набора сервисов, испытавших влияние инцидента, мы можем предположить, что статические маршруты протекли в BGP. Тем не менее, основной вопрос заключается в том, почему эти некорректные анонсы вообще распространились? Тот факт, что перехваченные префиксы распространились во все уголки интернета, демонстрирует как отсутствие каких-либо фильтров между AS39523 [2] и ее прямым поставщиком AS31133 (Мегафон), так и между AS31133 (Megafon) и крупнейшими мировыми операторами связи, такими как Level3 (AS3356), Cogent (AS174), Zayo (AS6461), Hurricane Electric (AS6939) и другими.
Существуют три наиболее распространенных причины отсутствия входящих фильтров на стыках операторов вида клиент-поставщик:
Это несложно доказать, все что нужно — это найти глобально видимый префикс без route объекта. Например, у сети 91.243.129.0/24 [3] нет никаких соответствующих route-объектов ни в одной базе данных [4], но при этом она спокойно анонсируется Мегафоном и его Tier1-апстримами.
Пример из IPv6 также легко найти. Не существует route6 объекта для сети 2a03:34e0::/32, что видно из NLNOG’s IRRExplorer [5], но опять же префикс 2a03:34e0::/32 [6] распространяется без затруднений. Отсюда можно сделать вывод, что не существует фильтров между AS12695 и AS31133 (Мегафон), либо фильтры не работают, а также что нет фильтров и между Мегафоном и Hurricane Electric (AS6939).
Данный перехват еще раз поднял проблему фильтрации префиксов на стыках клиентов и поставщиков. Конечно, можно свалить всю вину на AS39523 [2], но без настроенных фильтров на стыках между транзитными операторами связи, мы обречены видеть подобные инциденты снова и снова. Мы настоятельно рекомендуем всем транзитным операторам перепроверить свои политики фильтрации, по меньшей мере внедрив prefix-based BGP фильтры на всех соединениях с клиентами.
Всего неделю назад на московском пиринговом форуме Александр Азимов, глава проекта Radar.Qrator, представил доклад, посвященный данной теме — вы можете перейти по ссылке [7] для того, чтобы прослушать доклад и получить больше информации о том, как отсутствие фильтров становится дырой в безопасности, способной проводить успешные атаки MiTM даже на зашифрованный трафик.
Особая благодарность Job Snijders из NTT Communications за помощь в подготовке данной публикации.
Автор: Shapelez
Источник [8]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/sistemnoe-administrirovanie/270645
Ссылки в тексте:
[1] AS39523: https://radar.qrator.net/as39523
[2] AS39523: https://radar.qrator.net/as39523/whois
[3] 91.243.129.0/24: https://radar.qrator.net/as202925/graph#91.243.129.0/24
[4] ни в одной базе данных: http://irrexplorer.nlnog.net/search/91.243.129.0/24
[5] NLNOG’s IRRExplorer: http://irrexplorer.nlnog.net/search/2a03:34e0::/32
[6] 2a03:34e0::/32: https://radar.qrator.net/as12695/graph#2a03:34e0::/32
[7] перейти по ссылке: https://youtu.be/RSXeIvv4jt4?t=10557
[8] Источник: https://habrahabr.ru/post/344648/?utm_campaign=344648
Нажмите здесь для печати.