фото Javier Allegue Barros Unsplash
Вспоминаем, кому пришлось столкнуться с неисправностями из-за проблем с Border Gateway Protocol. Приводим примечательные кейсы за последние несколько лет.
BGP был разработан в 1989 году инженерами Cisco и IBM. Вместе с DNS этот динамический протокол маршрутизации стал базовым для Всемирной сети и был оформлен в стандарте IETF. С 1994 года он работает практически без изменений. С его помощью автономные системы провайдеров получают данные о доступности сетей и об оптимальных маршрутах для передачи пакетов, но не могут их верифицировать. Так, существенные ошибки в таблицах маршрутизации, которыми обмениваются системы, зачастую приводят к серьезным сбоям в глобальной сети. Об этих проблемах было известно еще 20 лет назад, но сталкиваться с ними специалистам приходится и сегодня. Рассмотрим наиболее заметные кейсы.
5 лет назад — атака на майнинговые пулы
Атаковать пулы WafflePool смогли с помощью перенаправления трафика ряда провайдеров, и в этом злоумышленникам помогли BGP-маршрутизаторы одного из телекомов. Когда к ним удалось получить доступ, переводами сгенерированной майнерами криптовалюты начали управлять с помощью подменного сервера. Эту операцию повторяли каждые 30 секунд и осуществили кражу эквивалента более 80 тысяч долларов. За пять лет курсы криптовалют изменились, и похищенная сумма может оцениваться в сотни тысяч или миллионы долларов.
2 года назад — глобальный сетевой сбой в Японии
Проблемы, с которыми столкнулась сеть этой страны, продолжались более часа. Одна из вероятных причин заключалась в ошибочной настройке BGP на стороне Google. Сотрудники компании неверно анонсировали блоки IP-адресов японских интернет-провайдеров, и глобальные телекомы вроде Verizon начали перенаправлять трафик из страны на серверы Google. Данные просто уходили в никуда, так как это оборудование не могло обеспечить их маршрутизацию.
фото Liam Burnett-Blue Unsplash
В итоге на время, пока производилось действия по устранению проблемы, в стране остановилась работа ряда крупных веб-сервисов, включая игровые площадки и системы бронирования билетов. Среди затронутых инцидентом организаций были и государственные структуры Японии, а больше всех пострадал местный провайдер NTT Communications Corp, обслуживающий более семи миллионов человек.
В этом году — аналогичная проблема наблюдалась в Европе
На этот раз трафик ряда европейский провайдеров был перенаправлен в Китай и пошел через оборудование China Telecom. В этом инциденте поучаствовали такие телекомы, как Swisscom, KPN, Bouygues Telecom и Numericable-SFR. Все они представляют Европу. Во время сбоя, который мог быть и спланированной атакой, их клиенты не могли осуществлять переводы средств и общаться в мессенджерах.
В этом году — глобальные проблемы с доступностью сервисов
Инцидент произошел в середине лета, и его последствия все еще обсуждают. Проблемы с доступностью были практически у всех крупных ИТ-компаний — от Apple до Cloudflare — и информационных площадок вроде Reddit и Twitch. Причиной сбоя считают BGP-маршрутов на стороне небольшого провайдера в Пенсильвании. Когда неверные данные маршрутизации распространились по Сети, запросы миллионов пользователей стали проходить всего через ряд телекомов, которые не могли быть готовы к таким нагрузкам и просто не справились с их обслуживанием.
Об этой ситуации мы писали в нашем Telegram-канале
Что дальше
Чтобы стабилизировать и «укрепить оборону» BGP уже предложен ряд специализированных подходов и стандартов. Так, еще с 2014 года идет разработка свода лучших практик обмена маршрутами в Сети. Эта работа проводится в рамках программы MANRS. Задача ее участников — сформулировать эффективные рекомендации и обмениваться инструментарием для устранения ошибок и сбоев. Помимо этого в 2017 году была представлена система ARTEMIS. Этот инструмент разработали американские специалисты при поддержке правительства США. Его специализация — поиск подмен в маршрутах, предотвращение BGP hijacking.
фото Brendan Church Unsplash
Оба продукта (практики MANRS и систему ARTEMIS) уже начинают внедрять у себя крупнейшие телекомы — от AT&T до NTT Communications. Предотвратят ли они сбои, которые мы все могли наблюдать не так давно, еще предстоит узнать.
