Get best of the week

كيف قامت Rostelecom بإعادة توجيه حركة المرور عن طريق الخطأ إلى Google و AWS و Cloudflare وما إلى ذلك.

في وقت سابق من هذا الأسبوع (1 إلى 5 أبريل ، 20) ، تم توجيه حركة المرور الموجهة لأكثر من 200 من أكبر مزودي شبكات CDN والسحاب في العالم بشكل مريب من خلال Rostelecom (مزود الاتصالات الرئيسي في روسيا).

وقد أثر الحادث على أكثر من 8،800 مسار لحركة مرور الإنترنت من أصل 200+ شبكات واستمر حوالي ساعة.

الشركات المتأثرة هي تلك الموجودة في سوق السحابة و CDN ، بما في ذلك الأسماء الكبيرة مثل Google و Amazon و Facebook و Akamai و Cloudflare و GoDaddy و Digital Ocean و Joyent و LeaseWeb و Hetzner و Linode.

تفاصيل تقنية



الحادث هو اختطاف BGP الكلاسيكي .

BGP اختصار لـ Border Gateway Protocol وهو نظام واقعي يستخدم لتوجيه حركة مرور الإنترنت بين شبكات الإنترنت حول العالم.

لا يزال نظام توجيه الإنترنت بأكمله هشًا للغاية ، لأن أي من الشبكات المشاركة يمكنها ببساطة "الكذب" ونشر إعلان (مسار BGP) يشير إلى أن "خوادم Facebook" موجودة على شبكتها ، وسيعتبرها العديد من مقدمي الخدمات قانونيًا و إرسال جميع حركة المرور على Facebook إلى خوادم "المحتال".

جولة تاريخية


في الماضي ، قبل استخدام HTTPS على نطاق واسع لتشفير حركة المرور ، سمح قراصنة BGP للمهاجمين بتنفيذ هجمات " الرجل في الوسط " واعتراض / تعديل حركة الإنترنت.

في الوقت الحالي ، لا تزال عمليات اختراق BGP خطيرة لأنها تسمح للمهاجمين بتسجيل حركة المرور وتحليلها وفك تشفيرها لاحقًا ، عندما يضعف التشفير المستخدم لحمايته بسبب التقدم في التشفير.

كانت عمليات اختراق BGP مشكلة في العمود الفقري للإنترنت منذ منتصف التسعينات ، وقد بذلت جهود لتعزيز أمن بروتوكول BGP على مر السنين ، مع مشاريع مثل ROV و RPKI ، ومؤخرًا ، MANRS .

ومع ذلك ، فإن التقدم في اعتماد البروتوكولات الجديدة بطيء ، ولا يزال انتحال BGP يحدث بشكل منتظم.

على سبيل المثال ، في نوفمبر 2018 ، اعترض موفر إنترنت نيجيري صغير حركة المرور الموجهة لشبكة Google ، وفي يونيو 2019 ، تم إعادة توجيه معظم حركة الهاتف المحمول الأوروبية من خلال شركة China Telecom ، أكبر شركة اتصالات مملوكة للدولة وأكبر شركة اتصالات في الصين.

Rostelecom - مجرم متكرر


في الماضي ، لاحظ الخبراء مرارًا وتكرارًا أن ليس كل "خاطفي" BGP تصرفوا بشكل هادف. يمكن أن تكون معظم الحوادث ناتجة عن عامل بشري: يتم إغلاق المشغل عند طلب ASN (الرمز الذي يتم من خلاله تحديد كيانات الإنترنت) وسرقة حركة الإنترنت لهذه الشركة عن طريق الخطأ.

ومع ذلك ، فإن المنظمات التي تراقب عمليات خطف BGP بانتظام ، وكذلك الحوادث التي يصفها العديد من الخبراء بأنها مشبوهة ، تشير إلى أن هذه ليست أخطاء عشوائية في كثير من الأحيان.

تعتبر شركة الاتصالات الصينية حاليا أكبر مجرم على هذه الجبهة [ 1 ، 2 ].

على الرغم من حقيقة أن Rostelecom ( AS12389) لا تشارك في "عمليات اختطاف" BGP على نطاق واسع مثل China Telecom ، فهي أيضًا وراء العديد من الحوادث المشبوهة المماثلة.

حدث آخر اختطاف رئيسي لـ Rostelecom في عام 2017 ، عندما تم استبدال مسارات BGP للعديد من أكبر المؤسسات المالية في العالم ، بما في ذلك Visa و Mastercard و HSBC وغيرها الكثير.

في ذلك الوقت ، وصف Cisco BGPMon الحادث بأنه "فضولي" ، لأنه أثر على ما يبدو فقط على الخدمات المالية ، وليس على ASNs العشوائية.

هذه المرة ، كل شيء غامض: مؤسس BGPMon أندريه تونك يشك في تركيز المشغل الروسي وقال على تويترأن "القرصنة" حدثت بعد أن يكشف النظام الفرعي لإدارة حركة المرور الداخلية في Rostelecom عن غير قصد مسارات BGP الخاطئة على الإنترنت العام ، وليس على الشبكة الداخلية لـ Rostelecom.

على الوضع برمته


كما لاحظ العديد من خبراء الإنترنت في الماضي ، قد يبدو الاختطاف المتعمد لـ BGP كخطأ عرضي ، ولا يمكن لأحد أن يلاحظ الفرق.

ستعتبر عمليات اختطاف BGP في مؤسسات الاتصالات التي تسيطر عليها الدولة في الدول الاستبدادية مثل الصين وروسيا دائمًا مشبوهة ، ويرجع ذلك أساسًا إلى السياسة ، وليس لأسباب فنية.

المزيد من الروابط:
المزيد حول هذا التسرب للطرق من 2 أبريل: habr.com/ru/company/qrator/blog/495274
استجابة إعلامية واستجابة Rostelecom: tjournal.ru/news/156008-zhurnalist-poprosil-rostelekom-obyasnit-peregruzku- seti-iz-za-karantina-press-sluzhba-otvetila-emu-a-potom-oskorbila
tech.slashdot.org/story/20/04/07/0018229/russian-telco-hijacked-internet-traffic-of-google-aws-cloudflare-and-others

More articles:


All Articles