Маршрутизация к нескольким миллионам IP-адресов Google вчера была нарушена (https://blog.thousandeyes.com/internet-vulnerability-takes-d.../) в результате ошибочного BGP-анонса, отправленного небольшим провайдером MainOne из Нигерии (AS 37282 (https://bgpview.io/asn/37282)). Данный провайдер анонсировал для своей автономной системы 212 префиксов (https://portal.bgpmon.net/data/google-leak-nov2018.txt) подсетей Google, после чего новый маршрут подхватил крупнейший китайский провайдер China Telecom (AS 4809 (https://bgpview.io/asn/4809)) и ретранслировал его для своих пиров, среди которых изменение приняли Транстелеком, NTT и многие другие транзитные провайдеры первого уровня (Tier 1).
В результате инцидента во многих регионах подсети Google оказались (https://twitter.com/bgpmon/status/1062130855072546816) недоступны в течение 74 минут. Проблема затронула IP-адреса большинства сервисов и облачной сети Google, а также коснулось многих сторонних сайтов, использующих Google Cloud Platform, в том числе Spotify. Инцидент также нарушил работоспособность внутренней сети Google, так как среди перенаправленных подсетей также фигурировали корпоративные IP-адреса и Google VPN.
В этот же день следом за префиксами Google тот же нигерийский провайдер анонсировал (https://twitter.com/bgpmon/status/1062145172773818368) префиксы сетей Cloudflare, которые также были приняты China Telecom и переданы по цепочке пирам. Поступающий в результате ошибочного анонса трафик блокировался на одном из пограничных машрутизаторов China Telecom.
Представители Google и Cloudflare считают, что BGP-анонс был вызван ошибкой, а не злым умыслом или вредоносной активностью. Разбор показал, что после завершившейся несколько недель назад конференции провайдеров Нигерии, была предпринята попытка модернизации инфраструктуры и усиления прямой связности нигерийских провайдеров. Google и Cloudflare являются единственными крупными сетями, подключившимися к точке обмена трафиком нигерийских провайдеров (IXPN (http://ixp.net.ng/)). В процессе настройки прямого подключения к данной точке обмена трафиком мелким провайдером MainOne были допущены ошибки и некорректные данные о маршрутизации утекли в China Telecom, который, в свою очередь, анонсировал их своим пирам.
Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно (https://bgpmon.net/) и будут продолжаться, пока не будут внедрены методы авторизации (https://www.opennet.ru/opennews/art.shtml?num=47303) BGP-анонсов. В вышеописанном инциденте часть вины лежит на провайдере China Telecom, который не используется в своей инфраструктуре какую-либо фильтрацию маршрутов и доверяет всем BGP-анонсам.
На днях был опубликован отчёт (https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1...), в котором озвучены сведения о прошлых перенаправлениях трафика с использованием BGP, наблюдаемых в China Telecom с 2014 года. В том числе, один из похожих инцидентов, произошедший в 2015 году,
подтвердила (https://internetintel.oracle.com/blog-single.html?id=China+T...) компания Oracle.
Тем временем, компанией Cisco в Иране зафиксирована (https://blog.talosintelligence.com/2018/11/persian-stalker.html) попытка перехвата трафика Telegram и Instagram с использованием BGP. По данным исследователей попытки перехвата наблюдаются с 2017 года и направлены против приблизительно 40 млн иранских пользователей, которые продолжают пользоваться мессенджером Telegram, несмотря на его запрет в Иране. В ходе атаки для получения контроля за учётными записями пользователям выводились фиктивные страницы входа. Также выявлены попытки распространения вредоносного клона приложения Telegram, размещаемого на в официальных репозиториях, таких как Google Play.
URL: https://arstechnica.com/information-technology/2018/11/major.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=49603