IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

قطعی اخیر، بهانه Cloudflare برای حادثه هایجک BGP

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir cloudflare blames recent outage on bgp hijacking incident 1
غول اینترنتی Cloudflare گزارش داده است که سرویس ریسولور DNS آن، که با 1.1.1.1 شناخته می‌شود، اخیرا برای برخی از مشتریانش به دلیل ترکیبی از هایجک Border Gateway Protocol (BGP) و نشت مسیر، غیرقابل دسترس یا تخریب شده است.

این حادثه هفته گذشته رخ داد و ٣٠٠ شبکه را در ٧٠ کشور تحت تاثیر قرار داد. علیرغم این اعداد، این شرکت می‌گوید که تاثیر آن «بسیار کم‌» بوده و در برخی کشور‌ها کاربران حتی متوجه آن نشده‌اند.

جزئیات حادثه
مجموعه Cloudflare می‌گوید که در ساعت 18:51 UTC در ٢٧ ژوئن، Eletronet S.A (AS267613) شروع به اعلام آدرس IP 1.1.1.1/32 به همتایان و ارائه‌دهندگان بالادستی خود کرد.
takian.ir cloudflare blames recent outage on bgp hijacking incident 2
این اعلان نادرست توسط چندین شبکه، از‌جمله یک ارائه‌دهنده سطح 1، که آن را به عنوان مسیر Remote Triggered Blackhole (RTBH) در نظر گرفت، پذیرفته شد.

هایجک شدن به این دلیل رخ داد که مسیر‌یابی BGP به سمت خاص‌ترین مسیر است. اعلان AS267613 در مورد 1.1.1.1/32 ویژه‌تر از Cloudflare 1.1.1.0/24 بود و شبکه‌ها را به سمت مسیر ترافیک نادرست AS267613 سوق داد.

در نتیجه، ترافیک در نظر گرفته شده برای ریسولور DNS 1.1.1.1 Cloudflare اصطلاحا بلک‌هول یا ریجکت شد و از این رو، این سرویس برای برخی از کاربران در دسترس نبود.

یک دقیقه بعد، در ساعت 18:52 به وقت ایالات متحده، Nova Rede de Telecomunicações Ltda (AS262504) به اشتباه 1.1.1.0/24 را در بالادست AS1031 افشا کرد که آن را بیشتر کرد و بر روتینگ جهانی تاثیر گذاشت.
takian.ir cloudflare blames recent outage on bgp hijacking incident 3
این نشت مسیر‌های روتینگ معمولی BGP را تغییر داد، و باعث شد که ترافیکی که برای 1.1.1.1 تعیین شده بود، نادرست مسیر‌یابی شود، مشکل هاسجک را تشدید کرد و مشکلات دسترسی و تاخیر اضافی را ایجاد کرد.

مجموعه Cloudflare مشکلات را در حدود ساعت 20:00 UTC شناسایی کرد و تقریبا دو ساعت بعد هایجک را حل کرد. نشت مسیر در ساعت 20:28 UTC برطرف شد.

تلاش برای اصلاح
پاسخ اولیه Cloudflare این بود که با شبکه‌های درگیر در حادثه ارتباط گرفته و در‌عین‌حال نشست‌های همتا را با تمام شبکه‌های مشکل‌ساز غیرفعال کرد تا سطح تاثیرات را کاهش دهد و از انتشار بیشتر مسیر‌های نادرست جلوگیری کند.

این شرکت توضیح داد که اعلان‌های نادرست به دلیل اتخاذ زیرساخت کلید عمومی منابع (RPKI)، که منجر به رد خودکار مسیر‌های نا‌معتبر شد، روی مسیر‌یابی شبکه داخلی تاثیری نداشته است.

راه‌حل‌های بلند‌مدت Cloudflare ارائه‌شده برای حل و رفع این مشکلات عبارتند از:

• سیستم‌های تشخیص نشت مسیر را با ترکیب منابع داده بیشتر و ادغام نقاط داده لحظه‌ای تقویت کنید.
• زیرساخت کلید عمومی منبع (RPKI) برای اعتبارسنجی مبدا مسیر (ROV) را اعمال کنید.
• پذیرش Mutually Agreed Norms که برای اصول مسیر‌یابی امنیتی (MANRS)، که شامل ریجکت کردک طول پیشوند‌های نا‌معتبر و اجرای مکانیزم‌های فیلتر قوی است را اعمال نمایید.
• شبکه‌ها را تشویق کنید که پیشوند‌های IPv4 طولانی‌تر از 24/ را در منطقه آزاد پیش‌فرض (DFZ) ریجکت کنند.
• استقرار اشیاء ASPA (که در حال حاضر توسط IETF تهیه شده است)، که برای اعتبارسنجی مسیر AS در اعلامیه‌های BGP استفاده می‌شود را در نظر بگیرید.
• پتانسیل اجرای RFC9234 و Discard Origin Authorization (DOA) را بررسی کنید.

برچسب ها: DNS resolver, 1.1.1.1/32, 1.1.1.0/24, 1.1.1.0, Discard Origin Authorization, MANRS, RPKI, AS267613, RTBH, Remote Triggered Blackhole, 1.1.1.1, Border Gateway Protocol, BGP, هایجک, Hijack, Cloudflare, cybersecurity, DNS, DNS1.1.1.1, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

چاپ ایمیل