В результате инцидента во многих регионах подсети Google оказались недоступны в течение 74 минут. Проблема затронула IP-адреса большинства сервисов и облачной сети Google, а также коснулось многих сторонних сайтов, использующих Google Cloud Platform, в том числе Spotify. Инцидент также нарушил работоспособность внутренней сети Google, так как среди перенаправленных подсетей также фигурировали корпоративные IP-адреса и Google VPN.
В этот же день следом за префиксами Google тот же нигерийский провайдер анонсировал префиксы сетей Cloudflare, которые также были приняты China Telecom и переданы по цепочке пирам. Поступающий в результате ошибочного анонса трафик блокировался на одном из пограничных машрутизаторов China Telecom.
Представители Google и Cloudflare считают, что BGP-анонс был вызван ошибкой, а не злым умыслом или вредоносной активностью. Разбор показал, что после завершившейся несколько недель назад конференции провайдеров Нигерии, была предпринята попытка модернизации инфраструктуры и усиления прямой связности нигерийских провайдеров. Google и Cloudflare являются единственными крупными сетями, подключившимися к точке обмена трафиком нигерийских провайдеров (IXPN). В процессе настройки прямого подключения к данной точке обмена трафиком мелким провайдером MainOne были допущены ошибки и некорректные данные о маршрутизации утекли в China Telecom, который, в свою очередь, анонсировал их своим пирам.
Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов. В вышеописанном инциденте часть вины лежит на провайдере China Telecom, который не использует в своей инфраструктуре какую-либо фильтрацию маршрутов и доверяет всем BGP-анонсам. На днях был опубликован отчёт, в котором озвучены сведения о прошлых перенаправлениях трафика с использованием BGP, наблюдаемых в China Telecom с 2014 года. В том числе, один из похожих инцидентов, произошедший в 2015 году, подтвердила компания Oracle.
Тем временем, компанией Cisco в Иране зафиксирована попытка перехвата трафика Telegram и Instagram с использованием BGP. По данным исследователей попытки перехвата наблюдаются с 2017 года и направлены против приблизительно 40 млн иранских пользователей, которые продолжают пользоваться мессенджером Telegram, несмотря на его запрет в Иране. В ходе атаки для получения контроля за учётными записями пользователям выводились фиктивные страницы входа. Также выявлены попытки распространения вредоносного клона приложения Telegram, размещаемого в официальных репозиториях, таких как Google Play.
Источник: https://www.opennet.ru/opennews/art.shtml?num=49603
(opennet.ru, основная лента)