Rosyjski system na 6 minut przejął globalny ruch do Google, Facebooka i Microsoftu

W kwietniu 2010 roku doszło do osobliwej usterki w działaniuglobalnego Internetu. IDC China Telecomunications rozgłosiłona swoich routerach brzegowych błędne trasy. Normalnie obsługującaokoło 40 prefiksów firma zaczęła obsługiwać ich ponad 37tysięcy. Chwilę później konfiguracja została przejęta przezroutery ogromnego China Telecom, a od nich przez kolejne routery nacałym świecie. W efekcie na całe 18 minut Chiny przejęły około15% globalnego ruchu sieciowego, który nigdy przez Chiny niepowinien iść. Wygląda na to, że do podobnej usterki doszłoostatnio w Rosji.

Kanadyjska firma BGPmon, specjalizująca się w monitorowaniusieci i bezpieczeństwie trasowania odnotowała wczoraj takie właśniezjawisko: 80 prefiksów normalnie rozgłaszanych przez organizacjetakie jak Google, Facebook, Microsoft, Apple, Twitch, NTTCommunication i Riot Games nagle pojawiło się w globalnychtablicach routerów brzegowych jako wychodzące z systemuautonomicznego AS 39523, DVL-LINK-AS, prosto z Rosji.

Incydent zaczął się o godzinie 4:43 UTC i trwał trzy minuty.O 7:07 UTC wydarzył się drugi, dokładnie taki samincydent, zakończony również po 3 minutach. Jak pisze Andree Tonkz BGPmon, choć oba incydenty trwały krótko, to jednak byłyznaczące – zmienione tablice podjęło wiele peerów, pojawiłosię też wiele prefiksów normalnie nie widzianych w Sieci.

Wspomniany punkt autonomiczny AS 39523 przez wiele lat nierozgłaszał żadnych prefiksów, poza jednym wyjątkiem z sierpniatego roku, gdy pojawił się podczas ogromnejawarii Internetu w Japonii. Jego nagłe pojawienie się irozgłaszanie prefiksów dla najpopularniejszych miejsc w Sieci niebyło więc niczym normalnym. A jednak rozgłaszane przez niegotrasy, przechodzące zawsze przez system autonomiczny moskiewskiegoMegaFonu (AS 31133) zostały przyjęte przez wielu dużych dostawcówInternetu na całym świecie, m.in. Hurricane Electric, Zayo,Nordunet i Telstra.

Pojawienie się w nowej konfiguracji zarówno prefiksów wielkichinternetowych lokalizacji, jak i prefiksów normalnie niespotykanychw Sieci oznaczać by miało zdaniem BGPmon, że ktoś celowo wstawiate specyficzne prefiksy, by przyciągnąć do nich ruch. Tak byłoteż podczas tego „japońskiego” incydentu, gdy AS 39523 pojawiłsię po raz pierwszy. Wtedy to sieć Google’a przyjęła ścieżkęwywodzącą się z rosyjskiego punktu autonomicznego za pośrednictwemrouterów największego na świecie operatora wymiany ruchu Equinix –a kończącą się na sieci Verizonu.

To właśnie doprowadziło do sytuacji, w której cały ruch odjapońskich gigantów telekomunikacyjnych, m.in. NTT i KDDI, zostałwysłany do Google’a, w oczekiwaniu że zostanie potraktowany jakoruch tranzytowy. Google nie dostarcza przecież jednak usługtranzytowych, więc japoński ruch błyskawicznie zadławił jegopunkt styku, przełączając filtry dostępowe – i wylądował wczarnej dziurze. Efekt? Przez kilka godzin prawie cały krajKwitnącej Wiśni był bez Internetu.

Niewtajemniczonym w tajniki działania Internetu Czytelnikomwyjaśnijmy: BGP to protokół służący rozpowszechnianiuinformacji o trasach ruchu między sieciami. Takie rozgłaszanie niejest w żaden sposób weryfikowane – w pewnym momencie jakiś punktautonomiczny może zacząć mówić – jeśli skierujesz do mnieruch do Telstry, to na pewno on dotrze do celu. W czasach, gdy BGPpowstawał, Internet był oczywiście znacznie mniejszy, wszyscywszystkich znali. Dzisiaj stanowi ewidentne zagrożenie dlastabilności sieci. Niestety z inicjatyw takich jak MANRSczy ROVER, które mogłybyzabezpieczyć ruch sieciowy, nic jak do tej pory nie wynika.

I dlatego właśnie tajemnicze systemy autonomiczne mogą robićto, co robią. Co Chińczycy i Rosjanie zrobili z ruchem sieciowym,który przechodził przez ich sieci, możemy się tylko domyślać.