Эксперимент с BGP «сломал» интернет в Азии и Австралии

Эксперимент, проведенный ранее в этом месяце с целью изучить новые функции безопасности протокола Border Gateway Protocol (BGP), пошел не так и вывел из строя маршрутизаторы интернет-провайдеров в Азии и Австралии.

О намерении провести эксперимент группа ученых со всего мира сообщила в середине прошлого месяца. С его помощью специалисты хотели «найти альтернативы для ускорения принятия BGP Route Origin Validation».

BGP Route Origin Validation (ROV) представляет собой новый стандарт и является частью пакета безопасности для протокола BGP наряду с BGP Resource Public Key Infrastructure (RPKI) и BGP Path Validation (BGPsec). BGP ROV позволяет маршрутизаторам использовать информацию BGP RPKI для отсеивания неавторизованных объявлений маршрутов и предотвращения перехвата BGP злоумышленниками с целью перенаправления трафика с легитимных серверов на вредоносные.

Эксперимент, являющийся продолжением ранее опубликованного исследования , был назначен на 8 и 23 января. Ученые планировали объявить маршрут BGP с «действующим, соответствующим стандартам неназначенным атрибутом BGP» из подконтрольной им сети, а затем изучить, как определение маршрута распространяется через сети других интернет-провайдеров по всему интернету.

Идея заключалась в том, чтобы определить передвижение атрибута BGP и выявить уязвимые места, однако уже в первый день эксперимента что-то пошло не так. «Вчера мы сделали первое объявление в этом эксперименте, и хотя оно соответствовало стандартам BGP, после его получения маршрутизаторы FRR сбросили свои сеансы. Обнаружив проблему, мы остановили эксперимент», – сообщил исследователь Федерального университета Минас-Жерайс в Бразилии Итало Кунья (Italo Cunha).

По словам исследователя, проблема заключалась в том, что используемый ими атрибут BGP вызвал сбой в работе программного обеспечения маршрутизаторов, работающих на базе FRRouting (FRR) – набора IP-протоколов для Linux и Unix.

9 января неполадки были устранены, и ученые решили продолжить эксперимент 23 января. Хотя предыдущая проблема была исправлена, возникла новая. Исследователи сообщили о готовящемся эксперименте только Североамериканской группе операторов сетей (NANOG), тогда как интернет-провайдеры в других уголках мира ничего о нем не знали.

«Можно это прекратить? Вы снова вызвали масштабный взлет/выброс префиксов, а поскольку интернет не сосредоточен вокруг одной лишь Северной Америки (шок, ужас!), ваш эксперимент затронул ряд операторов в Азии и Австралии», – сообщил администратор сети компании PacketGG, когда начался второй этап эксперимента.

На этот раз причиной проблемы стала неспособность ПО BGP обработать использовавшийся в эксперименте атрибут BGP. Некоторые интернет-провайдеры не обновили свое ПО до последних версий, поэтому оно не смогло обработать кастомизированный атрибут.

После получения первой жалобы ученые окончательно прекратили эксперимент.