Когда пентест дороже, чем лечение депрессии
Image

Кибербез без цензуры

Подписка = +10 к цинизму →

Бесконечный цикл и лавинообразные сбои. Весь наш интернет может «упасть и не подняться» в любой момент

leer en español

BGP ETH Zurich Felix Штёгер SCION маршрутизация интернет-сети отказ в обслуживании
Бесконечный цикл и лавинообразные сбои. Весь наш интернет может «упасть и не подняться» в любой момент
BGP ETH Zurich Felix Штёгер SCION маршрутизация интернет-сети отказ в обслуживании

На конференции USENIX Security представили реалистичный сценарий сбоя глобальной сети.

image

Уязвимость в архитектуре интернета, получившая название BGP Vortex, привлекла внимание специалистов после презентации на конференции USENIX Security 2025. Она связана с нестабильностью протокола маршрутизации BGP, который лежит в основе взаимодействия сетей по всему миру.

Несмотря на то, что протокол был разработан более трёх десятилетий назад и до сих пор является ключевым механизмом для обмена маршрутизируемыми IP-адресами между автономными системами, в его конструкции отсутствуют современные гарантии устойчивости. Это открывает возможности для создания непредсказуемых сбоев в работе интернета.

В рамках исследования была продемонстрирована возможность искусственно запустить так называемую вихревую маршрутизацию. Она приводит к бесконечным переключениям маршрутов между крупнейшими интернет-сетями, вызывая лавинообразное распространение BGP-сообщений и, как следствие, масштабные перебои в маршрутизации. Подобные колебания способны нарушить стабильность соединения между сетями и создать перегрузку на уровне оборудования, что может привести к частичным или полным сбоям доступа к интернету.

Ключевым элементом, позволяющим реализовать этот сценарий, стало сочетание двух довольно распространённых стратегий маршрутизации: снижения локального приоритета маршрута и выборочной блокировки распространения маршрутов к определённым автономным системам. Несмотря на то, что каждая из этих практик сама по себе считается допустимой, их совмещение нарушает устойчивые правила маршрутизации и запускает цепную реакцию нестабильности.

Для демонстрации последствий BGP Vortex команда провела серию экспериментов, в которых участвовали реальные автономные системы. Было установлено, что 21 из 30 крупнейших сетей в интернете поддерживают политики, делающие их уязвимыми. Это означает, что при координированной атаке воздействию может подвергнуться до 96% всех сетей, подключённых к интернету.

Лабораторные измерения показали, что даже единичный случай активации вихря способен увеличить нагрузку на систему до десятков тысяч маршрутизируемых объявлений в секунду — при обычном уровне всего в несколько единиц. Это приводит к существенным задержкам в обновлении маршрутов — до 40 секунд — и нарушению соединения в течение почти 40 секунд, что критично для чувствительных к задержкам сервисов.

Авторы предложили несколько способов смягчения рисков. Один из них — использование уже существующих механизмов контроля колебаний маршрутов, таких как интервал повторной отправки маршрута и система подавления «скачущих» маршрутов. Однако эти методы скорее ограничивают последствия, чем устраняют саму причину.

Более надёжным решением считается отказ от небезопасных политик маршрутизации, а также проверка на соответствие установленным правилам стабильной маршрутизации. Кроме того, предлагается обратить внимание на альтернативные архитектуры, такие как SCION, которые изначально разрабатывались с учётом требований к устойчивости и безопасности.