Глобальный интернет на честном слове. Ученые нашли способ вырубить связь в целых странах

Иерархическая система открытых ключей (Resource Public Key Infrastructure, RPKI) давно считается ключевым механизмом защиты интернета от перехвата маршрутов, однако новое исследование показывает, что и в этой системе есть уязвимости. Специалисты выяснили, что даже при наличии корректных записей RPKI значительная часть инфраструктуры, от которой зависит их загрузка, остается уязвимой.

Авторы работы, представленной на симпозиуме NDSS 2026, проанализировали, насколько надежно устроен процесс получения данных RPKI так называемыми проверяющими узлами, которые загружают и проверяют криптографические разрешения на объявление маршрутов.

RPKI создавали как способ защитить глобальную маршрутизацию от перехвата префиксов в протоколе пограничной маршрутизации. Владельцы адресов публикуют криптографически подписанные разрешения, которые связывают IP-префикс с допустимой автономной системой. Эти объекты хранятся в специальных репозиториях, называемых точками публикации. Проверяющее программное обеспечение регулярно обращается к ним, загружает данные и на их основе решает, какие маршруты считать легитимными.

Однако перед тем, как загрузить файлы, система должна найти их через систему доменных имен. И вот здесь начинаются проблемы. Авторы изучили 64 точки публикации и выяснили, что 31 из них, то есть почти половина, имеют хотя бы одну зону без защиты DNSSEC на пути разрешения доменного имени. Это означает, что злоумышленник может подменить ответ системы доменных имен и направить проверяющий узел на вредоносный сервер вместо настоящего репозитория.

Причины разные. В семи случаях незащищенные зоны контролируются самими операторами точек публикации, что выглядит как банальная ошибка настройки. В 22 случаях проблема связана с использованием сторонних поставщиков услуг доменных имен без включенной криптографической защиты. Еще в двух случаях уязвимость возникает из-за перенаправлений через псевдонимы на внешние домены, где защита отсутствует.

Но даже если подмена доменного ответа не сработает, остается риск перехвата маршрутов. Исследование показало, что 55 точек публикации, то есть 85,9%, имеют на пути разрешения хотя бы один сервер имен, IP-адрес которого не защищен записями RPKI. Особенно удивил факт, что из 13 ключевых серверов доменов верхнего уровня .com и .net только три имели корректные записи. После уведомления со стороны исследователей оператор внес исправления, но сам факт демонстрирует системную проблему.

В ряде случаев уязвимы и сами серверы точек публикации. Среди 60 репозиториев с единым IP-адресом четыре не были защищены записями RPKI. Еще один, обслуживаемый через сеть доставки контента, имел неполное покрытие в отдельных странах. Это открывает дорогу к перехвату трафика и блокировке доступа к данным RPKI в конкретных регионах.

Моделирование атак показало, что в худшем сценарии до 65–83% автономных систем могут потерять доступ к наиболее уязвимой точке публикации. В других случаях речь идет о десятках процентов сетей. Даже кратковременный сбой может привести к тому, что проверяющие узлы сочтут данные устаревшими и перестанут использовать часть разрешений.

Отдельную тревогу вызывает зависимость между самими точками публикации. Некоторые из них опираются на менее защищенные репозитории для проверки сертификатов или защиты собственных IP-префиксов. В такой конфигурации сбой или атака на один узел способна вызвать каскадный эффект и увеличить долю незащищенного адресного пространства с 14,6% до более чем 50% для IPv4.

Авторы подчеркивают, что формально RPKI остается единственным массово применяемым механизмом защиты от перехвата маршрутов. Но его эффективность зависит не только от числа созданных записей, а от надежности всей сопутствующей инфраструктуры – от доменных имен до корректных записей для самих серверов. И пока эти элементы защищены неравномерно, броня остается с трещинами.