Gigantul internet Cloudflare a raportat că serviciul său de rezolvare DNS, 1.1.1.1, a fost recent inaccesibil sau degradat pentru unii dintre clienții săi din cauza unei combinații de hijacking BGP și o scurgere de rută.
Incidentul a avut loc săptămâna trecută și a afectat 300 de rețele din 70 de țări. Cu toate acestea, compania susține că impactul a fost „destul de scăzut” și în unele țări utilizatorii nici măcar nu l-au observat.
Cloudflare afirmă că la 18:51 UTC pe 27 iunie, Eletronet S.A. (AS267613) a început să anunțe adresa IP 1.1.1.1/32 către partenerii săi și furnizorii upstream.
Acest anunț incorect a fost acceptat de mai multe rețele, inclusiv un furnizor Tier 1, care l-a tratat ca o rută de Blackhole declanșată de la distanță (RTBH).
Hijack-ul a avut loc deoarece rutarea BGP favorizează cea mai specifică rută. Anunțul AS267613 pentru 1.1.1.1/32 a fost mai specific decât 1.1.1.0/24 al Cloudflare, ceea ce a determinat rețelele să dirijeze incorect traficul către AS267613.
Prin urmare, traficul destinat rezolvatorului DNS 1.1.1.1 al Cloudflare a fost blocat respins, iar astfel, serviciul a devenit indisponibil pentru unii utilizatori.
Un minut mai târziu, la 18:52 UTC, Nova Rede de Telecomunicações Ltda (AS262504) a scurs în mod eronat 1.1.1.0/24 în amonte către AS1031, care l-a propagat mai departe, afectând rutarea globală.
Această scurgere a modificat căile normale de rutare BGP, determinând ca traficul destinat către 1.1.1.1 să fie rutat greșit, complicând problema hijacking-ului și cauzând probleme suplimentare de accesibilitate și latență.
Cloudflare a identificat problemele în jurul orei 20:00 UTC și a rezolvat hijack-ul aproximativ două ore mai târziu. Scurgerea de rută a fost rezolvată la 02:28 UTC.
Prima linie de răspuns a Cloudflare a fost de a intra în contact cu rețelele implicate în incident, în timp ce dezactiva sesiunile de peer cu toate rețelele problematice pentru a atenua impactul și a preveni propagarea ulterioară a rutelor incorecte.
Compania explică că anunțurile incorecte nu au afectat rutarea internă a rețelei datorită adoptării Infrastructurii Cheii Publice a Resurselor (RPKI), ceea ce a dus la respingerea automată a rutelor invalide.
Soluțiile pe termen lung prezentate de Cloudflare în analiza postmortem includ:
OVHcloud atribuie un atac DDoS record MikroTik botnet-ului
Serviciul Xbox este indisponibil la nivel mondial, utilizatorii nefiind în măsură să se autentifice sau să joace jocuri
Patelco își închide sistemele bancare în urma unui atac de tip ransomware
CDK Global spune că toți dealerii vor fi din nou online până joi
Polyfill.io, BootCDN, Bootcss, atacul Staticfile este trasat către un singur operator
Leave a Reply