О “Злом Русском Хакере” замолвлю я слово

Автор: Александр Солодовников

Должность: Шеф

17.12.17

Вездесущие "русские хакеры"... или учите теорию, ребята! О слабых местах интернет-протокола BGP - события минувшей среды.

Прошедшая неделя, точнее недели выдались напряжёнными. А сегодня, как раз, Шаббат, да к тому же Ханукальная неделя, хотелось заняться #ничегонеделаньем, как и положено в этот день, но… Читал периодику, так развлечения для, и вот наткнулся: https://goo.gl/n9EAfg 
Зацепило. Дай-ка, думаю, проясню, для себя, что это за такая “подозрительная маршрутизация трафика через Россию”. Ну и прояснил на свою голову. Вот теперь придётся писать об этом.
Итак. “Когда-то давным давно, кажется в прошлую”... среду мир был потрясён! И потрясён он был, как водится, злыми кознями русских хакеров. В этом конкретном случае, хочется сказать иностранным коллегам, - “Hey guys don’t be worrying, this case is not the intentional affecting. This is just GOLOVOTYAPSTVO”.
      А вот что произошло на самом деле. Некий провайдер, ИП Васильев Иван Иванович из Хабаровского края, Хабаровского района, села Некрасовка (9 км от Хабаровска), работающий под псевдонимом “ДВ-Линк”, настраивал свою BGP маршрутизацию. Для новичков - BGP (Border Gateway Protocol) — это основной протокол динамической маршрутизации, который используется в Интернете. Скорее всего, его админ пытался довести что-то до совершенства, ну и довёл. Он выдал на границу своей сети анонсы содержащие IP-адреса Google, Microsoft, Facebook, Apple, всего 80 “левых” анонсов… Причем, сделал это так, что его маршруты показались системе маршрутизации более привлекательными, чем “родные”. Такое возможно, ибо система BGP в целом построена на доверии к соседям. Чувак продержался, как пишут, 3 минуты потому что как только такие заманчивые анонсы начали распространяться по сети, к нему ломанулся трафик предназначенный упомянутым выше Интернет-монстрам. Ну вы понимаете, что провайдер ИП Васильев Иван Иванович сломался, не смог пропустить терабиты в секунду, и его пограничные маршрутизаторы загнулись. Видимо, админ откатил конфигурацию BGP, поэтому ситуация устаканилась, а может железо офигело от такого потока. Дело было в 4:44 утра по UTC, т.е. в 14:44 по Дальневосточному. Оно, конечно, самое то для кардинальных перемен :( А в семь ноль пять (17:05)  смелый админ повторил эксперимент с тем же успехом.

Вот график от Qrator Labs на картинке говорит о том, что что-то еще продолжало выдавать неправильные анонсы, хотя другая мониторинговая система, BGPMon, с этим не согласна. Я тоже думаю, что не смог бы он это делать из-за забитых под завязку каналов и лежащих бордеров, хотя… чем чёрт не шутит. 
Ну вот и весь инцидент. Кстати, прошлым летом Гугл сам, похожим образом, положил пол-Японии, где-то в нашей группе в ВКашечке об этом писали (а тут https://goo.gl/kLfnDz оригинал инфы). Да и вообще, такие косяки совсем не редки в мире Интернет. Пока писал прилетело ещё: 

“Possible BGP hijack. Beginning at 2017-12-16 16:24:22 UTC, we detected a possible BGP hijack. Prefix 169.215.0.0/16, is normally announced by AS7449 Tioga Communications.  But beginning at 2017-12-16 16:24:22, the same prefix (169.215.0.0/16) was also announced by ASN 135091.  This was detected by 107 BGPMon peers.” 

Т.е. Автономная система (AS) за номером 135091 стала анонсировать адреса принадлежащие AS7449 прямо сейчас. Масштаб, конечно, сильно меньше, но суть та же. Вот такие дела.
Мораль? 
Номер раз. Крайне низкий уровень компетентности, и не только у нас в России. И всё же я бы не стал бросать камни ни в админа, ни в ИП Васильева. Где он найдет хорошо обученного спеца в селе Некрасовка, пусть это и всего в 9 км от Хабаровска… Поэтому работает с теми, кто есть. Да и они тоже молодцы (без кавычек!), “через тернии к звёздам”. Мы, ведь, тоже учились и учимся по ходу жизни и тоже много чего не знаем и не умеем. И здесь важно не бояться, а делать. Наступать на “грабли”, но всё же делать. Конечно, никто не отменяет “семь раз отмерь…”, попробуй на стенде и т.п.
Номер два. При нынешнем развитии телекоммуникаций нужно непременно и развитие протоколов для того, чтобы снизить влияние случайных факторов типа этого. Развитию же необходимы сотрудничество, взаимопомощь, свободный обмен информацией и знаниями, а не подозрения, упрёки и всякие подковёрые дела.
И номер три. Коллеги, прежде чем пускаться в конспирологические рассуждения, проведите хотя бы минимальный фактчекинг. У меня это заняло 5 минут. Минута посмотреть владельца AS в базе данных RIPE, 2 минуты нагуглить его сайт и посмотреть ИНН, а остальные 2 минуты выяснить где находится “злодей”.
Вишенка: зайдите на https://dv-link.ru/ , посмотрите цены и полюбите нас ещё больше :)