چرا ترافيك گوگل به روسيه و چين هدايت شد؟

امنيت
فناوري
چهارشنبه ۲۳ آبان ۱۳۹۷ - ۱۴:۱۹
مطالعه 5 دقيقه
مرجع متخصصين ايران
مهدي رضائي
مرجع متخصصين ايران
روز دوشنبه در اتفاقي غيرمترقبه حجم قابل توجهي از ترافيك گوگل به سمت سرويس‌دهنده‌هاي روسيه و چين سرريز شد، علت حقيقي چه بوده است؟
تبليغات

روز دوشنبه‌ي اين هفته، بخشي از جريان ترافيك اينترنت كه قرار بود از مسير پلتفرم ابري گوگل هدايت شود، به مدت دو ساعت سر از مسيرهاي پيش‌بيني نشده‌اي در روسيه و چين درآورد. درحالي كه علت اين تغيير مسير غيرمترقبه، نوعي حمله ترافيك‌ربايي يا Traffic Hijacking جلوه داده شد، ليكن معلوم شد اين حادثه، حاصل يك اشتباه ساده بوده كه اين پيامد نامطلوب را به‌دنبال داشته است (بعضاً دولت‌ها از اين تكنيك براي رصد و شنود فعاليت كارابران وب يا اعمال سانسور محتوا استفاده مي‌كنند كه در نوع خود يك حمله و اختلال مهم به شمار مي‌رود). 

گوگل عنوان كرده كه تقريباً تمام ترافيك هدايت‌شده از جانب مركز سرويس‌هايش رمزگذاري‌شده هستند و فارغ از محتواي آن‌ها، در جريان حادثه هيچ خطري متوجه آن‌ها نبوده است. در آن ساعت، همزمان با عبور ترافيك از سوئيچ آي‌اس‌پي‌ها، برخي موسسات نظارتي نظير ThousandEyes، علائمي از حملات مخرب BGP Hijacking مشاهده كردند. در اين حملات با دستكاري پروتكل دروازه‌اي مرزي يا به اصطلاح BGP، به‌طور خودكار ارائه‌دهندگان خدمات اينترنت درگير كنترل و هدايت ترافيك وب مطابق با برنامه‌ريزي اخلال‌گر مي‌شوند.

مقاله‌هاي مرتبط:

    مشاهدات ThousandEyes حاكي از اصلاح مسير ترافيك گوگل از آي‌اس‌پي Transtelecom روسيه به ChinaTelecom از طريق Nigerian ISP Main One است. الكس هنثورن ايوان جانشين مدير بازاريابي اين موسسه در ادامه مي‌گويد:

    اين اتفاق براي ترافيك مربوط به آي‌پي‌هاي روسيه، چين، نيجريه و بيش از 150 آي‌اس‌پي ديگر رخ داده كه بسيار مشكوك است و نمي‌تواند يك خطاي ساده باشد.

    BGP Hijacking يك حمله‌ي مخرب و جدي است كه توسط مجرمين و عوامل دولت‌ها براي رهگيري ترافيك وب يا مختل كردن يك سرويس خاص در نقطه‌ي هدف مثل گوگل، اجرا مي‌شود. البته بعضاً نوع فايده‌مندي از اجراي اين تكنيك به نام BGP Hijacking تصادفي وجود دارد كه به قصد اصلاح و ترميم ساختار مسيريابي يك شبكه اجرا مي‌شود.

    در هر دو صورت اين اصلاح مسيرها زماني اتفاق مي‌افتد كه محرز مي‌شود يك آي‌اس‌پي بلاكي از آدرس‌هاي آي‌پي دارد و ترافيك رسيده از جانب آن‌ها را كنترل نمي‌كند. اين حمله مي‌تواند يك حقه‌ي عامدانه باشد يا اگر خوشبين باشيم مي‌تواند يك خطاي پيكربندي ساده باشد كه موجب اختلال شده است، اما عمدي نيست.

    مرجع متخصصين ايران bgp hijacking

    روز دوشنبه يكي از سخنگويان گوگل اين‌طور عنوان كرده كه شركت اثري از حملات مخرب مشاهده نكرده، بلكه به انديشه متخصصين آن‌ها آي‌اس‌پي نيجريه‌اي Main One به طور تصادفي باعث اين رخداد شده است.

    رولند دابينز مهندس ارشد شركت Netscout مي‌گويد:

    اينجا اشكالي اصلي، شكست در اجرا و اعمال الگوريتم‌هاي موجود در روش‌هاي ايده‌آل (Best Practice) طراحي‌شده در نشست‌هاي مسيرياب‌ها است.

    روش‌هاي ايده‌آل (Best Practice) بسيار كمي وجود دارند كه آي‌اس‌پي‌ها بايد براي پرترافيك و امن نگهداشتن مسيرهاي BGP،  پياده‌سازي كنند. اما اين روش‌هاي ايده‌آل بسيار مهم هستند، چراكه در زمان رخداد نشت ترافيك (Traffic Leak) با اعمال فيلترهايي، خطاها و مسيرهاي توليدشده‌ي غريبه را شناسايي كرده و كلاً مسيرهاي اشكال‌ساز جديد را مسدود مي‌كنند. با اين وجود همه آي‌اس‌پي‌ها اين شيوه‌ي دفاعي را به‌كار نمي‌برند. مثلاً در همين حادثه كه گوگل را متاثر كرد، ترافيك نه بر بستر مسيرهاي امن و بهينه موجود در جدول مسيريابي مسيرياب‌هايي كه آن الگوريتم‌ها در آن اجرا شده، بلكه در مسير آي‌اس‌پي‌هايي كه گاردهاي BGP را فعال نكرده‌اند در سرتاسر شبكه پخش شده؛ و اين كارشان منجر به مسيريابي‌هاي بي‌انتها و مبهم شده است.

    صبح روز گذشته، آي‌اس‌پي Main One نيجريه در اظهاراتي گفت:

    خطايي كه در جريان به‌روزرساني برنامه‌ريزي‌شده‌ي شبكه ما پيش آمده بود و علت آن نيز نقص پيكربندي فيلترهاي BGP ما بود، باعث اين رخداد شد. ظرف ۷۴ دقيقه اين خطا برطرف شد.

    با اين اوصاف به انديشه متخصصين مي‌رسد آي‌اس‌پي‌هاي روسيه و چين و شايد مابقي آي‌اس‌پي‌هاي درگير، مسير جديدي را براي ترافيك گوگل تعيين كردند، چراكه خودشان براي اين رخداد آماده نبوده و پيكربندي‌هاي محافظتي لازم را اعمال نكرده بودند.

    پروتكل‌هاي زيرساختي اينترنت دهه‌ها قبل و در يك فضاي عملكردي متفاوت نوشته شده‌اند، و بسياري از آن‌ها به منظور ارتقاء ضريب اطمينان نيازمند اصلاحات و بازنگري‌هاي اساسي هستند. در همين راستا براي رمزگذاري ترافيك وب از طريق HTTPS اقدام شد و ايمن‌سازي فرآيند يافتن نام‌هاي دامنه (DNS Lookup) كه به منظور جلوگيري از رصد عملكرد متخصصان و يا همين اصلاح مسيرهاي مخرب انجام مي‌شود، نيز رشد خوبي دارد.

    متعاقب آن، آي‌اس‌پي‌ها و شركت‌هاي زيرساختي نيز دست‌بكار شده و شروع به پياده‌سازي يك لايه محافظتي به نام ((RPKI (Resource Public Key Infrastructureسازوكار كليد عمومي براي منابع) كرده‌اند كه مي‌تواند از طريق ايجاد يك مكانيزم كه به‌صورت رمزگذاري‌شده اعتبار مسيرهاي BGP را تاييد مي‌كند، امكان رخداد حمله‌هاي BGP Hijacking را به صفر برسانند. همانند پروتكل‌هاي HTTPS و DNSSEC، سازوكار RPKI پس از پياده‌سازي توسط نهادهاي ارائه‌دهنده‌ي زيرساخت اينترنت، تنها اقدام به محافظت از مشتريان آن‌ها خواهد كرد.

    مرجع متخصصين ايران rpki

    رولاند دابينز، مهندس ارشد موسسه تحليل شبكه Netscout است؛ او در ادامه مي‌گويد:

    تاثيرات اين حادثه غيرعادي است، چراكه برخي مسيرياب‌هاي گوگل و چند مسيرياب مهم ديگر تصادفاً از كار افتاده‌اند. اما اينجا اشكالي اصلي، شكست در اجرا و اعمال الگوريتم‌هاي موجود در روش‌هاي ايده‌آل طراحي‌شده در نشست‌هاي مسيرياب‌ها است. راه‌حل آن هم اين است كه اپراتورهاي شبكه با جامعه جهاني اپراتورهاي شبكه در استقرار اين فيلترها مشاركت كرده و به سمت پياده سازي RPKI بروند.

    هرچند ظاهراً حادثه‌ي رخ‌داده براي گوگل، هك و خرابكاري نبوده و ماجراي مبهمي دارد، اما اثراتش در روز دوشنبه براي متخصصان آشكار بوده و نشان مي‌دهد كه حل اشكالات حوزه‌ي BGP ضروري است. پيش از اين نيز از اين محل اتفاقات مخربي رخ داده و كماكان احتمال رخداد مجدد آن وجود دارد.

    مقاله رو دوست داشتي؟
    انديشه متخصصينت چيه؟
    جديد‌ترين مطالب روز

    هم انديشي ها

    تبليغات

    با چشم باز خريد كنيد
    اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران شما را براي انتخاب بهتر و خريد ارزان‌تر راهنمايي مي‌كند
    ورود به بخش محصولات
    موبايل
    تبلت
    لپ‌تاپ
    تلويزيون
    ساعت هوشمند
    هدفون
    هارد
    كنسول بازي
    كارت گرافيك
    پردازنده
    مانيتور
    SSD
    دوربين‌
    پاوربانك
    شارژر
    اسپيكر