Um pequeno ISP nigeriano direcionou o tráfego da Internet destinado aos centros de dados do Google. O incidente, chamado BGP hijack, ocorreu ontem, 12 de novembro, entre 13:12 e 14:35, horário do Pacífico, segundo o Google.
O incidente foi detetado pela primeira vez e comunicado pelo BGPmon, um serviço on-line que gere as rotas que o tráfego da Internet realiza através das redes de provedores de serviços de Internet (ISP) que compõem a Internet.
De acordo com o BGPmon, o incidente foi causado por um pequeno ISP nigeriano chamado MainOne Cable Company (AS37282), que anunciou aos ISPs próximos que estava “a controlar” endereços IP que normalmente eram atribuídos à rede de data centers do Google.
BGPmon diz que o ISP da Nigéria anunciou que estava a controlar 212 prefixos de rede do Google em cinco ondas diferentes, isto aconteceu durante 74 minutos.
This is what we know: Starting at 2018-11-12 21:12 UTC Nigerian ISP AS37282 ‘MainOne Cable Company’ leaked 212 @google prefixes to China telecom. Causing traffic to be redirected and dropped.
Leaked BGP Paths via Tier1 ISP NTT disappeared at 22:32 UTC.— BGPmon.net (@bgpmon) November 12, 2018
Customer behind Cogent and NTT experienced the @google outages likely in 5 waves between these times (UTC) 74 minutes total:
21:13 – 21:17 4min
21:18 – 21:21 3min
21:22 – 21:28 6min
21:30 – 21:50 20min
21:51 – 22:32 41min
example ASpath: 174 2914 20485 4809 37282 15169— BGPmon.net (@bgpmon) November 12, 2018
As rotas erradas foram distribuidas para outros ISPs, fazendo com que cada vez mais provedores enviassem o tráfego legítimo com destino Google para a rede da MainOne.
According to experts from ThousandEyes, a cloud security company, the path that this traffic took most often was one via TransTelecom (AS 20485) in Russia and China Telecom (AS 4809) in China.
“We noticed that this leak was primarily propagated by business-grade transit providers and did not impact consumer ISP networks as much,” said Ameet Naik, a manager for ThousandEyes.
“All the traffic slammed into the great firewall, terminating at China Telecom edge router,” Naik added.
Qualquer que seja o tráfego que tenha chegado ao pequeno ISP da Nigéria, mais tarde foi descartado, resultando da conetividade zero do Google para utilizadores afetados.
O incidente causou bastante agitação online e, especialmente, entre especialistas de redes e segurança. A razão é a de um artigo académico publicado no mês passado que acusou a China Telecom, uma empresa de telecomunicações, de repetidos hijacked BGP.
As conclusões do estudo, que foram muito polémicas e politicamente carregadas, foram confirmadas na semana passada pela divisão de Internet Intelligence da Oracle (anteriormente conhecida como Dyn).
As interceptações de BGP são consideradas altamente perigosas, pois permitem interceptar, analisar e registar tráfego confidencial que pode ser decifrado e analisado posteriormente.
O redirecionamento temporário de tráfego do Google de ontem marca apenas mais um incidente numa longa lista de incidentes de BGP hijacked e que tem sido um grande problema desde os anos 90.