Сервис BGPmon, отслеживающий информацию о маршрутах следования интернет-трафика по всему миру, сообщил о "множественных аномалиях" в работе "Ростелекома". По данным сервиса, оператор осуществил "BGP-перехват", то есть проанонсировал по всей сети интернет неверные данные о маршрутизации до ряда интернет-ресурсов. Среди них оказались сайты Visa, MasterCard, Приватбанка, Norvik Banka, Альфа-банка, HSBC, Федеральной службы охраны РФ, РосНИИРОСа и др. В результате, сайты на какое-то время были недоступны для абонентов самого "Ростелекома", а возможно, и других провайдеров, объясняет собеседник "Ъ" на рынке связи: трафик до них перенаправлялся в автономную систему "Ростелекома" для всех его пользователей, а также других операторов, которые приняли эти BGP-анонсы от "Ростелекома".
Компания Qrator Labs зафиксировала пять подобных аномалий со стороны "Ростелекома" за последние дни, рассказал "Ъ" ее гендиректор Александр Лямин. Первый инцидент произошел вечером 18 апреля и длился всего минуту, следующий — днем 25 апреля, затем — несколько раз в ночь с 26 на 27 апреля. Самый длительный продолжался более часа.
Внешние операторы действительно зафиксировали анонс маршрутов, предназначенных для использования внутри оператора, после чего "проблема была локализована в течение семи минут", сообщил "Ъ" представитель "Ростелекома". "Из-за сбоя ПО маршрутизатора некорректно отработали фильтры, которые не пропускают во внешние сети анонсы внутренних статических маршрутов. При этом у ряда внешних операторов отсутствовали фильтры, проверяющие легитимность анонсов, в связи с чем неверная информация разошлась по интернету и нарушила маршрутизацию",— подтвердили в компании.
Количество абонентов широкополосного доступа в интернет "Ростелекома" на конец 2016 года составило 12,3 млн, из них 11,6 млн — частные пользователи, 0,8 млн — корпоративные клиенты.
Опрошенные "Ъ" эксперты расходятся в оценках природы сбоев. Происшествие можно объяснить ошибкой в конфигурации, похожие прецеденты случались в сетях других операторов, подтверждают они.
Например, бразильская CTBC Telecom в 2008 году проанонсировала таким образом практически весь интернет, когда пыталась оптимизировать хождение трафика.
Но судя по явно неслучайному набору сайтов, для "Ростелекома" это было намеренное действие, отмечает один из собеседников "Ъ" на рынке. "Если это была фактически попытка перенаправить трафик для некоторых из этих финансовых учреждений, это было сделано очень заметным и масштабным образом и поэтому, наверное, не слишком вероятно. С другой стороны, учитывая число префиксов из одной категории — финансовые учреждения и процессоры кредитных карт,— это кажется чем-то большим, чем просто невинный случайный перехват",— констатируют в BGPmon.
Судя про информации BGPmon, "Ростелеком" пропустил маршруты трафика через один узел за определенный период времени, отмечает собеседник "Ъ" в одном из крупных центров обмена данными. "Поскольку "Ростелеком" сам или через дочерние компании присутствует на территории всей страны, в один узел собирался трафик маршрутов со всей России. Это могло понадобиться, чтобы проверить, какой объем трафика может прокачать один узел в случае отключения, изоляции российского сегмента сети, как, например, в случае с Северной Кореей",— рассуждает он. Еще один собеседник добавляет, что BGP-перехват ранее использовался некоторыми провайдерами в ходе блокировки ресурсов. Так, в 2010 году Pakistan Telecom, получив от властей указание заблокировать YouTube, добавил соответствующий маршрут и начал анонсировать его другим провайдерам, в результате чего трафик большинства абонентов по всему миру стал перенаправляться в Пакистан и YouTube оказался для них недоступен.
Мария Коломыченко, Юлия Тишина