27 Haziran 2024’te Cloudflare, 1.1.1.1 DNS çözümleyici hizmetinde bir kesinti yaşadı.
Birkaç saat süren bu olay, BGP (Sınır Geçidi Protokolü) ele geçirilmesi ve bir rota sızıntısının birleşimi sonucu meydana geldi.
Olay, dünya genelindeki kullanıcılar üzerinde gözle görülür bir etki yarattı; bazıları hizmete erişemedi, bazıları da yüksek gecikme yaşadı.
Olay Zaman Çizelgesi
Olay, AS267613’ün (Eletronet) 1.1.1.1/32 önekini eşlerine ve yukarı akış sağlayıcılarına duyurmaya başlamasıyla 18:51 UTC’de başladı.
Bu yetkisiz duyuru, Cloudflare’in 1.1.1.1 DNS çözümleyicisine yönelik trafiğin yanlış yönlendirilmesine neden oldu.
Kısa bir süre sonra, 18:52 UTC’de, AS262504 (Nova), 1.1.1.0/24 önekini AS1031’e (Peer-1 Global Internet Exchange) sızdırdı.
Bu sızıntı AS1031 tarafından daha da yaygınlaştırıldı ve olayın etkisi önemli ölçüde genişledi.
Cloudflare’in dahili izleme sistemleri sorunu 20:03 UTC’de tespit etti ve derhal harekete geçilmesini istedi.
20:08 UTC itibarıyla Cloudflare, AS267613 ile bir ortak eşleştirme konumunu devre dışı bıraktı ve sorunu çözmek için ağ ile iletişime geçti.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
02:28 UTC, AS262504’ün yetkisiz duyuruları durdurmasıyla 28 Haziran 2024’te rota sızıntısını çözdü.
Ancak olay boyunca kullanıcılar üzerindeki etki devam etti; bazıları yüksek gecikme yaşadı, bazıları ise 1.1.1.1 hizmetine hiç erişemedi.
Teknik Analiz
BGP Kaçırma ve Rota Sızıntıları
Olayın temel nedeni, BGP korsanlığı ve rota sızıntısının bir karışımıydı.
BGP ele geçirme, bir ağın kendisine ait olmayan IP öneklerini duyurması ve trafiğin yanlış yönlendirilmesine neden olması durumunda meydana gelir.
Bu durumda AS267613, en az bir adet 1. Kademe sağlayıcı da dahil olmak üzere birden fazla ağın kabul ettiği 1.1.1.1/32 önekini duyurdu.
Bu durum 1.1.1.1’e yönelik trafiğin kara deliğe girmesine yol açtı.
Rota sızıntıları ise bir ağın bir sağlayıcıdan öğrendiği önekleri başka bir sağlayıcıya yanlış duyurması durumunda ortaya çıkar.
AS262504, 1.1.1.0/24 önekini AS1031’e sızdırdı ve bu da onu daha da yayarak etkiyi daha da kötüleştirdi.
Olay, Almanya ve ABD’nin de aralarında bulunduğu birçok ülkedeki kullanıcıları etkiledi.
Bazı kullanıcılar 1.1.1.1 DNS çözücüsüne ulaşamazken, bazıları ise yüksek gecikme yaşadı.
Kullanıcıların genel yüzdesi üzerindeki etki nispeten düşük oldu; İngiltere ve Almanya gibi ülkelerde etkilenenlerin oranı %1’den azdı.
Ancak, DNS çözümlemesi için 1.1.1.1 hizmetine güvenenler için kesinti önemliydi.
Etkisini azaltmak için Cloudflare, AS267613 ile birden fazla konumdaki eşleştirmeyi devre dışı bıraktı ve olaya karışan tüm ağlarla etkileşime geçti.
Bu, yetkisiz kara delik güzergahını kabul eden en az bir adet 1. Kademe ulaşım sağlayıcısıyla yapılan görüşmeleri de içeriyordu.
Cloudflare, gelecekte benzer olaylara yönelik tespit ve yanıt mekanizmalarını iyileştirmeye kararlıdır.
Bu, rota kökeni ve AS yolu doğrulaması için RPKI’nin (Kaynak Ortak Anahtar Altyapısı) benimsenmesinin savunulmasını içerir.
RPKI, IP önek sahiplerinin sahiplik bilgilerini güvenli bir şekilde saklamalarına ve paylaşmalarına olanak sağlayarak, ele geçirilen BGP öneklerinin yayılmasını sınırlamaya yardımcı olur.
Cloudflare, BGP güvenliği için en iyi uygulamaların benimsenmesini teşvik etmek amacıyla İnternet topluluğu içerisinde çalışmaya devam ediyor.
Bu, BGP için Otonom Sistem Sağlayıcı Yetkilendirmesi (ASPA) nesnelerinin tanıtılmasını içerir; bu, AS yollarını yetkili sağlayıcı ağlarının bir listesiyle imzalayarak rota sızıntılarını önlemeye yardımcı olur.
27 Haziran 2024’te yaşanan Cloudflare 1.1.1.1 hizmet kesintisi, mevcut BGP sistemindeki güvenlik açıklarını gözler önüne serdi.
Dış ağlardaki eylemler Cloudflare’in kontrolü dışında olsa da şirket, güvenlik önlemlerini artırmak ve gelecekte benzer olayların riskini azaltmak için proaktif adımlar atıyor.
Kullanıcıların, İSS’lerinin RPKI köken doğrulamasını zorunlu kılıp kılmadığını kontrol etmeleri önerilir.
Cloudflare, güvenilir ve emniyetli DNS çözümleme hizmetleri sunmaya kendini adamıştır ve ağ altyapısının dayanıklılığını artırmak için çalışmaya devam edecektir.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo