Cloudflare: dns-dienst onbereikbaar door BGP-hijacking en route leak
Dns-dienst 1.1.1.1 van Cloudflare was op 27 juni voor sommige gebruikers enige tijd onbereikbaar als gevolg van BGP-hijacking en een route leak, zo heeft het internetbedrijf in een analyse bekendgemaakt. Het domain name system (dns) vertaalt onder andere domeinnamen naar ip-adressen. Dns-verzoeken worden door een dns-server verstuurd en bevatten informatie over de op te vragen website. De meeste internetgebruikers maken gebruik van de dns-server van hun internetprovider.
Het is echter ook mogelijk om een alternatieve dns-provider te gebruiken. Dergelijk diensten worden bijvoorbeeld door Cloudflare, Google, OpenDNS en Quad9 aangeboden. Het Border Gateway Protocol (BGP) wordt gebruikt om verkeer tussen internetproviders te routeren en essentieel is voor de werking van het internet. BGP werkt door een tabel van ip-netwerken of 'prefixes' bij te houden die de netwerkbereikbaarheid tussen autonome systemen (as) aangeeft. Dit zijn onafhankelijk beheerde netwerken, bijvoorbeeld van internetproviders. Via BGP wordt de meest efficiënte route gezocht voor het routeren van verkeer.
In het verleden zijn er meerdere incidenten met BGP-hijacking geweest waarbij aanvallers het internetverkeer via hun netwerken weten te routeren en zo kunnen onderscheppen of manipuleren. Aanvallers doen dit door aan te kondigen dat ze eigenaar van bepaalde ip-prefixes zijn, terwijl dit in werkelijkheid niet het geval is. Het komt echter ook voor dat netwerkpartijen abusievelijk via BGP aankondigen dat ze een bepaald ip-block beheren. Andere partijen die deze informatie overnemen zullen dan verkeer naar het verkeerde netwerk sturen.
Op 27 juni kondigde het Braziliaanse Eletronet aan dat het 1.1.1.1/32 beheerde, wat door verschillende netwerken werd overgenomen. Dit zorgde ervoor dat de dns-dienst voor meer dan driehonderd netwerken in zeventig landen direct onbereikbaar werd. Tegelijkertijd met de BGP-hijack vond er ook door de Braziliaanse telecomprovider Nova Rede een route leak plaats. Hierbij worden één of meerdere routes aangekondigd en door verschillende autonome systemen geaccepteerd die dit niet zouden moeten doen.
Het verschil tussen een BGP-hijack en een route leak is dat bij een BGP-hijack het verkeer bedoeld voor een netwerk naar een ander netwerk gaat en daar blijft. Een route leak zorgt ervoor dat het verkeer voor een netwerk uiteindelijk daar ook zou moeten aankomen, maar niet op de meest efficiënte manier, wat voor vertraging en packet loss kan zorgen. Ook kan het voorkomen dat de partij achter het route leak het verkeer dat het ontvangt niet aankan en zo overbelast raakt.
De problemen konden na een kleine acht uur worden opgelost. "Hoewel route leaks voor Cloudflare vandaag de dag niet te voorkomen zijn, omdat het internet voor interconnectiviteit van vertrouwen afhankelijk is, zijn er stappen die we zullen nemen om de impact te beperken", aldus het internetbedrijf. Dat zegt de genoemde maatregelen zowel intern als binnen de internet community te willen nemen om dergelijke incidenten sneller te identificeren en de gevolgen voor gebruikers te beperken.
Er is evenwel altijd een mogelijkheid van DNS te wisselen mocht er zo'n issue plaatsvinden hier.
Ergens onderweg zal wel een transit zitten die wel goede filtering doet.
Er is evenwel altijd een mogelijkheid van DNS te wisselen mocht er zo'n issue plaatsvinden hier.
Voor degenen die van "het internet doet het niet" naar de diagnose "mijn ingestelde 1.1.1.1 dns blijkt onbereikbaar, laat ik wat anders instellen" komen wel ja.
Precies dat, bijna onmogelijk dat providers dit van elkaar zullen accepteren. Op internet is het minimale subnet een /24.
In NL gebruikt een ISP je DNS iig niet om advertentie inkomsten te genereren. Op het moment dat een Advertentie boer als Google iets gratis aanbied, dan ben jij het product. (met name voor anomiem @ 5-7-2024 12:59
Lees eens https://www.darkreading.com/vulnerabilities-threats/how-ai-shaping-future-cybercrime
En stel je vervolgens eens een vraagje aan A.I.
en dan op de juiste wijze geredigeerd, wordt de black hat ineens weer een stukje wijzer.
A.I. is een tweesnijdend zwaard, dat blijkt nu al wel. Ging er wederom een doos van Pandora open?
In dat geval rest ons alleen de hoop. Hoop, het enige dat in de doos achterbleef, volgens het oorspronkelijke verhaal.
#laufer
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
