image

Cloudflare: dns-dienst onbereikbaar door BGP-hijacking en route leak

vrijdag 5 juli 2024, 09:58 door Redactie, 8 reacties

Dns-dienst 1.1.1.1 van Cloudflare was op 27 juni voor sommige gebruikers enige tijd onbereikbaar als gevolg van BGP-hijacking en een route leak, zo heeft het internetbedrijf in een analyse bekendgemaakt. Het domain name system (dns) vertaalt onder andere domeinnamen naar ip-adressen. Dns-verzoeken worden door een dns-server verstuurd en bevatten informatie over de op te vragen website. De meeste internetgebruikers maken gebruik van de dns-server van hun internetprovider.

Het is echter ook mogelijk om een alternatieve dns-provider te gebruiken. Dergelijk diensten worden bijvoorbeeld door Cloudflare, Google, OpenDNS en Quad9 aangeboden. Het Border Gateway Protocol (BGP) wordt gebruikt om verkeer tussen internetproviders te routeren en essentieel is voor de werking van het internet. BGP werkt door een tabel van ip-netwerken of 'prefixes' bij te houden die de netwerkbereikbaarheid tussen autonome systemen (as) aangeeft. Dit zijn onafhankelijk beheerde netwerken, bijvoorbeeld van internetproviders. Via BGP wordt de meest efficiënte route gezocht voor het routeren van verkeer.

In het verleden zijn er meerdere incidenten met BGP-hijacking geweest waarbij aanvallers het internetverkeer via hun netwerken weten te routeren en zo kunnen onderscheppen of manipuleren. Aanvallers doen dit door aan te kondigen dat ze eigenaar van bepaalde ip-prefixes zijn, terwijl dit in werkelijkheid niet het geval is. Het komt echter ook voor dat netwerkpartijen abusievelijk via BGP aankondigen dat ze een bepaald ip-block beheren. Andere partijen die deze informatie overnemen zullen dan verkeer naar het verkeerde netwerk sturen.

Op 27 juni kondigde het Braziliaanse Eletronet aan dat het 1.1.1.1/32 beheerde, wat door verschillende netwerken werd overgenomen. Dit zorgde ervoor dat de dns-dienst voor meer dan driehonderd netwerken in zeventig landen direct onbereikbaar werd. Tegelijkertijd met de BGP-hijack vond er ook door de Braziliaanse telecomprovider Nova Rede een route leak plaats. Hierbij worden één of meerdere routes aangekondigd en door verschillende autonome systemen geaccepteerd die dit niet zouden moeten doen.

Het verschil tussen een BGP-hijack en een route leak is dat bij een BGP-hijack het verkeer bedoeld voor een netwerk naar een ander netwerk gaat en daar blijft. Een route leak zorgt ervoor dat het verkeer voor een netwerk uiteindelijk daar ook zou moeten aankomen, maar niet op de meest efficiënte manier, wat voor vertraging en packet loss kan zorgen. Ook kan het voorkomen dat de partij achter het route leak het verkeer dat het ontvangt niet aankan en zo overbelast raakt.

De problemen konden na een kleine acht uur worden opgelost. "Hoewel route leaks voor Cloudflare vandaag de dag niet te voorkomen zijn, omdat het internet voor interconnectiviteit van vertrouwen afhankelijk is, zijn er stappen die we zullen nemen om de impact te beperken", aldus het internetbedrijf. Dat zegt de genoemde maatregelen zowel intern als binnen de internet community te willen nemen om dergelijke incidenten sneller te identificeren en de gevolgen voor gebruikers te beperken.

Reacties (8)
05-07-2024, 10:06 door Anoniem
Als je als ISP /32 routes accepteert van je exchange-peers ben je niet lekker bezig !
05-07-2024, 10:44 door Anoniem
Hier heb ik in Nederland geen last gehad.
Er is evenwel altijd een mogelijkheid van DNS te wisselen mocht er zo'n issue plaatsvinden hier.
05-07-2024, 12:38 door Anoniem
Door Anoniem: Hier heb ik in Nederland geen last gehad.

Ergens onderweg zal wel een transit zitten die wel goede filtering doet.

Er is evenwel altijd een mogelijkheid van DNS te wisselen mocht er zo'n issue plaatsvinden hier.

Voor degenen die van "het internet doet het niet" naar de diagnose "mijn ingestelde 1.1.1.1 dns blijkt onbereikbaar, laat ik wat anders instellen" komen wel ja.
05-07-2024, 12:59 door Anoniem
Google DNS is een goed -zoniet beter- reliable alternatief voor Cloudflare. Scoort beter op performance (nee, een beter gemiddeld latency score zegt niet alles!) en veel beter op security level. Verder vergelijkbaar op privacy level.
05-07-2024, 16:06 door Anoniem
Door Anoniem: Als je als ISP /32 routes accepteert van je exchange-peers ben je niet lekker bezig !

Precies dat, bijna onmogelijk dat providers dit van elkaar zullen accepteren. Op internet is het minimale subnet een /24.
06-07-2024, 09:01 door Anoniem
Door Anoniem: Google DNS is een goed -zoniet beter- reliable alternatief voor Cloudflare. Scoort beter op performance (nee, een beter gemiddeld latency score zegt niet alles!) en veel beter op security level. Verder vergelijkbaar op privacy level.
Wat is er, in een deel van de wereld waar de AVG geldt, eigenlijk mis met het gebruiken van de DNS van je eigen internetprovider? Waar komt die neiging toch vandaan om naar 's werelds grootste tech-reuzen toe te trekken terwijl duidelijk is dat hun machtspositie problematische kanten heeft?
08-07-2024, 11:00 door Anoniem
Door Anoniem:
Door Anoniem: Google DNS is een goed -zoniet beter- reliable alternatief voor Cloudflare. Scoort beter op performance (nee, een beter gemiddeld latency score zegt niet alles!) en veel beter op security level. Verder vergelijkbaar op privacy level.
Wat is er, in een deel van de wereld waar de AVG geldt, eigenlijk mis met het gebruiken van de DNS van je eigen internetprovider? Waar komt die neiging toch vandaan om naar 's werelds grootste tech-reuzen toe te trekken terwijl duidelijk is dat hun machtspositie problematische kanten heeft?

In NL gebruikt een ISP je DNS iig niet om advertentie inkomsten te genereren. Op het moment dat een Advertentie boer als Google iets gratis aanbied, dan ben jij het product. (met name voor anomiem @ 5-7-2024 12:59
08-07-2024, 13:21 door Anoniem
En de "dark side" wordt steeds sterker, mensen.
Lees eens https://www.darkreading.com/vulnerabilities-threats/how-ai-shaping-future-cybercrime

En stel je vervolgens eens een vraagje aan A.I.
en dan op de juiste wijze geredigeerd, wordt de black hat ineens weer een stukje wijzer.

A.I. is een tweesnijdend zwaard, dat blijkt nu al wel. Ging er wederom een doos van Pandora open?
In dat geval rest ons alleen de hoop. Hoop, het enige dat in de doos achterbleef, volgens het oorspronkelijke verhaal.

#laufer
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.