वेनेज़ुएला में हुई BGP असामान्यता का विश्लेषण

 (blog.cloudflare.com)
1 पॉइंट द्वारा GN⁺ 2026-01-09 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • वेनेज़ुएला के CANTV(AS8048) नेटवर्क में कई बार BGP route leak हुए, जिनसे कुछ नेटवर्क पथ असामान्य रूप से प्रचारित हुए
  • Cloudflare Radar डेटा के अनुसार दिसंबर के बाद से 11 leak events की पुष्टि हुई है, और यह routing policy की कमी से हुई तकनीकी गलती होने की प्रबल संभावना है
  • इस घटना में AS8048 ने अपने upstream provider AS6762(Sparkle) से प्राप्त पथों को दूसरे provider AS52320(V.tal GlobeNet) को फिर से भेज दिया, जो एक विशिष्ट Type 1 hairpin leak संरचना है
  • RPKI-आधारित Route Origin Validation(ROV) इस मामले में प्रभावी नहीं है, और ऐसे leaks को रोकने के लिए ASPA(Autonomous System Provider Authorization) तथा RFC9234 जैसे नए मानकों की आवश्यकता है
  • BGP की trust-based संरचना के कारण ऐसी घटनाएं आम हैं, और ASPA·Peerlock·RFC9234 जैसी तकनीकों को अपनाना सुरक्षित इंटरनेट संचालन के लिए महत्वपूर्ण है

BGP route leak की अवधारणा

  • BGP(Route Gateway Protocol) इंटरनेट पर autonomous systems(AS) के बीच पथों का आदान-प्रदान करने वाला प्रोटोकॉल है
    • नेटवर्क के बीच संबंध customer-provider या peer-peer रूप में होते हैं
  • route leak को RFC7908 में “इच्छित दायरे से बाहर routing जानकारी का प्रसार” के रूप में परिभाषित किया गया है
    • उदाहरण: जब कोई customer, provider से प्राप्त पथ को किसी दूसरे provider तक फिर से प्रचारित कर देता है
  • ऐसे leaks, valley-free routing नियम का उल्लंघन करते हैं, जिससे ट्रैफिक असामान्य पथों से गुजरता है
    • परिणामस्वरूप नेटवर्क congestion, latency और traffic loss जैसी समस्याएं हो सकती हैं

AS8048(CANTV) के route leak का मामला

  • Cloudflare Radar ने पुष्टि की कि AS8048(CANTV) ने AS6762(Sparkle) से प्राप्त पथों को AS52320(V.tal GlobeNet) तक फिर से भेजा
    • यह स्पष्ट रूप से route leak का मामला है
  • leak हुए पथों का origin AS21980(Dayco Telecom) था, जो AS8048 का customer network है
    • दोनों AS के बीच संबंध Cloudflare Radar और bgp.tools डेटा में provider-customer relationship के रूप में दिखाया गया है
  • पथ में AS8048 को कई बार prepend किया गया था
    • prepend एक तकनीक है जिसमें पथ को कम आकर्षक बनाया जाता है ताकि ट्रैफिक किसी दूसरे पथ की ओर जाए
    • इसलिए जानबूझकर किए गए MITM(मैन-इन-द-मिडल अटैक) की संभावना कम है
  • यह leak 2 जनवरी 2026 को 15:30~17:45 UTC के बीच कई बार हुआ, और इसके पीछे network policy error या convergence issue होने की संभावना है
  • Cloudflare Radar रिकॉर्ड के अनुसार दिसंबर के बाद से 11 समान leaks दोहराए गए हैं, जिससे लगातार policy की कमी का संकेत मिलता है

तकनीकी कारण और नीतिगत समस्या

  • संभव है कि AS8048 ने provider AS52320 के लिए routing export policy को बहुत ढीला कॉन्फ़िगर किया हो
    • यदि customer BGP community tags की जगह केवल IRR-आधारित prefix list का उपयोग हुआ हो, तो गलत पथ retransmit हो सकते हैं
  • ऐसी policy errors को RFC9234 के Only-to-Customer(OTC) attribute के जरिए रोका जा सकता है
    • OTC, BGP roles(customer, provider, peer) को स्पष्ट रूप से परिभाषित करता है और गलत route propagation को रोकता है

RPKI और ASPA की भूमिका

  • Sparkle(AS6762) ने RPKI Route Origin Validation(ROV) को पूरी तरह लागू नहीं किया है,
    • लेकिन यह घटना path anomaly की है, इसलिए इसे ROV से रोका नहीं जा सकता
  • ASPA(Autonomous System Provider Authorization) path-based verification प्रदान करता है
    • हर AS अपने अधिकृत upstream providers की सूची घोषित करता है, जिससे असामान्य पथों को स्वतः ब्लॉक किया जा सकता है
    • उदाहरण: यदि AS6762 यह घोषित करे कि “कोई upstream provider नहीं है”, तो अन्य नेटवर्क AS6762 को शामिल करने वाले गलत पथों को अस्वीकार कर सकते हैं
  • ASPA, RPKI-आधारित तरीके से काम करता है और route leak रोकने में सीधे प्रभावी है

सुरक्षित BGP के निर्माण के लिए सुझाव

  • BGP मूल रूप से एक trust-based protocol है, इसलिए policy error या मानवीय गलती से leaks अक्सर होते हैं
  • यदि ASPA, RFC9234, और Peerlock/Peerlock-lite जैसी तकनीकों को साथ में लागू किया जाए, तो
    • path validation मजबूत होगी
    • गलत route propagation रुकेगा
    • नेटवर्क स्थिरता बेहतर होगी
  • RIPE पहले से ASPA object creation को समर्थन दे रहा है,
    • और operators को network equipment vendors से RFC9234 implementation की मांग करनी चाहिए
  • ऐसे सहयोगात्मक standards को अपनाना वेनेज़ुएला जैसे BGP incidents की रोकथाम का प्रमुख तरीका है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-01-09
Hacker News की राय

  • यहाँ कमेंट्स का रुख थोड़ा अप्रत्याशित लगा। सब लोग अमेरिकी कंपनियों के डर की बात कर रहे हैं, लेकिन वह लेख की सामग्री से खास जुड़ा हुआ नहीं लगता
    Cloudflare की पोस्ट ने बस BGP के काम करने का तरीका समझाया और यह बताया कि वेनेज़ुएला के ISP में route leak अक्सर हुआ है
    बेशक Cloudflare गलत हो सकता है या कुछ छिपा रहा हो सकता है, लेकिन लेख में कहीं भी यह नहीं है कि उसने सीधे दखल दिया। लोग ऐसा भरोसे से किस आधार पर कह रहे हैं, यह जानने की जिज्ञासा है

    • मुझे नहीं लगता कि इस लेख में डरने लायक कोई सबूत है
      लेकिन Stuxnet या Dual EC DRBG जैसी घटनाएँ देखें तो सरकारों की 0-day इस्तेमाल करने की क्षमता को कम करके नहीं आँकना चाहिए
      मेरा एक दोस्त FANG कंपनी में काम करता था, उसने कहा कि उसने सरकार को data stream सीधे देते हुए देखा है। ISP backdoor भी वास्तविक हैं (Room 641A)
      अगर Cloudflare ने वारंट के तहत सहयोग किया हो, तो क्या वह कानूनी रूप से उसे नकारने वाला लेख लिख सकता था?
      इसलिए मुझे लगता है कि लोगों की मूलभूत शंका समझ में आती है। “यह पुरानी समस्या है, कोई बड़ी बात नहीं” वाला Cloudflare का निष्कर्ष थोड़ा कमजोर लगता है
    • मेरे मन में भी यही सवाल है। समझ नहीं आता कि यह लेख अमेरिकी सरकारी दखल तक कैसे पहुँच जाता है
      यह भी जानना है कि BGP की संरचना में ऐसा क्या है जिससे अमेरिका यह काम दूसरे देशों की तुलना में आसानी से कर सके
    • शायद ज़्यादातर लोगों ने सिर्फ शीर्षक देखकर राय बना ली। ऊपर से अमेरिका ने अतीत में सचमुच ऐसे काम किए हैं, यह ऐतिहासिक पृष्ठभूमि भी है
      आजकल अमेरिकी सरकार को लेकर जनमत इतना निंदक है कि छोटे मामलों में भी शक पैदा हो जाता है
      या फिर यह रूस या चीन के social account भी हो सकते हैं, लेकिन कौन जानता है
    • कुछ दिन पहले भी ऐसा ही एक पोस्ट था — वेनेज़ुएला पर आक्रमण की अटकलों को BGP असामान्यता से जोड़ने वाला loworbitsecurity लेख
      और CNN लेख में ट्रंप ने सहयोगी देशों के खिलाफ भी सैन्य कार्रवाई की संभावना का ज़िक्र किया था
      मौजूदा प्रशासन होता तो शायद ऐसे हमले पर खुलेआम शेखी बघारता। इसलिए फिलहाल मैं “साधारण configuration error” वाली बात पर यक़ीन करता हूँ
      फिर भी आजकल अमेरिका जब भी ख़बरों में आता है, बात धमकी, वापसी या प्रतिबंधों की ही होती है, इसलिए लोगों का अविश्वास बढ़ना स्वाभाविक है

  • मैं उनींदा था, फिर भी लेख दिलचस्प लगा। AS path prepending का विश्लेषण “दुर्घटना सिद्धांत” को अच्छी तरह सहारा देता है
    अगर कोई राष्ट्र traffic intercept करना चाहता, तो route को जानबूझकर लंबा करने का कोई कारण नहीं होता
    संभवतः यह साधारण routing configuration mistake थी। BGP अब भी भरोसे पर आधारित सिस्टम है, इसलिए एक छोटी टाइपो का असर पूरी दुनिया तक जा सकता है
    दुर्भावना की तुलना में missing export filter कहीं अधिक विश्वसनीय व्याख्या लगती है

    • इसका एक पलट-तर्क यह भी है कि “अगर कोई state actor हो, तो वह जानबूझकर route को गलत तरह से pad भी कर सकता है”
      वास्तव में विज्ञापन traffic को manipulate करने की कोशिश करने वाले non-state actors भी मौजूद हैं
      फिर भी नेटवर्क ऑपरेटर के नज़रिए से देखें तो ऐसी गलतियाँ आम हैं, और automated traffic steering script समस्या को और बढ़ा भी सकती हैं
      आखिरकार समस्या BGP की structural vulnerability है। security और BGP अब भी साथ अच्छे नहीं लगते

  • Snowden documents में से एक NSA Network Shaping 101 देखना उपयोगी हो सकता है
    2007 में लिखे गए इस दस्तावेज़ में ASIN और layer 3 traffic control का वर्णन है

    • लेकिन इस दस्तावेज़ का “layer 3 shaping” BGP असामान्यता से खास जुड़ा हुआ नहीं लगता
      यह बस इतना समझाता है कि किसी विशेष IP को भेजा गया traffic उस लिंक से कैसे गुजरता है
    • यह मज़ेदार है कि NSA ने भी ASN की अवधारणा का गलत इस्तेमाल किया। जैसे कोई कहे, “मेरा पड़ोसी ‘123 Main Street’ नाम की string में रहता है”

  • लेख पढ़ने के बाद फिर से यह सोचकर सिहरन हुई कि अमेरिकी कंपनियों और सरकार का रिश्ता कितना गहरा है
    यह बात पहले से पता थी, लेकिन इस बार लगा कि भरोसा पूरी तरह टूट गया। जैसे यह किसी युग-परिवर्तन का क्षण हो

    • एक दोस्त पहले lawful interception की बात करता था, और मुझे याद है उस समय उसका चेहरा एकदम सख्त हो गया था
      ऐसी surveillance infrastructure बहुत पहले से मौजूद है, और जापान भी 2003 में real-time traffic monitoring कर रहा था
      अब DPI तकनीक लागू करना बहुत आसान हो गया है
    • ऐसा लगता है कि अविश्वास का यह चक्र हर 10 साल में दोहराया जाता है
      जो लोग नए-नए उद्योग में आते हैं, वे मासूमियत से शुरुआत करते हैं, लेकिन अंततः सरकार और कंपनियों की करीबी संरचना को समझकर भरोसा खो देते हैं
      फिर समय बीतता है और अगली पीढ़ी वही प्रक्रिया दोहराती है
    • यह मान लेना कि Cloudflare अमेरिकी सरकार के ऑपरेशन को ढकने की कोशिश कर रहा था, कुछ ज़्यादा ही खिंचा हुआ निष्कर्ष लगता है
      लेख का सार Hanlon’s razor है, यानी दुर्भावना से पहले गलती पर शक करो
      हाँ, अगर Cloudflare ने सच को तोड़ा-मरोड़ा हो तो उसकी आलोचना होनी चाहिए, लेकिन अभी ऐसा कोई सबूत नहीं है
    • “कंपनियाँ सरकारों से जुड़ी होती हैं” यह हर देश में सच है। इसमें कोई नई बात नहीं है

  • वेनेज़ुएला की पुरानी हो चुकी infrastructure को देखते हुए, लगता नहीं कि किसी उन्नत cyber attack की भी ज़रूरत थी
    असलियत तो यह है कि भ्रष्ट ठेकेदारों ने घटिया सिस्टम थमा दिए

    • सच कहें तो ऐसे देशों में कुछ दसियों हज़ार डॉलर देकर सीधे स्विच चलाने वाला इंसान खरीदा जा सकता है
      cyber attack से कहीं बड़ा मुद्दा भ्रष्टाचार की संरचना है
    • मैंने भी CANTV इस्तेमाल किया था, और टेलीफोन लाइन लगने में साढ़े 9 साल लगे
      आखिर में सड़क पर काम कर रहे एक टेक्नीशियन को पैसे देकर काम कराया, और वह नंबर टैक्सी कंपनी का नंबर निकला
      ऐसे माहौल में BGP attack की बात करना थोड़ा खोखला लगता है
    • जो power grid attack वास्तव में हुआ था, उसका BGP से संबंध नहीं था। यह साधारण नेटवर्क गलती ही लगती है

  • यह पोस्ट एक अच्छा BGP refresher था
    जब मैं नेटवर्क इंजीनियर था, तब BGP community magic का बहुत इस्तेमाल करता था,
    अगर BGP सिर्फ provider, customer, और peer इन तीन तरह के रिश्ते ही व्यक्त करता, तो शायद सब बहुत सरल होता

    • सही है, इससे चीज़ें बहुत सरल हो जातीं, लेकिन सरलता हमेशा बेहतर नहीं होती
      यह वैसा ही है जैसे Google Maps से traffic information या signal data हटा दिया जाए — गणना आसान होगी, लेकिन परिणाम बेकार होंगे

  • एक बार Google Maps ने मुझे हाईवे से Walmart parking lot के रास्ते दूसरे हाईवे पर भेज दिया था
    तब मैंने सोचा कि यह साधारण algorithm की गलती होगी, लेकिन अगर वह मुझे McDonald’s drive-thru से घुमाता, तो शायद मैं साज़िश पर शक करता
    इस मामले में भी साधारण गलती वाली व्याख्या अधिक विश्वसनीय लगती है

    • BGP route leak और ज़्यादा बार नहीं होते, इसका कारण दूसरे ISP की filtering है। गलतियाँ सोच से ज़्यादा आसानी से हो जाती हैं

  • इंटरनेट की मुख्य infrastructure का अमेरिकी कंपनियों के केंद्र में होना थोड़ा डरावना लगता है
    अब दूसरे देशों को भी अधिक स्वतंत्र संरचनाएँ बनानी चाहिए

    • लेकिन इंटरनेट खुद अमेरिकी सेना, विश्वविद्यालयों और कंपनियों द्वारा बनाया गया सिस्टम है, इसलिए इसमें चौंकने जैसा क्या है
      फिर सवाल यह है कि इसकी जगह प्रबंधन कौन करे
    • यूरोप भी Cloudflare जैसी कंपनी बना सकता था, लेकिन समस्या talent drain और निवेश की कमी थी
    • इंटरनेट अपनी प्रकृति में decentralized है। कोई केंद्रीय BGP router जैसी चीज़ मौजूद नहीं है

  • मैं लंबे समय से BGP घटनाओं को देखता आया हूँ, और मुझे हमेशा लगता है कि जानबूझकर किए गए बदलाव, गलती, और structural failure में फर्क करना मुश्किल होता है
    इसलिए मैं पहले तीन सवाल पूछता हूँ: क्या असर का दायरा धीरे-धीरे बढ़ा, क्या routes सममित रूप से बदले, और क्या recovery साफ-सुथरी थी
    फिर मैं पहले AS-path prepending में बदलाव देखता हूँ, और क्षेत्रवार visibility की तुलना करता हूँ
    आखिर में देखता हूँ कि “फायदा किसे हुआ।” दूसरे लोग ऐसी समस्या पकड़ने के लिए कौन से संकेतक देखते हैं, यह जानने की उत्सुकता है

  • Cloudflare की global coverage वाकई चौंकाने वाली है

    • लेकिन मुझे लगता है कि वही चीज़ दुनिया के लिए खतरनाक केंद्रीकरण भी है। अब गैर-अमेरिकी कंपनियों को अधिक स्वतंत्र होना चाहिए
    • अगर आपके पास Anycast network है, तो कई locations से BGP को observe किया जा सकता है, इसलिए यह क्षमता सिर्फ Cloudflare की नहीं है
      फिर भी वे engineering-केंद्रित organization हैं, इसलिए ऐसे analysis को सार्वजनिक रूप से अच्छी तरह साझा करते हैं
    • वास्तव में कोई भी RIPE RIS का उपयोग करके ऐसा ही विश्लेषण कर सकता है
    • Cloudflare के पास बहुत संसाधन हैं, और सच कहें तो वह कमाल की कंपनी है