Venezuela'da Yaşanan BGP Anomalisinin Analizi

 (blog.cloudflare.com)
1 puan yazan GN⁺ 2026-01-09 | 1 yorum | WhatsApp'ta paylaş
  • Venezuela'daki CANTV (AS8048) ağında birden fazla kez BGP route leak yaşandı ve bazı ağ yolları anormal şekilde yayıldı
  • Cloudflare Radar verilerine göre aralık ayından bu yana 11 sızıntı olayı tespit edildi; bunun yönlendirme politikalarındaki yetersizlikten kaynaklanan teknik bir hata olma ihtimali yüksek
  • Olayda AS8048, üst sağlayıcısı AS6762 (Sparkle) üzerinden aldığı yolları başka bir sağlayıcı olan AS52320 (V.tal GlobeNet) ağına yeniden iletti; bu, tipik bir Type 1 hairpin leak yapısı
  • RPKI tabanlı route origin validation (ROV) bu vakada etkili değil; bu tür sızıntıları önlemek için ASPA (Autonomous System Provider Authorization) ve RFC9234 gibi yeni standartlara ihtiyaç var
  • BGP'nin güvene dayalı yapısı nedeniyle bu tür olaylar yaygın; ASPA, Peerlock ve RFC9234 gibi teknolojilerin benimsenmesi, internetin güvenli işletimi için kritik önem taşıyor

BGP route leak kavramı

  • BGP (Border Gateway Protocol), internette otonom sistemler (AS) arasında yolların değiş tokuş edildiği protokoldür
    • Ağlar arası ilişkiler müşteri-sağlayıcı (customer-provider) veya eşler arası (peer-peer) biçiminde kurulur
  • Route leak, RFC7908'de “yönlendirme bilgisinin amaçlanan kapsamın ötesine yayılması” olarak tanımlanır
    • Örnek: Bir müşterinin sağlayıcısından aldığı yolu başka bir sağlayıcıya yeniden duyurması
  • Bu tür sızıntılar, valley-free routing kuralının ihlalidir ve trafiğin anormal rotaları izlemesine yol açar
    • Sonuç olarak ağ tıkanıklığı, gecikme ve trafik kaybı gibi sorunlar ortaya çıkar

AS8048 (CANTV) route leak vakası

  • Cloudflare Radar, AS8048'in (CANTV) AS6762'den (Sparkle) aldığı yolları AS52320'ye (V.tal GlobeNet) yeniden ilettiğini doğruladı
    • Bu açık biçimde bir route leak örneği
  • Sızdırılan yolun kaynağı, AS8048'in müşteri ağı olan AS21980 (Dayco Telecom) idi
    • İki AS arasındaki ilişki, Cloudflare Radar ve bgp.tools verilerinde sağlayıcı-müşteri ilişkisi olarak doğrulanıyor
  • Yolda AS8048 birden fazla prepend edilmişti
    • Prepend, yolu daha az cazip hale getirip trafiği başka yollara yönlendirmek için kullanılan bir tekniktir
    • Bu nedenle kasıtlı bir MITM (ortadaki adam saldırısı) olasılığı düşüktür
  • Sızıntılar 2 Ocak 2026 tarihinde 15:30–17:45 UTC arasında birkaç kez meydana geldi; bunun ağ politikası hatası veya yakınsama sorunlarından kaynaklanmış olması muhtemel
  • Cloudflare Radar kayıtlarına göre aralık ayından bu yana 11 benzer sızıntı tekrarlandı; bu da süregelen politika eksikliğine işaret ediyor

Teknik nedenler ve politika sorunları

  • AS8048'in, sağlayıcı AS52320'ye yönelik routing export politikasını gevşek yapılandırmış olması mümkün
    • Müşteri BGP community etiketleri yerine yalnızca IRR tabanlı prefix listeleri kullanıldıysa, hatalı yol yeniden iletimi yaşanmış olabilir
  • Bu tür politika hataları, RFC9234'teki Only-to-Customer (OTC) özniteliğiyle önlenebilir
    • OTC, BGP rollerini (müşteri, sağlayıcı, peer) açıkça tanımlayarak hatalı yol yayılımını engeller

RPKI ve ASPA'nın rolü

  • Sparkle (AS6762), RPKI Route Origin Validation (ROV) uygulamasını tam olarak devreye almamış olsa da,
    • bu olay bir path anormalliği olduğu için ROV ile zaten önlenemezdi
  • ASPA (Autonomous System Provider Authorization), yol tabanlı doğrulama sağlar
    • Her AS'nin yetkili üst sağlayıcılarının listesini belirtmesi sayesinde anormal yollar otomatik olarak engellenebilir
    • Örneğin AS6762, “üst sağlayıcı yok” beyanında bulunursa, diğer ağlar AS6762'yi içeren hatalı yolları reddedebilir
  • ASPA, RPKI tabanlı çalışır ve route leak önlemede doğrudan etki sağlar

Güvenli BGP kurulumu için öneriler

  • BGP, doğası gereği güvene dayalı bir protokol olduğu için, politika hataları veya insan kaynaklı yanlışlar nedeniyle sızıntılar sık görülür
  • ASPA, RFC9234 ve Peerlock/Peerlock-lite gibi teknolojiler birlikte uygulanırsa
    • yol doğrulaması güçlenir
    • hatalı yol yayılımı engellenir
    • ağ kararlılığı artar
  • RIPE, ASPA nesnelerinin oluşturulmasını zaten destekliyor;
    • operatörlerin ağ ekipmanı üreticilerinden RFC9234 uygulaması talep etmesi gerekiyor
  • Bu tür işbirlikçi standartların benimsenmesi, Venezuela örneğindeki gibi BGP olaylarını önlemenin temel yollarından biri

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-09
Hacker News görüşleri

  • Buradaki yorum akışı biraz beklenmedikti. Herkes ABD şirketlerine duyulan korkudan bahsediyor ama bunun makalenin içeriğiyle pek ilgisi yok gibi görünüyor
    Cloudflare yazısı sadece BGP’nin nasıl çalıştığını açıklıyor ve Venezuela’daki bir ISP’de route leak olaylarının sık yaşandığına işaret ediyor
    Elbette Cloudflare yanlış olabilir ya da bir şey saklıyor olabilir, ama yazının hiçbir yerinde doğrudan müdahil olduklarına dair bir şey yok. Herkesin neye bakıp bu kadar emin olduğunu merak ediyorum

    • Bu yazıda korkulacak bir kanıt olmadığını düşünüyorum
      Yine de Stuxnet ve Dual EC DRBG olaylarına bakınca, hükümetlerin 0-day kullanma kapasitesini küçümsememek gerekir
      Bir arkadaşım FANG şirketlerinden birinde çalışıyordu ve hükümete veri akışını doğrudan sağladıklarını gördüğünü söylemişti. ISP arka kapıları da gerçek (Room 641A)
      Eğer Cloudflare mahkeme kararıyla iş birliği yaptıysa, bunu reddeden bir yazıyı hukuken yazabilir miydi?
      Bu yüzden insanlarda temel bir şüphecilik oluşuyor. Cloudflare’ın “bu eski bir sorun, çok da önemli değil” sonucu biraz zayıf kalıyor
    • Ben de aynı şeyi merak ediyorum. Bunun nasıl ABD hükümeti müdahalesine bağlandığını anlamıyorum
      BGP yapısı gereği ABD’nin başka ülkelere kıyasla böyle bir şeyi daha kolay yapmasını sağlayan bir neden olup olmadığını da merak ediyorum
    • Muhtemelen çoğu kişi sadece başlığa bakarak karar verdi. Ayrıca ABD’nin geçmişte buna benzer şeyleri gerçekten yapmış olmasına dair bir tarihsel arka plan da var
      Bu aralar ABD hükümeti hakkındaki genel hava o kadar alaycı ki, küçük olaylar bile şüpheyle karşılanıyor
      Ya da bunlar sadece Rusya ya da Çin’e ait sosyal medya hesapları olabilir, ama kim bilebilir
    • Birkaç gün önce de benzer bir yazı vardı — Venezuela işgal iddialarıyla BGP anomalilerini ilişkilendiren bir loworbitsecurity yazısı
      Ayrıca CNN haberinde Trump’ın müttefiklere karşı bile askerî seçeneklerden söz ettiği yazıyordu
      Şimdiki yönetim olsa böyle bir saldırıyı muhtemelen açıkça övünerek anlatırdı diye düşünüyorum. O yüzden ben şimdilik “basit yapılandırma hatası” açıklamasına inanıyorum
      Yine de ABD ne zaman haberlere çıksa tehdit, çekilme ya da yaptırımlarla anıldığı için insanların güvensizliğinin artması doğal

  • Uykuluydum ama yazı ilginçti. AS path prepending analizi “kaza” ihtimalini iyi destekliyor
    Bir devlet trafiği ele geçirmeye çalışsaydı, rotayı bilerek uzatması için bir neden olmazdı
    Büyük olasılıkla basit bir routing yapılandırma hatasıydı. BGP hâlâ güvene dayalı bir sistem, bu yüzden küçük bir yazım hatası bile tüm dünyayı etkileyebiliyor
    Kötü niyetten çok eksik bir export filtresi daha olası bir açıklama

    • “Devlet aktörü ise rotayı bilerek yanlış pad’lemiş de olabilir” diyen bir karşı görüş de var
      Gerçekten de reklam trafiğini manipüle etmeye çalışan devlet dışı aktörler var
      Yine de ağ işletmeciliği açısından bakınca, bu tür hatalar yaygın ve otomatik trafik ayarlama script’leri sorunu büyütebiliyor
      Sonuçta sorun BGP’nin yapısal kırılganlığı. Güvenlik ile BGP hâlâ pek yan yana gelen kelimeler değil

  • Snowden belgeleri arasında yer alan NSA Network Shaping 101 buna bakmak için uygun olabilir
    2007’de yazılmış bir belge ve ASIN ile katman 3 trafik kontrolünü anlatıyor

    • Ama bu belgedeki “layer 3 shaping” BGP anomalileriyle pek ilgili görünmüyor
      Sadece belirli bir IP’ye gönderilen trafiğin o bağlantı üzerinden geçmesini sağlayan yapıyı anlatıyor gibi
    • NSA’in bile ASN kavramını yanlış kullanmış olması komik. Sanki “komşum ‘123 Main Street’ adlı string’de yaşıyor” demek gibi

  • Yazıyı okuduktan sonra ABD şirketleri ile hükümet arasındaki bağın ne kadar derin olduğunu yeniden ürpertici biçimde hissettim
    Bunu zaten eskiden beri biliyordum ama bu kez sanki güven tamamen çökmüş gibi. Bu bir dönüm noktası gibi geliyor

    • Eskiden yasal dinleme konularından söz eden bir arkadaşım vardı; o zaman yüzünün birden tamamen donuklaştığını hatırlıyorum
      Bu tür gözetim altyapıları çok uzun zamandır var ve Japonya da 2003’te gerçek zamanlı trafik izleme yapıyordu
      Bugün ise DPI teknolojisi fazlasıyla kolay uygulanabiliyor
    • Bu güvensizlik döngüsü sanki her 10 yılda bir tekrar ediyor
      Sektöre yeni girenler safça başlıyor ama sonunda hükümetle şirketler arasındaki yakın ilişkiyi fark edip güvenlerini kaybediyor
      Zaman geçince yeni bir kuşak geliyor ve aynı süreci tekrar yaşıyor
    • Cloudflare’ın ABD hükümetinin bir operasyonunu örtbas etmeye çalıştığını düşünmek bana fazla yorum gibi geliyor
      Yazının ana fikri Hanlon’s razor, yani kötü niyetten önce hatadan şüphelenmek
      Elbette Cloudflare gerçekleri çarpıttıysa eleştirilmeli, ama buna dair henüz bir kanıt yok
    • “Şirketler hükümetlerle iç içe” durumu her ülkede var. Çok da yeni bir şey değil

  • Venezuela’nın eskimiş altyapısı düşünülünce, gerçekten gelişmiş bir siber saldırıya gerek var mıydı diye insan düşünüyor
    Gerçekte olan şey, yozlaşmış yüklenicilerin berbat sistemler teslim etmesi gibi görünüyor

    • Aslında böyle ülkelerde birkaç on bin dolara gidip anahtarı bizzat çevirecek birini bile satın alabilirsiniz
      Siber saldırılardan çok yolsuzluk düzeni daha büyük sorun
    • Ben de CANTV kullandım; telefon hattının bağlanması 9 buçuk yıl sürdü
      Sonunda sokakta çalışan bir teknisyene para vererek çözdüm ama verilen numara bir taksi şirketinin numarasıydı
      Böyle bir ortamda BGP saldırısı tartışmak biraz boş geliyor
    • Gerçekte yaşanan elektrik şebekesi saldırısı BGP ile ilgili değildi. Basit bir ağ hatası gibi görünüyor

  • Bu yazı iyi bir BGP tazelemesi oldu
    Eskiden ağ mühendisi olarak çalışırken BGP community magic işini çok kullanırdım,
    eğer BGP sadece provider, customer ve peer olmak üzere üç türü ifade etseydi belki çok daha basit olurdu

    • Evet, çok daha basit olurdu ama basitlik her zaman iyi değil
      Google Maps’ten trafik bilgisi ya da trafik ışığı verilerini kaldırınca hesabın kolaylaşıp sonucun berbat olması gibi

  • Bir keresinde Google Maps beni otoyoldan çıkarıp Walmart otoparkından geçirerek başka bir otoyola yönlendirmişti
    O zaman bunun basit bir algoritma hatası olduğunu düşündüm ama beni bir McDonald’s drive-thru’suna sokmuş olsaydı komplo şüphesine kapılırdım
    Bu olay da benzer şekilde, basit bir hata olarak görmek daha ikna edici

    • BGP route leak olaylarının daha sık yaşanmamasının nedeni diğer ISP’lerin yaptığı filtreleme. Hatalar düşünüldüğünden daha kolay ortaya çıkıyor

  • İnternetin çekirdek altyapısının ABD şirketleri merkezli işletiliyor olması biraz ürkütücü geliyor
    Artık başka ülkelerin de bağımsız yapılar kurması gerekiyor

    • Ama internetin kendisi zaten ABD ordusu, üniversiteleri ve şirketleri tarafından kurulmuş bir sistem, dolayısıyla bu o kadar da şaşırtıcı değil
      Peki bunun yerine kim yönetmeli, onu merak ediyorum
    • Avrupa da rahatlıkla Cloudflare benzeri bir şirket çıkarabilirdi ama sorun beyin göçü ve yetersiz yatırım oldu
    • İnternet özünde merkezsiz. Merkezi bir BGP yönlendiricisi diye bir şey yok

  • BGP olaylarını uzun zamandır izliyorum ve kasıtlı değişiklik, hata ve yapısal arıza arasındaki farkı ayırmanın her zaman zor olduğunu düşünüyorum
    Bu yüzden önce üç soru soruyorum: etki alanı giderek büyüdü mü, yollar simetrik biçimde değişti mi, toparlanma temiz oldu mu
    Sonra önce AS-path prepending değişimlerine bakıyor, bölgelere göre görünürlüğü karşılaştırıyorum
    En sonunda da “bundan kim çıkar sağladı” sorusunu izliyorum. Başkalarının hangi göstergelerle sorun tespit ettiğini merak ediyorum

  • Cloudflare’ın küresel kapsama alanı gerçekten etkileyici

    • Ama bence bu aynı zamanda dünya için tehlikeli bir yoğunlaşma yapısı. Artık ABD dışı şirketlerin bağımsızlaşması gerek
    • Anycast ağı varsa, BGP’yi birden fazla noktadan gözlemlemek mümkün; bu sadece Cloudflare’a özgü bir yetenek değil
      Yine de onlar mühendislik odaklı bir organizasyon, bu yüzden bu tür analizleri kamuya açık şekilde iyi paylaşıyorlar
    • Aslında herkes RIPE RIS kullanarak benzer analizler yapabilir
    • Cloudflare’ın kaynakları çok fazla ve açıkçası müthiş bir şirket