Cloudflare Maatskappy berig oor gister se voorval, wat gelei het van 13:34 tot 16:26 (MSK) was daar probleme met toegang tot baie hulpbronne op die globale netwerk, insluitend die infrastruktuur van Cloudflare, Facebook, Akamai, Apple, Linode en Amazon AWS. Probleme in die Cloudflare-infrastruktuur, wat CDN vir 16 miljoen werwe verskaf, van 14:02 tot 16:02 (MSK). Cloudflare skat dat ongeveer 15% van die wΓͺreldwye verkeer verlore gegaan het tydens die onderbreking.
Die probleem was BGP-roetelek, waartydens ongeveer 20 duisend voorvoegsels vir 2400 netwerke verkeerd herlei is. Die bron van die lekkasie was die verskaffer DQE Communications, wat die sagteware gebruik het om roetes te optimaliseer. BGP Optimizer verdeel IP-voorvoegsels in kleineres, byvoorbeeld om 104.20.0.0/20 in 104.20.0.0/21 en 104.20.8.0/21 te verdeel, en gevolglik het DQE Communications 'n groot aantal spesifieke roetes aan sy kant gehou wat meer oorheers algemene roetes (d.w.s. in plaas van algemene roetes na Cloudflare, is meer granulΓͺre roetes na spesifieke Cloudflare-subnette gebruik).
Hierdie puntroetes is aangekondig aan een van die kliΓ«nte (Allegheny Technologies, AS396531), wat ook 'n verbinding deur 'n ander verskaffer gehad het. Allegheny Technologies het die gevolglike roetes na 'n ander vervoerverskaffer (Verizon, AS701) uitgesaai. Weens die gebrek aan behoorlike filtering van BGP-aankondigings en beperkings op die aantal voorvoegsels, het Verizon hierdie aankondiging opgetel en die gevolglike 20 duisend voorvoegsels na die res van die internet uitgesaai. Verkeerde voorvoegsels, as gevolg van hul korreligheid, is as hoΓ«r prioriteit beskou aangesien 'n spesifieke roete 'n hoΓ«r prioriteit as 'n algemene een het.
Gevolglik het verkeer vir baie groot netwerke begin om deur Verizon na die klein verskaffer DQE Communications gelei te word, wat nie die toenemende verkeer kon hanteer nie, wat gelei het tot 'n ineenstorting (die effek is vergelykbaar met die vervanging van 'n deel van 'n besige snelweg met 'n plaaspad).
Om te voorkom dat soortgelyke voorvalle in die toekoms plaasvind
:
- maak gebruik van aankondigings gebaseer op RPKI (BGP Origin Validation, laat die aanvaarding van aankondigings slegs van netwerkeienaars toe);
- Beperk die maksimum aantal ontvangde voorvoegsels vir alle EBGP-sessies (die maksimum-voorvoegsel-instelling sal help om die versending van 20 duisend voorvoegsels binne een sessie onmiddellik weg te gooi);
- Pas filtering toe gebaseer op die IRR-register (Internet Routing Registry, bepaal die AS'e waardeur roetering van gespesifiseerde voorvoegsels toegelaat word);
- Gebruik die verstekblokkeringsinstellings wat aanbeveel word in RFC 8212 op routers ('default deny');
- Stop roekelose gebruik van BGP-optimeerders.
Bron: opennet.ru