ProHoster > بلوق > أخبار الإنترنت > يؤدي تسرب طريق BGP إلى قطع اتصال كبير بالإنترنت

يؤدي تسرب طريق BGP إلى قطع اتصال كبير بالإنترنت

شركة Cloudflare опубликовала تقرير عن حادثة الأمس والتي أسفرت عن ثلاث ساعات من الساعة 13:34 إلى الساعة 16:26 (بتوقيت جرينتش) كانت هناك مشاكل في الوصول إلى العديد من الموارد على الشبكة العالمية، بما في ذلك البنية التحتية لـ Cloudflare وFacebook وAkamai وApple وLinode وAmazon AWS. مشاكل في البنية التحتية لـ Cloudflare التي توفر CDN لـ 16 مليون موقع، لاحظ من 14:02 إلى 16:02 (MSK). تقدر Cloudflare أن ما يقرب من 15٪ من حركة المرور العالمية قد فقدت أثناء انقطاع الخدمة.

المشكلة كانت تسبب تسرب مسار BGP، حيث تمت إعادة توجيه حوالي 20 ألف بادئة لـ 2400 شبكة بشكل غير صحيح. وكان مصدر التسريب هو مزود DQE Communications، الذي استخدم البرنامج محسن BGP لتحسين التوجيه. يقوم BGP Optimizer بتقسيم بادئات IP إلى بادئات أصغر، على سبيل المثال تقسيم 104.20.0.0/20 إلى 104.20.0.0/21 و104.20.8.0/21، ونتيجة لذلك، احتفظت DQE Communications بجانبها بعدد كبير من المسارات المحددة التي تتجاوز المزيد تلك المسارات العامة (أي بدلاً من التوجيهات العامة إلى Cloudflare، تم استخدام مسارات أكثر تفصيلاً إلى شبكات فرعية محددة في Cloudflare).

تم الإعلان عن مسارات النقاط هذه لأحد العملاء (Allegheny Technologies، AS396531)، الذي كان لديه أيضًا اتصال من خلال موفر آخر. قامت Allegheny Technologies ببث المسارات الناتجة إلى مزود نقل آخر (Verizon، AS701). نظرًا لعدم وجود تصفية مناسبة لإعلانات BGP والقيود المفروضة على عدد البادئات، التقطت Verizon هذا الإعلان وبثت البادئات العشرين الناتجة إلى بقية الإنترنت. كان يُنظر إلى البادئات غير الصحيحة، نظرًا لتفاصيلها، على أنها ذات أولوية أعلى نظرًا لأن المسار المحدد له أولوية أعلى من المسار العام.

يؤدي تسرب طريق BGP إلى قطع اتصال كبير بالإنترنت

ونتيجة لذلك، بدأ توجيه حركة المرور للعديد من الشبكات الكبيرة عبر شركة Verizon إلى المزود الصغير DQE Communications، الذي لم يكن قادرًا على التعامل مع حركة المرور المتزايدة، مما أدى إلى الانهيار (التأثير مشابه لاستبدال جزء من طريق سريع مزدحم بجزء من طريق سريع مزدحم). درب ريفي).

لمنع وقوع حوادث مماثلة في المستقبل
موصى به:

  • استخدم التحقق الإعلانات المستندة إلى RPKI (التحقق من أصل BGP، يسمح بقبول الإعلانات من مالكي الشبكة فقط)؛
  • تحديد الحد الأقصى لعدد البادئات المستلمة لجميع جلسات EBGP (سيساعد إعداد الحد الأقصى للبادئة على تجاهل إرسال 20 ألف بادئة على الفور خلال جلسة واحدة)؛
  • تطبيق التصفية بناءً على سجل IRR (يحدد سجل توجيه الإنترنت ASES التي يُسمح من خلالها بتوجيه البادئات المحددة)؛
  • استخدم إعدادات الحظر الافتراضية الموصى بها في RFC 8212 على أجهزة التوجيه ("الرفض الافتراضي")؛
  • توقف عن الاستخدام المتهور لمحسنات BGP.

يؤدي تسرب طريق BGP إلى قطع اتصال كبير بالإنترنت

المصدر: opennet.ru

إضافة تعليق