Cloudflare şirkəti ilə nəticələnən dünənki hadisə ilə əlaqədar hesabat 13:34-dən 16:26-dək (MSK) qlobal şəbəkədə bir çox resurslara, o cümlədən Cloudflare, Facebook, Akamai, Apple, Linode və Amazon AWS infrastrukturuna çıxışda problemlər yaranıb. 16 milyon sayt üçün CDN təmin edən Cloudflare infrastrukturunda problemlər, 14:02-dən 16:02-dək (MSK). Cloudflare, kəsinti zamanı qlobal trafikin təxminən 15%-nin itirildiyini təxmin edir.
Problem onda idi BGP marşrutu sızması, bu müddət ərzində 20 şəbəkə üçün təxminən 2400 min prefiks yanlış yönləndirilib. Sızmanın mənbəyi proqram təminatından istifadə edən DQE Communications provayderi olub marşrutlaşdırmanı optimallaşdırmaq üçün. BGP Optimizer IP prefikslərini daha kiçik olanlara bölür, məsələn, 104.20.0.0/20-ni 104.20.0.0/21 və 104.20.8.0/21-ə bölür və nəticədə DQE Communications daha çox üstünlük təşkil edən çoxlu sayda xüsusi marşrutları öz tərəfində saxlayır. ümumi olan marşrutlar (yəni Cloudflare-ə ümumi marşrutlar əvəzinə, xüsusi Cloudflare alt şəbəkələrinə daha çox dənəvər marşrutlar istifadə edilmişdir).
Bu nöqtə marşrutları başqa bir provayder vasitəsilə əlaqəsi olan müştərilərdən birinə (Allegheny Technologies, AS396531) elan edildi. Allegheny Technologies əldə edilən marşrutları başqa bir tranzit provayderinə (Verizon, AS701) yayımlayır. BGP elanlarının düzgün süzülməməsi və prefikslərin sayına məhdudiyyətlərin olmaması səbəbindən Verizon bu elanı götürdü və nəticədə 20 min prefiksi İnternetin qalan hissəsinə yayımladı. Səhv prefikslər dənəvərliyinə görə daha yüksək prioritet kimi qəbul edildi, çünki konkret marşrut ümumi marşrutdan daha yüksək prioritetə malikdir.
Nəticədə, bir çox böyük şəbəkələr üçün trafik Verizon vasitəsilə kiçik provayder DQE Communications-a yönəldilməyə başladı, bu da artan trafikin öhdəsindən gələ bilmədi, bu da çökməyə səbəb oldu (təsiri məşğul magistralın bir hissəsinin dəyişdirilməsi ilə müqayisə edilə bilər). kənd yolu).
Gələcəkdə oxşar hadisələrin baş verməməsi üçün
:
- Istifadə RPKI əsasında elanlar (BGP Origin Validation, yalnız şəbəkə sahiblərindən elanları qəbul etməyə imkan verir);
- Bütün EBGP seansları üçün alınan prefikslərin maksimum sayını məhdudlaşdırın (maksimum prefiks parametri bir seans ərzində 20 min prefiksin ötürülməsini dərhal ləğv etməyə kömək edərdi);
- IRR reyestrinə əsaslanaraq filtrləmə tətbiq edin (İnternet Routing Registry, müəyyən edilmiş prefikslərin marşrutlaşdırılmasına icazə verilən AS-ları müəyyən edir);
- Routerlərdə RFC 8212-də tövsiyə olunan standart bloklama parametrlərindən istifadə edin ('default inkar');
- BGP optimallaşdırıcılarının ehtiyatsız istifadəsini dayandırın.
Mənbə: opennet.ru