Компания Cloudflare доклад за вчерашния инцидент, довел до от 13:34 до 16:26 (MSK) имаше проблеми с достъпа до много ресурси в глобалната мрежа, включително инфраструктурата на Cloudflare, Facebook, Akamai, Apple, Linode и Amazon AWS. Проблеми в инфраструктурата на Cloudflare, която осигурява CDN за 16 милиона сайта, от 14:02 до 16:02 (MSK). Cloudflare изчислява, че приблизително 15% от глобалния трафик е бил загубен по време на прекъсването.
Проблемът беше Изтичане на BGP маршрут, по време на което около 20 хиляди префикса за 2400 мрежи бяха неправилно пренасочени. Източникът на теча е доставчикът DQE Communications, който използва софтуера за оптимизиране на маршрутизирането. BGP Optimizer разделя IP префиксите на по-малки, например разделяйки 104.20.0.0/20 на 104.20.0.0/21 и 104.20.8.0/21, и в резултат на това DQE Communications запази на своя страна голям брой специфични маршрути, които заместват повече общи маршрути (т.е. вместо общи маршрути към Cloudflare бяха използвани по-подробни маршрути към конкретни подмрежи на Cloudflare).
Тези маршрути на точки бяха обявени на един от клиентите (Allegheny Technologies, AS396531), който също имаше връзка чрез друг доставчик. Allegheny Technologies излъчва получените маршрути към друг доставчик на транзит (Verizon, AS701). Поради липсата на подходящо филтриране на BGP съобщения и ограниченията върху броя на префиксите, Verizon прие това съобщение и излъчи получените 20 хиляди префикса към останалата част от Интернет. Неправилните префикси, поради тяхната детайлност, се възприемат като по-висок приоритет, тъй като конкретен маршрут има по-висок приоритет от общ.
В резултат на това трафикът за много големи мрежи започна да се насочва през Verizon към малкия доставчик DQE Communications, който не успя да се справи с нарастващия трафик, което доведе до срив (ефектът е сравним с замяната на част от натоварена магистрала с селски път).
За предотвратяване на подобни инциденти в бъдеще
:
- употреба съобщения, базирани на RPKI (BGP Origin Validation, позволява приемането на съобщения само от собственици на мрежа);
- Ограничете максималния брой получени префикси за всички EBGP сесии (настройката за максимален префикс ще помогне незабавно да отхвърлите предаването на 20 хиляди префикса в рамките на една сесия);
- Прилагане на филтриране въз основа на IRR регистъра (Интернет регистър на маршрутизирането, определя AS, през които е разрешено маршрутизирането на определени префикси);
- Използвайте настройките за блокиране по подразбиране, препоръчани в RFC 8212 на рутери („default deny“);
- Спрете безразсъдното използване на BGP оптимизатори.
Източник: opennet.ru