ProHoster > Блог > internet vijesti > Curenje BGP rute dovodi do masovnog prekida veze na Internetu

Curenje BGP rute dovodi do masovnog prekida veze na Internetu

Cloudflare Company objavljeno izvještaj o jučerašnjem incidentu, koji je rezultirao tri sata od 13:34 do 16:26 (MSK) došlo je do problema sa pristupom mnogim resursima na globalnoj mreži, uključujući infrastrukturu Cloudflare, Facebook, Akamai, Apple, Linode i Amazon AWS. Problemi u Cloudflare infrastrukturi, koja obezbeđuje CDN za 16 miliona lokacija, posmatrano od 14:02 do 16:02 (MSK). Cloudflare procjenjuje da je oko 15% globalnog saobraćaja izgubljeno tokom prekida.

Problem je bio uzrokovano Curenje BGP rute, tokom kojeg je oko 20 hiljada prefiksa za 2400 mreža pogrešno preusmjereno. Izvor curenja bio je provajder DQE Communications, koji je koristio softver BGP Optimizer za optimizaciju rutiranja. BGP Optimizer dijeli IP prefikse na manje, na primjer razdvajajući 104.20.0.0/20 na 104.20.0.0/21 i 104.20.8.0/21, i kao rezultat toga, DQE Communications je zadržala na svojoj strani veliki broj specifičnih ruta koje nadjačavaju više opće rute (tj. umjesto općih ruta do Cloudflarea, korištene su detaljnije rute do određenih Cloudflare podmreža).

Ove tačke rute su najavljene jednom od klijenata (Allegheny Technologies, AS396531), koji je takođe imao vezu preko drugog provajdera. Allegheny Technologies emituje rezultirajuće rute drugom provajderu tranzita (Verizon, AS701). Zbog nedostatka pravilnog filtriranja BGP najava i ograničenja broja prefiksa, Verizon je preuzeo ovu najavu i emitovao rezultirajućih 20 hiljada prefiksa na ostatak Interneta. Netačni prefiksi, zbog njihove granularnosti, smatrani su višim prioritetom jer određena ruta ima veći prioritet od općeg.

Curenje BGP rute dovodi do masovnog prekida veze na Internetu

Kao rezultat toga, promet za mnoge velike mreže počeo je da se usmjerava preko Verizon-a do malog provajdera DQE Communications, koji nije mogao podnijeti nagli promet, što je dovelo do kolapsa (efekt je uporediv sa zamjenom dijela prometnog autoputa sa seoski put).

Kako bi se spriječili slični incidenti u budućnosti
preporučeno:

  • Upotreba verifikacija najave zasnovane na RPKI (BGP Origin Validation, dozvoljava prihvatanje najava samo od vlasnika mreže);
  • Ograničite maksimalni broj primljenih prefiksa za sve EBGP sesije (postavka maksimalnog prefiksa bi pomogla da se odmah odbaci prenos od 20 hiljada prefiksa unutar jedne sesije);
  • Primijenite filtriranje na osnovu IRR registra (Internet Routing Registry, određuje AS-ove preko kojih je dozvoljeno rutiranje specificiranih prefiksa);
  • Koristite zadane postavke blokiranja preporučene u RFC 8212 na ruterima ('default deny');
  • Zaustavite bezobzirnu upotrebu BGP optimizatora.

Curenje BGP rute dovodi do masovnog prekida veze na Internetu

izvor: opennet.ru

Dodajte komentar