Cloudflare Company report sa insidente kagahapon, nga miresulta sa Gikan sa 13:34 hangtod 16:26 (MSK), adunay mga problema sa pag-access sa daghang mga kapanguhaan sa global nga network, lakip ang imprastraktura sa Cloudflare, Facebook, Akamai, Apple, Linode, ug Amazon AWS. Ang mga problema sa imprastraktura sa Cloudflare, nga naghatag CDN alang sa 16 milyon nga mga site, gikan sa 14:02 hangtod 16:02 (MSK). Gibanabana sa Cloudflare nga gibana-bana nga 15% sa global nga trapiko ang nawala sa panahon sa outage.
Ang problema mao leak sa ruta pinaagi sa BGP, diin mga 20 ka libo nga prefix alang sa 2400 nga mga network ang sayup nga gi-redirect. Ang tinubdan sa leak mao ang provider nga DQE Communications, nga naggamit og software aron ma-optimize ang ruta. Giputol sa BGP Optimizer ang mga prefix sa IP ngadto sa mas gagmay, pananglitan, gibahin ang 104.20.0.0/20 ngadto sa 104.20.0.0/21 ug 104.20.8.0/21, ug isip resulta, ang DQE Communications nagtipig ug daghang espesipikong mga ruta sa kilid niini nga nag-override. mas komon nga mga rota (ie imbes nga generic nga mga ruta paingon sa Cloudflare, mas daghang granular nga mga rota ngadto sa piho nga Cloudflare subnets ang gigamit).
Kini nga mga ruta sa punto gi-advertise sa usa sa mga kustomer (Allegheny Technologies, AS396531) nga adunay koneksyon usab pinaagi sa laing provider. Gisibya sa Allegheny Technologies ang nadawat nga mga ruta sa lain nga tighatag sa transit (Verizon, AS701). Tungod sa kakulang sa husto nga pagsala sa mga anunsyo sa BGP ug ang limitasyon sa gidaghanon sa mga prefix, gikuha ni Verizon kini nga pahibalo ug gisibya ang nadawat nga 20 ka libo nga mga prefix sa nahabilin nga Internet. Ang dili husto nga mga prefix, tungod sa ilang granularity, giisip nga mas taas nga prayoridad, tungod kay ang usa ka piho nga ruta adunay mas taas nga prayoridad kaysa usa ka kinatibuk-an.
Ingon usa ka sangputanan, ang trapiko alang sa daghang dagkong mga network nagsugod sa pag-agi sa Verizon ngadto sa usa ka gamay nga provider nga DQE Communications, nga dili makadumala sa nagsulbong nga trapiko, nga misangpot sa pagkahugno (ang epekto ikatandi sa pag-ilis sa bahin sa usa ka busy nga freeway sa usa ka nasud nga dalan. ).
Aron malikayan ang susamang mga insidente nga mahitabo sa umaabot
:
- Paggamit mga anunsyo nga gibase sa RPKI (BGP Origin Validation, nagtugot sa pagdawat sa mga anunsyo gikan lamang sa mga tag-iya sa network);
- Limitahan ang labing kadaghan nga gidawat nga prefix alang sa tanan nga mga sesyon sa EBGP (ang pagtakda sa labing taas nga prefix makatabang nga isalikway dayon ang pagpadala sa 20 ka libo nga prefix sa sulod sa usa ka sesyon);
- I-apply ang pagsala base sa IRR registry (Internet Routing Registry, nagtino sa AS diin gitugutan ang routing sa gihatag nga prefix);
- Gamita ang default deny settings ('default deny') nga girekomenda sa RFC 8212 sa mga routers;
- Hunonga ang walay pagtagad nga paggamit sa mga BGP optimizer.
Source: opennet.ru