Cumpagnia Cloudflare rapportu nantu à l'incidentu di ieri, chì hà risultatu in Da 13:34 à 16:26 (MSK), ci sò stati prublemi per accede à parechje risorse nantu à a reta glubale, cumprese l'infrastruttura di Cloudflare, Facebook, Akamai, Apple, Linode è Amazon AWS. Problemi in l'infrastruttura Cloudflare, chì furnisce un CDN per 16 milioni di siti, da 14:02 à 16:02 (MSK). Cloudflare hà stimatu chì circa 15% di u trafficu globale hè statu persu durante l'interruzione.
U prublema era fuga di rotta attraversu BGP, durante a quale circa 20 mila prefissi per e rete 2400 sò stati rediretti in modu incorrectu. A fonte di a fuga era u fornitore DQE Communications, chì hà utilizatu software per ottimisà u routing. BGP Optimizer rompe i prefissi IP in più chjuchi, per esempiu, divide 104.20.0.0/20 in 104.20.0.0/21 è 104.20.8.0/21, è in u risultatu, DQE Communications hà guardatu un gran numaru di rotte specifiche da u so latu chì annullanu. rotte più cumuni (vale à dì invece di rotte generiche à Cloudflare, sò state aduprate rotte più granulari à subnets Cloudflare specifiche).
Queste rotte di punti sò stati annunziati à unu di i clienti (Allegheny Technologies, AS396531) chì anu avutu ancu una cunnessione per un altru fornitore. Allegheny Technologies hà trasmessu e rotte ricevute à un altru fornitore di transitu (Verizon, AS701). A causa di a mancanza di filtru propiu di l'annunzii BGP è u limitu di u numeru di prefissi, Verizon hà pigliatu questu annunziu è trasmette i 20 mila prefissi ricevuti à u restu di l'Internet. I prefissi incorretti, per via di a so granularità, sò stati percepiti cum'è una priorità più alta, postu chì una strada specifica hà una priorità più altu ch'è una generale.
In u risultatu, u trafficu per parechje grande rete hà cuminciatu à esse diretta à traversu Verizon à un picculu fornitore DQE Communications, incapace di trattà u trafficu di inundazioni, chì hà purtatu à un colapsu (l'effettu hè paragunabile à rimpiazzà una parte di una autostrada trafficata cù una strada di campagna). ).
Per impediscenu incidenti simili in u futuru
:
- Aduprate annunzii basati nantu à RPKI (BGP Origin Validation, permette di riceve annunzii solu da i pruprietarii di a rete);
- Limità u numeru massimu di prefissi accettati per tutte e sessioni EBGP (l'impostazione di u prefissu massimu aiuterà à scartà immediatamente a trasmissione di 20 mila prefissi in una sessione);
- Applicà u filtru basatu annantu à u registru IRR (Registru di Routing Internet, determina AS per mezu di quale u routing di prefissi dati hè permessu);
- Aduprate i paràmetri predefiniti di ricusazione ('default deny') cunsigliatu in RFC 8212 nantu à i routers;
- Ferma l'usu imprudente di l'optimizatori BGP.
Source: opennet.ru