Společnost Cloudflare zprávu o včerejším incidentu, který vyústil v od 13:34 do 16:26 (MSK) došlo k problémům s přístupem k mnoha zdrojům v globální síti, včetně infrastruktury Cloudflare, Facebooku, Akamai, Apple, Linode a Amazon AWS. Problémy v infrastruktuře Cloudflare, která poskytuje CDN pro 16 milionů webů, od 14:02 do 16:02 (MSK). Cloudflare odhaduje, že během výpadku bylo ztraceno přibližně 15 % celosvětového provozu.
Problém byl Únik trasy BGP, při kterém bylo nesprávně přesměrováno asi 20 tisíc prefixů pro 2400 sítí. Zdrojem úniku byl poskytovatel DQE Communications, který software používal pro optimalizaci směrování. BGP Optimizer rozděluje IP prefixy na menší, například rozděluje 104.20.0.0/20 na 104.20.0.0/21 a 104.20.8.0/21, a v důsledku toho si DQE Communications ponechala na své straně velké množství specifických tras, které přepisují více obecné trasy (tj. namísto obecných tras do Cloudflare byly použity podrobnější trasy do konkrétních podsítí Cloudflare).
Tyto bodové trasy byly oznámeny jednomu z klientů (Allegheny Technologies, AS396531), který měl také připojení přes jiného poskytovatele. Allegheny Technologies vysílá výsledné trasy jinému poskytovateli tranzitu (Verizon, AS701). Kvůli nedostatečnému filtrování oznámení BGP a omezením počtu předvoleb Verizon toto oznámení zachytil a výsledných 20 tisíc předvoleb rozeslal do zbytku internetu. Nesprávné předpony byly kvůli své granularitě vnímány jako vyšší priorita, protože konkrétní trasa má vyšší prioritu než obecná.
V důsledku toho začal být provoz mnoha velkých sítí směrován přes Verizon k malému poskytovateli DQE Communications, který nebyl schopen zvládnout prudký nárůst provozu, což vedlo ke kolapsu (efekt je srovnatelný s nahrazením části rušné dálnice venkovská cesta).
Aby k podobným incidentům v budoucnu nedocházelo
:
- Chcete-li použít oznámení založená na RPKI (BGP Origin Validation, umožňuje přijímat oznámení pouze od vlastníků sítě);
- Omezte maximální počet přijatých prefixů pro všechny relace EBGP (nastavení maximálního prefixu by pomohlo okamžitě zahodit přenos 20 tisíc prefixů v rámci jedné relace);
- Použít filtrování na základě registru IRR (Internet Routing Registry, určuje AS, přes které je povoleno směrování zadaných prefixů);
- Použijte výchozí nastavení blokování doporučené v RFC 8212 na směrovačích („default deny“);
- Zastavte bezohledné používání optimalizátorů BGP.
Zdroj: opennet.ru