Cloudflare Company rapport om gårsdagens hændelse, som resulterede i fra 13:34 til 16:26 (MSK) var der problemer med adgangen til mange ressourcer på det globale netværk, herunder infrastrukturen i Cloudflare, Facebook, Akamai, Apple, Linode og Amazon AWS. Problemer i Cloudflare-infrastrukturen, som leverer CDN til 16 millioner websteder, fra 14:02 til 16:02 (MSK). Cloudflare anslår, at cirka 15 % af den globale trafik gik tabt under afbrydelsen.
Problemet var BGP-rutelæk, hvor omkring 20 tusind præfikser til 2400 netværk blev omdirigeret forkert. Kilden til lækagen var udbyderen DQE Communications, som brugte softwaren for at optimere routing. BGP Optimizer opdeler IP-præfikser i mindre, for eksempel opdeler 104.20.0.0/20 i 104.20.0.0/21 og 104.20.8.0/21, og som et resultat holdt DQE Communications på sin side et stort antal specifikke ruter, der tilsidesætter flere generelle ruter (dvs. i stedet for generelle ruter til Cloudflare blev der brugt mere granulære ruter til specifikke Cloudflare-undernet).
Disse punktruter blev annonceret til en af kunderne (Allegheny Technologies, AS396531), som også havde forbindelse gennem en anden udbyder. Allegheny Technologies udsender de resulterende ruter til en anden transitudbyder (Verizon, AS701). På grund af manglen på korrekt filtrering af BGP-meddelelser og begrænsninger på antallet af præfikser, opfangede Verizon denne meddelelse og udsendte de resulterende 20 tusind præfikser til resten af internettet. Forkerte præfikser blev på grund af deres granularitet opfattet som højere prioritet, da en specifik rute har en højere prioritet end en generel.
Som et resultat begyndte trafik for mange store netværk at blive dirigeret gennem Verizon til den lille udbyder DQE Communications, som ikke var i stand til at håndtere den stigende trafik, hvilket førte til et kollaps (effekten kan sammenlignes med at erstatte en del af en travl motorvej med en landevej).
For at forhindre lignende hændelser i at opstå i fremtiden
:
- Brug meddelelser baseret på RPKI (BGP Origin Validation, tillader kun at acceptere meddelelser fra netværksejere);
- Begræns det maksimale antal modtagne præfikser for alle EBGP-sessioner (den maksimale præfiksindstilling vil hjælpe med straks at kassere transmissionen af 20 tusind præfikser inden for en session);
- Anvend filtrering baseret på IRR-registret (Internet Routing Registry, bestemmer de AS'er, hvorigennem routing af specificerede præfikser er tilladt);
- Brug standard blokeringsindstillingerne anbefalet i RFC 8212 på routere ('standard afvis');
- Stop hensynsløs brug af BGP-optimering.
Kilde: opennet.ru