Das Unternehmen Cloudflare Bericht über den Vorfall von gestern, bei dem über einen Zeitraum von von 13:34 bis 16:26 (MSK) Probleme mit dem Zugriff auf viele Ressourcen im globalen Netzwerk auftraten, einschließlich der Infrastruktur von Cloudflare, Facebook, Akamai, Apple, Linode und Amazon AWS. Die Probleme in der Infrastruktur von Cloudflare, die CDN für 16 Millionen Websites bereitstellt, traten von 14:02 bis 16:02 (MSK) auf. Laut einer Schätzung von Cloudflare belief sich der Trafficverlust während der Störung auf etwa 15 % des globalen Traffics.
Das Problem wurde auf einen BGP-Routenleck zurückgeführt, bei dem etwa 20.000 Präfixe für 2.400 Netzwerke falsch weitergeleitet wurden. Die Quelle des Lecks war der Anbieter DQE Communications, der die Software zur Optimierung der Routen verwendete. BGP Optimizer zerlegt IP-Präfixe in kleinere Einheiten, zum Beispiel wird 104.20.0.0/20 auf 104.20.0.0/21 und 104.20.8.0/21 aufgeteilt, wodurch DQE Communications eine große Zahl spezifischer Routen hielt, die allgemeinere Routen überschrieben (d.h. anstelle allgemeiner Routen zu Cloudflare wurden spezifischere Routen zu bestimmten Subnetzen von Cloudflare verwendet).
Diese spezifischen Routen wurden einem der Kunden (Allegheny Technologies, AS396531) angekündigt, der auch über einen weiteren Anbieter verbunden war. Allegheny Technologies übertrug die erhaltenen Routen an einen anderen Transitprovider (Verizon, AS701). Aufgrund mangelnder ordnungsgemäßer BGP-Ankündigungsfilterung und einer Begrenzung der Präfixzahlen erfasste Verizon diese Ankündigung und übermittelte die erhaltenen 20.000 Präfixe an den Rest des Internets. Falsche Präfixe wurden aufgrund ihrer Granularität als vorrangiger betrachtet, da eine spezifische Route höhere Priorität hat als eine allgemeine.
Infolgedessen wurde der Verkehr vieler großer Netzwerke über Verizon zu dem kleinen Anbieter DQE Communications geleitet, der mit dem Ansturm nicht zurechtkam, was zu einem Zusammenbruch führte (dieser Effekt ist vergleichbar damit, einen Teil einer stark befahrenen Autobahn durch einen schmalen Weg zu ersetzen).
Um derartige Vorfälle in Zukunft zu verhindern,
:
- Verwenden von Ankündigungen auf Basis von RPKI (BGP Origin Validation, erlaubt die Annahme von Ankündigungen nur von den Eigentümern des Netzwerks);
- Begrenzen Sie die maximale Anzahl der akzeptierten Präfixe für alle EBGP-Sitzungen (die Einstellung maximum-prefix würde sofort die Übertragung von 20.000 Präfixen innerhalb einer Sitzung abbrechen);
- Wenden Sie eine Filterung basierend auf dem IRR-Register (Internet Routing Registry, das AS angibt, über die die Routing der angegebenen Präfixe zulässig ist) an;
- Verwenden Sie auf Routern die in RFC 8212 empfohlenen Einstellungen für die standardmäßige Blockierung (‘default deny’);
- Beenden Sie die unüberlegte Verwendung von BGP-Optimierern.
Quelle: opennet.ru
