Cloudflare-Unternehmen Bericht über den gestrigen Vorfall, der dazu führte Von 13:34 bis 16:26 (MSK) gab es Probleme beim Zugriff auf viele Ressourcen im globalen Netzwerk, darunter die Infrastruktur von Cloudflare, Facebook, Akamai, Apple, Linode und Amazon AWS. Probleme in der Cloudflare-Infrastruktur, die CDN für 16 Millionen Websites bereitstellt, von 14:02 bis 16:02 (MSK). Cloudflare schätzt, dass während des Ausfalls etwa 15 % des weltweiten Datenverkehrs verloren gingen.
Das Problem war BGP-Routenleck, bei dem etwa 20 Präfixe für 2400 Netzwerke falsch umgeleitet wurden. Quelle des Leaks war der Anbieter DQE Communications, der die Software nutzte um die Routenführung zu optimieren. BGP Optimizer teilt IP-Präfixe in kleinere auf, zum Beispiel 104.20.0.0/20 in 104.20.0.0/21 und 104.20.8.0/21, und als Ergebnis behielt DQE Communications eine große Anzahl spezifischer Routen auf seiner Seite, die mehr überschreiben allgemeine Routen (d. h. anstelle allgemeiner Routen zu Cloudflare wurden detailliertere Routen zu bestimmten Cloudflare-Subnetzen verwendet).
Diese Punktrouten wurden einem der Kunden (Allegheny Technologies, AS396531) bekannt gegeben, der ebenfalls über einen Anschluss über einen anderen Anbieter verfügte. Allegheny Technologies sendete die resultierenden Routen an einen anderen Transitanbieter (Verizon, AS701). Aufgrund der fehlenden ordnungsgemäßen Filterung von BGP-Ankündigungen und Einschränkungen hinsichtlich der Anzahl der Präfixe hat Verizon diese Ankündigung aufgegriffen und die daraus resultierenden 20 Präfixe an den Rest des Internets gesendet. Falsche Präfixe wurden aufgrund ihrer Granularität als höhere Priorität wahrgenommen, da eine bestimmte Route eine höhere Priorität hat als eine allgemeine.
Infolgedessen wurde der Verkehr für viele große Netzwerke über Verizon an den kleinen Anbieter DQE Communications weitergeleitet, der den steigenden Verkehr nicht bewältigen konnte, was zu einem Zusammenbruch führte (der Effekt ist vergleichbar mit dem Ersetzen eines Teils einer stark befahrenen Autobahn durch eine Autobahn). Landstraße).
Um zu verhindern, dass ähnliche Vorfälle in Zukunft auftreten
:
- Zu verwenden Ankündigungen basierend auf RPKI (BGP Origin Validation, ermöglicht die Annahme von Ankündigungen nur von Netzwerkbesitzern);
- Begrenzen Sie die maximale Anzahl empfangener Präfixe für alle EBGP-Sitzungen (die Einstellung für maximale Präfixe würde dazu beitragen, die Übertragung von 20 Präfixen innerhalb einer Sitzung sofort zu verwerfen);
- Wenden Sie eine Filterung basierend auf der IRR-Registrierung an (Internet Routing Registry, bestimmt die ASes, über die das Routing bestimmter Präfixe zulässig ist).
- Verwenden Sie die in RFC 8212 empfohlenen Standardblockierungseinstellungen für Router („Standardverweigerung“).
- Stoppen Sie den rücksichtslosen Einsatz von BGP-Optimierern.
Source: opennet.ru