Εταιρεία Cloudflare αναφορά για το χθεσινό περιστατικό, που είχε ως αποτέλεσμα Από τις 13:34 έως τις 16:26 (MSK), υπήρχαν προβλήματα με την πρόσβαση σε πολλούς πόρους στο παγκόσμιο δίκτυο, συμπεριλαμβανομένης της υποδομής των Cloudflare, Facebook, Akamai, Apple, Linode και Amazon AWS. Προβλήματα στην υποδομή Cloudflare, η οποία παρέχει ένα CDN για 16 εκατομμύρια ιστότοπους, από 14:02 έως 16:02 (MSK). Η Cloudflare υπολόγισε ότι περίπου το 15% της παγκόσμιας κυκλοφορίας χάθηκε κατά τη διάρκεια της διακοπής λειτουργίας.
Το πρόβλημα ήταν διαρροή διαδρομής μέσω BGP, κατά την οποία ανακατευθύνθηκαν εσφαλμένα περίπου 20 χιλιάδες προθέματα για 2400 δίκτυα. Η πηγή της διαρροής ήταν ο πάροχος DQE Communications, ο οποίος χρησιμοποιούσε λογισμικό για βελτιστοποίηση της δρομολόγησης. Το BGP Optimizer διασπά τα προθέματα IP σε μικρότερα, για παράδειγμα, χωρίζει το 104.20.0.0/20 σε 104.20.0.0/21 και 104.20.8.0/21, και ως εκ τούτου, η DQE Communications διατήρησε μεγάλο αριθμό συγκεκριμένων διαδρομών στο πλάι της. πιο κοινές διαδρομές (δηλαδή αντί για γενικές διαδρομές προς το Cloudflare, χρησιμοποιήθηκαν πιο αναλυτικές διαδρομές προς συγκεκριμένα υποδίκτυα Cloudflare).
Αυτές οι σημειακές διαδρομές διαφημίστηκαν σε έναν από τους πελάτες (Allegheny Technologies, AS396531) ο οποίος είχε επίσης σύνδεση μέσω άλλου παρόχου. Η Allegheny Technologies μεταδίδει τις ληφθείσες διαδρομές σε άλλο πάροχο διαμετακόμισης (Verizon, AS701). Λόγω της έλλειψης κατάλληλου φιλτραρίσματος των ανακοινώσεων BGP και του ορίου στον αριθμό των προθεμάτων, η Verizon έλαβε αυτήν την ανακοίνωση και μετέδωσε τα ληφθέντα 20 χιλιάδες προθέματα στο υπόλοιπο Διαδίκτυο. Τα λανθασμένα προθέματα, λόγω της ευαισθησίας τους, θεωρήθηκαν ως υψηλότερης προτεραιότητας, καθώς μια συγκεκριμένη διαδρομή έχει μεγαλύτερη προτεραιότητα από μια γενική.
Ως αποτέλεσμα, η κίνηση για πολλά μεγάλα δίκτυα άρχισε να δρομολογείται μέσω της Verizon σε έναν μικρό πάροχο DQE Communications, που δεν μπορούσε να διαχειριστεί την αυξανόμενη κίνηση, η οποία οδήγησε σε κατάρρευση (το αποτέλεσμα είναι συγκρίσιμο με την αντικατάσταση μέρους ενός πολυσύχναστου αυτοκινητόδρομου με έναν επαρχιακό δρόμο ).
Για την αποφυγή παρόμοιων περιστατικών στο μέλλον
:
- Χρήση ανακοινώσεις με βάση το RPKI (BGP Origin Validation, επιτρέπει τη λήψη ανακοινώσεων μόνο από κατόχους δικτύου).
- Περιορίστε τον μέγιστο αριθμό αποδεκτών προθεμάτων για όλες τις συνεδρίες EBGP (η ρύθμιση μέγιστου προθέματος θα βοηθούσε στην άμεση απόρριψη της μετάδοσης 20 χιλιάδων προθεμάτων σε μία περίοδο σύνδεσης).
- Εφαρμογή φιλτραρίσματος με βάση το μητρώο IRR (Μητρώο δρομολόγησης Διαδικτύου, καθορίζει το AS μέσω του οποίου επιτρέπεται η δρομολόγηση δεδομένων προθεμάτων).
- Χρησιμοποιήστε τις προεπιλεγμένες ρυθμίσεις άρνησης («προεπιλεγμένη άρνηση») που συνιστώνται στο RFC 8212 σε δρομολογητές.
- Σταματήστε την αλόγιστη χρήση των βελτιστοποιητών BGP.
Πηγή: opennet.ru