Compañía Cloudflare informe sobre el incidente de ayer, que resultó en De 13:34 a 16:26 (MSK) hubo problemas con el acceso a muchos recursos en la red global, incluida la infraestructura de Cloudflare, Facebook, Akamai, Apple, Linode y Amazon AWS. Problemas en la infraestructura de Cloudflare, que proporciona CDN para 16 millones de sitios, de 14:02 a 16:02 (MSK). Cloudflare estima que aproximadamente el 15% del tráfico global se perdió durante la interrupción.
El problema era Fuga de ruta BGP, durante la cual se redirigieron incorrectamente alrededor de 20 mil prefijos para 2400 redes. La fuente de la filtración fue el proveedor DQE Communications, que utilizó el software. para optimizar el enrutamiento. BGP Optimizer divide los prefijos IP en otros más pequeños, por ejemplo dividiendo 104.20.0.0/20 en 104.20.0.0/21 y 104.20.8.0/21, y como resultado, DQE Communications mantuvo de su lado una gran cantidad de rutas específicas que anulan más rutas generales (es decir, en lugar de rutas generales a Cloudflare, se utilizaron rutas más granulares a subredes específicas de Cloudflare).
Estas rutas puntuales fueron anunciadas a uno de los clientes (Allegheny Technologies, AS396531), quien también tenía conexión a través de otro proveedor. Allegheny Technologies transmite las rutas resultantes a otro proveedor de tránsito (Verizon, AS701). Debido a la falta de un filtrado adecuado de los anuncios BGP y a las restricciones en el número de prefijos, Verizon recogió este anuncio y transmitió los 20 mil prefijos resultantes al resto de Internet. Los prefijos incorrectos, debido a su granularidad, se percibieron como de mayor prioridad ya que una ruta específica tiene mayor prioridad que una general.
Como resultado, el tráfico de muchas redes grandes comenzó a enrutarse a través de Verizon al pequeño proveedor DQE Communications, que no pudo manejar el aumento del tráfico, lo que provocó un colapso (el efecto es comparable a reemplazar parte de una autopista muy transitada por una camino rural).
Para evitar que incidentes similares ocurran en el futuro
:
- Utilizar anuncios basados en RPKI (Validación de origen BGP, permite aceptar anuncios sólo de los propietarios de la red);
- Limitar el número máximo de prefijos recibidos para todas las sesiones EBGP (la configuración de prefijo máximo ayudaría a descartar inmediatamente la transmisión de 20 mil prefijos en una sesión);
- Aplicar filtrado basado en el registro TIR (Registro de enrutamiento de Internet, determina los AS a través de los cuales se permite el enrutamiento de prefijos específicos);
- Utilice la configuración de bloqueo predeterminada recomendada en RFC 8212 en enrutadores ('denegación predeterminada');
- Detenga el uso imprudente de optimizadores BGP.
Fuente: opennet.ru