ProHoster > وبلاگ > اخبار اینترنتی > نشت مسیر BGP منجر به قطع گسترده اینترنت می شود

نشت مسیر BGP منجر به قطع گسترده اینترنت می شود

شرکت Cloudflare опубликовала گزارش از حادثه دیروز که منجر به سه ساعت از ساعت 13:34 تا 16:26 (MSK) مشکلات دسترسی به بسیاری از منابع در شبکه جهانی از جمله زیرساخت های Cloudflare، Facebook، Akamai، Apple، Linode و Amazon AWS وجود داشت. مشکلات در زیرساخت Cloudflare که CDN را برای 16 میلیون سایت فراهم می کند، مشاهده شده از ساعت 14:02 تا 16:02 (MSK). Cloudflare تخمین می زند که تقریباً 15٪ از ترافیک جهانی در طول خاموشی از بین رفته است.

مشکل این بود باعث نشت مسیر BGP که طی آن حدود 20 هزار پیشوند برای 2400 شبکه به اشتباه هدایت شد. منبع نشت ارائه دهنده DQE Communications بود که از این نرم افزار استفاده می کرد بهینه ساز BGP برای بهینه سازی مسیریابی BGP Optimizer پیشوندهای IP را به پیشوندهای کوچکتر تقسیم می کند، برای مثال 104.20.0.0/20 را به 104.20.0.0/21 و 104.20.8.0/21 تقسیم می کند، و در نتیجه، DQE Communications تعداد زیادی از مسیرهای خاص را در کنار خود نگه می دارد. مسیرهای عمومی (یعنی به جای مسیرهای عمومی به Cloudflare، از مسیرهای دانه بندی بیشتر به زیرشبکه های خاص Cloudflare استفاده شد).

این مسیرهای نقطه‌ای به یکی از مشتریان (Allegheny Technologies، AS396531)، که از طریق ارائه‌دهنده دیگری نیز ارتباط داشت، اعلام شد. Allegheny Technologies مسیرهای حاصل را به یک ارائه دهنده حمل و نقل دیگر (Verizon، AS701) پخش می کند. به دلیل عدم فیلتر مناسب اطلاعیه های BGP و محدودیت در تعداد پیشوندها، Verizon این اعلامیه را برداشت و 20 هزار پیشوند حاصل را به بقیه اینترنت پخش کرد. پیشوندهای نادرست، به دلیل دانه بندی بودن، به عنوان اولویت بالاتر در نظر گرفته شدند، زیرا یک مسیر خاص اولویت بیشتری نسبت به یک مسیر عمومی دارد.

نشت مسیر BGP منجر به قطع گسترده اینترنت می شود

در نتیجه، ترافیک بسیاری از شبکه‌های بزرگ از طریق Verizon به سمت ارائه‌دهنده کوچک DQE Communications هدایت می‌شد، که قادر به مدیریت ترافیک فزاینده نبود که منجر به فروپاشی شد (این اثر با جایگزینی بخشی از یک آزادراه شلوغ قابل مقایسه است. جاده روستایی).

برای جلوگیری از وقوع حوادث مشابه در آینده
توصیه شده:

  • استفاده کنید تایید اعلامیه های مبتنی بر RPKI (BGP Origin Validation، اجازه می دهد تا اعلامیه ها را فقط از صاحبان شبکه بپذیرید).
  • حداکثر تعداد پیشوندهای دریافتی را برای تمام جلسات EBGP محدود کنید (تنظیم حداکثر پیشوند به حذف فوری ارسال 20 هزار پیشوند در یک جلسه کمک می کند).
  • اعمال فیلتر بر اساس رجیستری IRR (رجیستری مسیریابی اینترنت، ASهایی را تعیین می کند که از طریق آنها مسیریابی پیشوندهای مشخص مجاز است).
  • از تنظیمات مسدودسازی پیش‌فرض توصیه‌شده در RFC 8212 در روترها استفاده کنید ("پیش‌فرض رد").
  • استفاده بی پروا از بهینه سازهای BGP را متوقف کنید.

نشت مسیر BGP منجر به قطع گسترده اینترنت می شود

منبع: opennet.ru

اضافه کردن نظر