Cloudflare Company raportti eilisestä tapahtumasta, joka johti klo 13–34 (MSK) oli ongelmia pääsyssä moniin resursseihin maailmanlaajuisessa verkossa, mukaan lukien Cloudflaren, Facebookin, Akamain, Applen, Linoden ja Amazon AWS:n infrastruktuuri. Ongelmia Cloudflare-infrastruktuurissa, joka tarjoaa CDN:ää 16 miljoonalle sivustolle, klo 14-02 (MSK). Cloudflare arvioi, että noin 16 % maailmanlaajuisesta liikenteestä menetettiin katkoksen aikana.
Ongelma oli BGP-reittivuoto, jonka aikana noin 20 tuhatta 2400 verkon etuliitettä ohjattiin väärin. Vuodon lähde oli ohjelmistoa käyttänyt palveluntarjoaja DQE Communications reitityksen optimoimiseksi. BGP Optimizer jakaa IP-etuliitteet pienemmiksi, esimerkiksi jakaa 104.20.0.0/20 104.20.0.0/21 ja 104.20.8.0/21, minkä seurauksena DQE Communications piti puolellaan useita tiettyjä reittejä, jotka ohittavat enemmän. yleisiä reittejä (eli yleisten Cloudflaren reittien sijaan käytettiin tarkempia reittejä tiettyihin Cloudflare-aliverkkoihin).
Nämä pistereitit ilmoitettiin yhdelle asiakkaista (Allegheny Technologies, AS396531), jolla oli myös yhteys toisen palveluntarjoajan kautta. Allegheny Technologies lähettää tuloksena saadut reitit toiselle kauttakulkupalvelun tarjoajalle (Verizon, AS701). Koska BGP-ilmoitusten suodatus ja etuliitteiden lukumäärän rajoitukset puuttuivat, Verizon otti tämän ilmoituksen ja lähetti tuloksena saadut 20 XNUMX etuliitettä muuhun Internetiin. Väärät etuliitteet niiden tarkkuuden vuoksi katsottiin korkeammalle prioriteetille, koska tietyllä reitillä on korkeampi prioriteetti kuin yleisellä.
Tämän seurauksena monien suurten verkkojen liikennettä alettiin reitittää Verizonin kautta pienelle palveluntarjoajalle DQE Communications, joka ei kyennyt käsittelemään kasvavaa liikennettä, mikä johti romahtamiseen (vaikutus on verrattavissa siihen, että osa vilkkaasta moottoritiestä korvattaisiin maantie).
Vastaavien tapausten estämiseksi tulevaisuudessa
:
- Käytä RPKI-pohjaiset ilmoitukset (BGP Origin Validation, sallii ilmoitusten hyväksymisen vain verkon omistajilta);
- Rajoita vastaanotettujen etuliitteiden enimmäismäärää kaikille EBGP-istunnoille (enimmäisetuliiteasetus auttaisi välittömästi hylkäämään 20 XNUMX etuliitteen lähetyksen yhden istunnon aikana);
- Käytä IRR-rekisteriin perustuvaa suodatusta (Internet Routing Registry, määrittää AS:t, joiden kautta määritettyjen etuliitteiden reititys on sallittu);
- Käytä RFC 8212:ssa suositeltuja eston oletusasetuksia reitittimissä ('default deny');
- Lopeta BGP-optimoijien holtiton käyttö.
Lähde: opennet.ru