Société Cloudflare rapport sur l'incident d'hier, qui a entraîné de 13h34 à 16h26 (heure de Moscou), il y a eu des problèmes d'accès à de nombreuses ressources sur le réseau mondial, notamment l'infrastructure de Cloudflare, Facebook, Akamai, Apple, Linode et Amazon AWS. Des problèmes dans l'infrastructure Cloudflare, qui fournit du CDN à 16 millions de sites, de 14h02 à 16h02 (heure de Moscou). Cloudflare estime qu'environ 15 % du trafic mondial a été perdu lors de la panne.
Le problème était Fuite de route BGP, au cours de laquelle environ 20 2400 préfixes pour XNUMX XNUMX réseaux ont été incorrectement redirigés. La source de la fuite était le fournisseur DQE Communications, qui utilisait le logiciel pour optimiser le routage. BGP Optimizer divise les préfixes IP en préfixes plus petits, par exemple en divisant 104.20.0.0/20 en 104.20.0.0/21 et 104.20.8.0/21, et par conséquent, DQE Communications a gardé de son côté un grand nombre de routes spécifiques qui remplacent davantage de préfixes IP. des routes générales (c'est-à-dire qu'au lieu de routes générales vers Cloudflare, des routes plus granulaires vers des sous-réseaux Cloudflare spécifiques ont été utilisées).
Ces itinéraires ponctuels ont été annoncés à l'un des clients (Allegheny Technologies, AS396531), qui disposait également d'une connexion via un autre fournisseur. Allegheny Technologies a diffusé les itinéraires résultants à un autre fournisseur de transit (Verizon, AS701). En raison du manque de filtrage approprié des annonces BGP et des restrictions sur le nombre de préfixes, Verizon a repris cette annonce et a diffusé les 20 XNUMX préfixes résultants sur le reste d'Internet. Les préfixes incorrects, en raison de leur granularité, ont été perçus comme étant plus prioritaires puisqu'un itinéraire spécifique a une priorité plus élevée qu'un itinéraire général.
En conséquence, le trafic de nombreux grands réseaux a commencé à être acheminé via Verizon vers le petit fournisseur DQE Communications, qui n'a pas été en mesure de gérer l'augmentation du trafic, ce qui a conduit à un effondrement (l'effet est comparable au remplacement d'une partie d'une autoroute très fréquentée par un route de campagne).
Pour éviter que des incidents similaires ne se reproduisent à l’avenir
:
- À utiliser annonces basées sur RPKI (BGP Origin Validation, permet d'accepter les annonces uniquement des propriétaires de réseau) ;
- Limiter le nombre maximum de préfixes reçus pour toutes les sessions EBGP (le paramètre de préfixe maximum permettrait d'éliminer immédiatement la transmission de 20 XNUMX préfixes au cours d'une session) ;
- Appliquer un filtrage basé sur le registre IRR (Internet Routing Registry, détermine les AS via lesquels le routage des préfixes spécifiés est autorisé) ;
- Utilisez les paramètres de blocage par défaut recommandés dans la RFC 8212 sur les routeurs (« refus par défaut ») ;
- Arrêtez l’utilisation imprudente des optimiseurs BGP.
Source: opennet.ru