ProHoster > Blog > ynternet nijs > BGP-rûtelek liedt ta massale ûntsluting op it ynternet

BGP-rûtelek liedt ta massale ûntsluting op it ynternet

It bedriuw Cloudflare Company publisearre rapportearje oer it ynsidint fan juster, dat resultearre yn trije oeren fan 13:34 oan 16:26 (MSK) der wiene problemen mei tagong ta in protte middels op de globale netwurk, ynklusyf de ynfrastruktuer fan Cloudflare, Facebook, Akamai, Apple, Linode en Amazon AWS. Problemen yn 'e Cloudflare-ynfrastruktuer, dy't CDN leveret foar 16 miljoen siden, waarnommen fan 14:02 oan 16:02 (MSK). Cloudflare skat dat sawat 15% fan it wrâldwide ferkear ferlern gie tidens de ûnderbrekking.

It probleem wie feroarsake BGP-rûtelek, wêrby't sa'n 20 tûzen foarheaksels foar 2400 netwurken ferkeard waarden omlaat. De boarne fan it lek wie de provider DQE Communications, dy't de software brûkte BGP Optimizer om routing te optimalisearjen. BGP Optimizer splitst IP foarheaksels yn lytsere, bygelyks split 104.20.0.0/20 yn 104.20.0.0/21 en 104.20.8.0/21, en as gefolch, DQE Communications holden op syn kant in grut oantal spesifike rûtes dy't oerskriuwe mear algemiene rûtes (d.w.s. ynstee fan algemiene rûtes nei Cloudflare, waarden mear korrelige rûtes nei spesifike Cloudflare-subnets brûkt).

Dizze puntrûtes waarden oankundige oan ien fan 'e kliïnten (Allegheny Technologies, AS396531), dy't ek in ferbining hie fia in oare provider. Allegheny Technologies stjoerde de resultearjende rûtes út nei in oare transitprovider (Verizon, AS701). Troch it ûntbrekken fan goede filterjen fan BGP-oankundigingen en beheiningen op it oantal foarheaksels, pakte Verizon dizze oankundiging op en stjoerde de resultearjende 20 tûzen foarheaksels út nei de rest fan it ynternet. Ferkearde foarheaksels, fanwegen harren granularity, waarden ûnderfûn as hegere prioriteit sûnt in spesifike rûte hat in hegere prioriteit as in algemiene.

BGP-rûtelek liedt ta massale ûntsluting op it ynternet

Dêrtroch begûn ferkear foar in protte grutte netwurken troch Verizon nei de lytse provider DQE Communications, dy't net by steat wie om it tanimmende ferkear te behanneljen, wat late ta in ynstoarten (it effekt is te fergelykjen mei it ferfangen fan in part fan in drokke snelwei mei in lânswei).

Om foar te kommen dat ferlykbere ynsidinten yn 'e takomst foarkomme
oanrikkemandearre:

  • Brûke ferifikaasje oankundigingen basearre op RPKI (BGP Origin Validation, lit it akseptearjen fan oankundigingen allinich fan netwurkeigners);
  • Beheine it maksimum oantal ûntfongen foarheaksels foar alle EBGP sesjes (de maksimum-foarheaksel ynstelling soe helpe om fuortendaliks wegerje de oerdracht fan 20 tûzen foarheaksels binnen ien sesje);
  • Filterje tapasse op basis fan it IRR-register (Internet Routing Registry, bepaalt de ASes troch hokker routing fan oantsjutte foarheaksels tastien is);
  • Brûk de standert blokkearjende ynstellings oanrikkemandearre yn RFC 8212 op routers ('standert wegerje');
  • Stopje roekeloos gebrûk fan BGP-optimizers.

BGP-rûtelek liedt ta massale ûntsluting op it ynternet

Boarne: opennet.ru

Add a comment