Compañía Cloudflare informe sobre o incidente de onte, que resultou de 13:34 a 16:26 (MSK) houbo problemas co acceso a moitos recursos da rede global, incluíndo a infraestrutura de Cloudflare, Facebook, Akamai, Apple, Linode e Amazon AWS. Problemas na infraestrutura de Cloudflare, que proporciona CDN para 16 millóns de sitios, de 14:02 a 16:02 (MSK). Cloudflare estima que aproximadamente o 15% do tráfico global perdeuse durante a interrupción.
O problema era Fuga de ruta BGP, durante a cal uns 20 mil prefixos para redes 2400 foron redirixidos incorrectamente. A fonte da filtración foi o provedor DQE Communications, que utilizou o software para optimizar o enrutamento. BGP Optimizer divide os prefixos IP en outros máis pequenos, por exemplo dividindo 104.20.0.0/20 en 104.20.0.0/21 e 104.20.8.0/21 e, como resultado, DQE Communications mantivo ao seu lado un gran número de rutas específicas que anulan máis. as rutas xerais (é dicir, en lugar de rutas xerais a Cloudflare, utilizáronse rutas máis granulares a subredes específicas de Cloudflare).
Estas rutas puntuales foron anunciadas a un dos clientes (Allegheny Technologies, AS396531), que tamén tiña unha conexión a través doutro provedor. Allegheny Technologies transmitiu as rutas resultantes a outro provedor de transporte público (Verizon, AS701). Debido á falta de filtrado axeitado dos anuncios BGP e ás restricións no número de prefixos, Verizon recolleu este anuncio e transmitiu os 20 mil prefixos resultantes ao resto de Internet. Os prefixos incorrectos, pola súa granularidade, foron percibidos como de maior prioridade xa que unha ruta específica ten unha prioridade superior á xeral.
Como resultado, o tráfico de moitas redes grandes comezou a enrutarse a través de Verizon ata o pequeno provedor DQE Communications, que non puido xestionar o aumento do tráfico, o que provocou un colapso (o efecto é comparable ao substituír parte dunha autoestrada transitada por un estrada rural).
Para evitar que se produzan incidentes similares no futuro
:
- Usa anuncios baseados en RPKI (BGP Origin Validation, permite aceptar anuncios só dos propietarios da rede);
- Limite o número máximo de prefixos recibidos para todas as sesións EBGP (a configuración de prefixo máximo axudaría a descartar inmediatamente a transmisión de 20 mil prefixos nunha sesión);
- Aplicar filtrado en función do rexistro IRR (Internet Routing Registry, determina os AS a través dos cales se permite o enrutamento de prefixos especificados);
- Use a configuración de bloqueo predeterminada recomendada na RFC 8212 nos enrutadores ('denegación predeterminada');
- Detén o uso imprudente dos optimizadores BGP.
Fonte: opennet.ru