ProHoster > Blog > internetske vijesti > Procurile BGP rute dovode do masovnog prekida internetske veze

Procurile BGP rute dovode do masovnog prekida internetske veze

Tvrtka Cloudflare опубликовала izvješće o jučerašnjem incidentu koji je rezultirao tri sata od 13:34 do 16:26 (MSK) došlo je do problema s pristupom mnogim resursima na globalnoj mreži, uključujući infrastrukturu Cloudflarea, Facebooka, Akamaija, Applea, Linodea i Amazon AWS. Problemi u Cloudflare infrastrukturi, koja osigurava CDN za 16 milijuna stranica, promatranom od 14:02 do 16:02 (MSK). Cloudflare procjenjuje da je oko 15% globalnog prometa izgubljeno tijekom prekida.

Problem je bio uzrokovano Curenje BGP rute, tijekom kojeg je oko 20 tisuća prefiksa za 2400 mreža pogrešno preusmjereno. Izvor curenja je bio pružatelj DQE Communications, koji je koristio softver BGP optimizator za optimizaciju usmjeravanja. BGP Optimizer dijeli IP prefikse na manje, na primjer dijeleći 104.20.0.0/20 na 104.20.0.0/21 i 104.20.8.0/21, i kao rezultat toga, DQE Communications zadržao je po strani veliki broj specifičnih ruta koje nadjačavaju više općenite rute (tj. umjesto općih ruta do Cloudflarea, korištene su preciznije rute prema određenim Cloudflare podmrežama).

Ove rute točaka najavljene su jednom od klijenata (Allegheny Technologies, AS396531), koji je također imao vezu preko drugog pružatelja usluga. Allegheny Technologies emitira dobivene rute drugom pružatelju prijevoza (Verizon, AS701). Zbog nedostatka odgovarajućeg filtriranja BGP najava i ograničenja broja prefiksa, Verizon je pokupio ovu najavu i emitirao rezultirajućih 20 tisuća prefiksa ostatku Interneta. Neispravni prefiksi, zbog svoje granularnosti, percipirani su kao viši prioritet budući da određena ruta ima viši prioritet od općenite.

Procurile BGP rute dovode do masovnog prekida internetske veze

Kao rezultat toga, promet za mnoge velike mreže počeo se usmjeravati preko Verizona do malog pružatelja usluga DQE Communications, koji nije mogao podnijeti nagli promet, što je dovelo do kolapsa (učinak je usporediv sa zamjenom dijela prometne autoceste s seoska cesta).

Kako bi spriječili slične incidente u budućnosti
preporučeno:

  • Za korištenje verifikacija najave temeljene na RPKI (BGP Origin Validation, omogućuje prihvaćanje najava samo od vlasnika mreže);
  • Ograničite najveći broj primljenih prefiksa za sve EBGP sesije (postavka maksimalnog prefiksa pomogla bi da se odmah odbaci prijenos 20 tisuća prefiksa unutar jedne sesije);
  • Primjena filtriranja na temelju IRR registra (Internet Routing Registar, određuje AS-ove kroz koje je dopušteno usmjeravanje navedenih prefiksa);
  • Koristite zadane postavke blokiranja preporučene u RFC 8212 na usmjerivačima ('default deny');
  • Prestanite bezobzirno koristiti BGP optimizatore.

Procurile BGP rute dovode do masovnog prekida internetske veze

Izvor: opennet.ru

Dodajte komentar