ProHoster > Blog > nouvèl sou entènèt > BGP Route Leak mennen nan dekoneksyon masiv sou entènèt la

BGP Route Leak mennen nan dekoneksyon masiv sou entènèt la

Konpayi Cloudflare pibliye rapò sou ensidan yè a, ki te lakòz twa èdtan Soti nan 13:34 rive 16:26 (MSK), te gen pwoblèm pou jwenn aksè nan anpil resous sou rezo mondyal la, tankou enfrastrikti Cloudflare, Facebook, Akamai, Apple, Linode, ak Amazon AWS. Pwoblèm nan enfrastrikti Cloudflare, ki bay yon CDN pou 16 milyon sit, obsève soti 14:02 rive 16:02 (MSK). Cloudflare estime ke apeprè 15% nan trafik mondyal la te pèdi pandan pann lan.

Pwoblèm lan te genyen koze flit wout atravè BGP, pandan ki anviwon 20 mil prefiks pou 2400 rezo yo te mal redireksyon. Sous la nan koule a se founisè a DQE Communications, ki te itilize lojisyèl BGP Optimizer pou optimize routage. BGP Optimizer kase prefiks IP an pi piti, pou egzanp, divize 104.20.0.0/20 nan 104.20.0.0/21 ak 104.20.8.0/21, e kòm yon rezilta, DQE Communications te kenbe yon gwo kantite wout espesifik sou bò pa l ki depase. wout ki pi komen (sa vle di olye pou yo wout jenerik nan Cloudflare, yo te itilize plis wout granulaire nan subnet espesifik Cloudflare).

Wout pwen sa yo te pibliye bay youn nan kliyan yo (Allegheny Technologies, AS396531) ki te gen yon koneksyon tou atravè yon lòt founisè. Allegheny Technologies difize wout yo resevwa yo bay yon lòt founisè transpò piblik (Verizon, AS701). Akòz mank de filtraj apwopriye nan anons BGP ak limit la sou kantite prefiks, Verizon te ranmase anons sa a epi li te difize 20 mil prefiks yo te resevwa nan rès entènèt la. Prefiks ki pa kòrèk yo, akòz granularite yo, yo te konnen kòm pi gwo priyorite, paske yon wout espesifik gen yon pi gwo priyorite pase yon wout jeneral.

BGP Route Leak mennen nan dekoneksyon masiv sou entènèt la

Kòm yon rezilta, trafik pou anpil gwo rezo yo te kòmanse dirije atravè Verizon nan yon ti founisè DQE Communications, ki pa t 'kapab jere trafik inondasyon an, ki te mennen nan yon efondreman (efè a se konparab ak ranplase yon pati nan yon otowout okipe ak yon wout peyi. ).

Pou anpeche ensidan menm jan an rive nan tan kap vini an
rekòmande:

  • Sèvi ak verifikasyon anons ki baze sou RPKI (BGP Orijin Validasyon, pèmèt resevwa anons sèlman nan men pwopriyetè rezo);
  • Limite kantite maksimòm prefiks aksepte pou tout sesyon EBGP (tabli maksimòm-prefiks ta ede imedyatman jete transmisyon 20 mil prefiks nan yon sesyon);
  • Aplike filtraj ki baze sou rejis IRR (Entènèt Routing Registry, detèmine AS nan ki wout prefiks bay yo pèmèt);
  • Sèvi ak default deny settings ('default deny') rekòmande nan RFC 8212 sou routeurs;
  • Sispann itilize ensousyan BGP optimiseurs.

BGP Route Leak mennen nan dekoneksyon masiv sou entènèt la

Sous: opennet.ru

Add nouvo kòmantè