Cloudflare cég jelentést a tegnapi incidensről, aminek következtében 13:34-től 16:26-ig (MSK) problémák voltak a globális hálózat számos erőforrásához való hozzáféréssel, beleértve a Cloudflare, a Facebook, az Akamai, az Apple, a Linode és az Amazon AWS infrastruktúráját. Problémák a Cloudflare infrastruktúrában, amely 16 millió webhely számára biztosít CDN-t, 14:02-től 16:02-ig (MSK). A Cloudflare becslése szerint a globális forgalom körülbelül 15%-a veszett el a kiesés során.
A probléma az volt BGP-útvonal-szivárgás, amelynek során 20 hálózat mintegy 2400 ezer előtagja került helytelenül átirányításra. A szivárgás forrása a szoftvert használó DQE Communications szolgáltató volt az útválasztás optimalizálásához. A BGP Optimizer az IP-előtagokat kisebbekre bontja, például a 104.20.0.0/20-at felosztja 104.20.0.0/21-re és 104.20.8.0/21-re, és ennek eredményeként a DQE Communications számos olyan konkrét útvonalat tartott a maga oldalán, amelyek többet írnak felül. általános útvonalak (azaz a Cloudflare-hez vezető általános útvonalak helyett részletesebb útvonalakat használtak bizonyos Cloudflare-alhálózatokhoz).
Ezeket a pontútvonalakat bejelentették az egyik ügyfélnek (Allegheny Technologies, AS396531), akinek szintén volt kapcsolata egy másik szolgáltatón keresztül. Az Allegheny Technologies az eredményül kapott útvonalakat egy másik tranzitszolgáltatónak (Verizon, AS701) sugározza. A BGP-bejelentések megfelelő szűrésének hiánya és az előtagok számának korlátozása miatt a Verizon felvette ezt a közleményt, és az így kapott 20 ezer előtagot sugározta az internet többi részére. A hibás előtagokat a részletességük miatt magasabb prioritásúnak tekintettük, mivel egy adott útvonal magasabb prioritású, mint egy általános.
Ennek eredményeként sok nagy hálózat forgalma a Verizonon keresztül a DQE Communications kis szolgáltatóhoz került, amely nem tudta kezelni a megnövekedett forgalmat, ami összeomláshoz vezetett (a hatás ahhoz hasonlítható, mintha egy forgalmas autópálya egy részét egy vidéki út).
Hogy a jövőben ne fordulhasson elő hasonló eset
:
- Használat az RPKI-n alapuló közlemények (BGP Origin Validation, csak hálózattulajdonosoktól engedélyezi a bejelentések elfogadását);
- Korlátozza a fogadott előtagok maximális számát az összes EBGP-munkamenethez (a maximális előtag beállítás segítene azonnal elvetni 20 ezer előtag átvitelét egy munkameneten belül);
- Alkalmazza az IRR-nyilvántartáson alapuló szűrést (Internet Routing Registry, meghatározza azokat az AS-eket, amelyeken keresztül engedélyezett a megadott előtagok irányítása);
- Használja az RFC 8212 szabványban javasolt alapértelmezett blokkolási beállításokat az útválasztókon ('alapértelmezett megtagadás');
- Hagyja abba a BGP-optimalizálók meggondolatlan használatát.
Forrás: opennet.ru