Cloudflare ընկերություն հաղորդում երեկվա միջադեպի մասին, որի արդյունքում 13:34-ից մինչև 16:26 (MSK) խնդիրներ են առաջացել համաշխարհային ցանցի բազմաթիվ ռեսուրսների հասանելիության հետ կապված, ներառյալ Cloudflare, Facebook, Akamai, Apple, Linode և Amazon AWS-ի ենթակառուցվածքները: Խնդիրներ Cloudflare ենթակառուցվածքում, որն ապահովում է CDN 16 միլիոն կայքերի համար, 14:02-ից 16:02 (MSK): Cloudflare-ի գնահատմամբ՝ գլոբալ թրաֆիկի մոտավորապես 15%-ը կորել է անջատման ժամանակ:
Խնդիրն այն էր BGP երթուղու արտահոսք, որի ժամանակ 20 ցանցերի մոտ 2400 հազար նախածանցներ սխալ վերահղվել են։ Արտահոսքի աղբյուրը եղել է DQE Communications պրովայդերը, որն օգտագործել է ծրագրակազմը երթուղավորումը օպտիմալացնելու համար: BGP Optimizer-ը բաժանում է IP նախածանցները փոքրերի, օրինակ՝ 104.20.0.0/20 բաժանելով 104.20.0.0/21 և 104.20.8.0/21, և արդյունքում DQE Communications-ը իր կողքին պահեց մի մեծ թվով ավելի կոնկրետ երթուղիներ, որոնք ավելի շատ էին: ընդհանուր երթուղիներ (այսինքն՝ Cloudflare-ի ընդհանուր երթուղիների փոխարեն օգտագործվել են Cloudflare-ի հատուկ ենթացանցերի ավելի հատիկավոր երթուղիներ):
Այս կետային երթուղիները հայտարարվել են հաճախորդներից մեկին (Allegheny Technologies, AS396531), ով նույնպես կապ ուներ մեկ այլ մատակարարի միջոցով: Allegheny Technologies-ը հեռարձակում է ստացված երթուղիները մեկ այլ տարանցիկ մատակարարի (Verizon, AS701): BGP հայտարարությունների պատշաճ զտման բացակայության և նախածանցների քանակի սահմանափակումների պատճառով Verizon-ը վերցրեց այս հայտարարությունը և ստացված 20 հազար նախածանցները հեռարձակեց մնացած ինտերնետում: Սխալ նախածանցները, իրենց հստակության պատճառով, ընկալվել են որպես ավելի առաջնահերթություն, քանի որ կոնկրետ երթուղին ավելի բարձր առաջնահերթություն ունի, քան ընդհանուրը:
Արդյունքում, շատ խոշոր ցանցերի երթևեկությունը սկսեց ուղղվել Verizon-ի միջոցով դեպի փոքր մատակարար DQE Communications, որն ի վիճակի չէր կարգավորել աճող երթևեկությունը, ինչը հանգեցրեց փլուզման (էֆեկտը համեմատելի է բանուկ մայրուղու մի մասը փոխարինելու հետ: գյուղական ճանապարհ):
Որպեսզի ապագայում նմանատիպ միջադեպեր չլինեն
:
- Օգտագործման համար RPKI-ի վրա հիմնված հայտարարություններ (BGP Origin Validation, թույլ է տալիս հայտարարություններ ընդունել միայն ցանցի սեփականատերերից);
- Սահմանափակեք ստացված նախածանցների առավելագույն քանակը բոլոր EBGP նիստերի համար (առավելագույն նախածանցի կարգավորումը կօգնի անմիջապես հրաժարվել 20 հազար նախածանցների փոխանցումը մեկ սեանսի ընթացքում);
- Կիրառել զտիչ՝ հիմնվելով IRR ռեգիստրի վրա (Ինտերնետ երթուղիների գրանցամատյան, որոշում է այն AS-ները, որոնց միջոցով թույլատրվում է նշված նախածանցների երթուղավորումը);
- Օգտագործեք կանխադրված արգելափակման կարգավորումները, որոնք առաջարկվում են RFC 8212-ում երթուղիչների վրա («կանխադրված մերժում»);
- Դադարեցրեք BGP օպտիմիզատորների անխոհեմ օգտագործումը:
Source: opennet.ru