Perusahaan Cloudflare melaporkan kejadian kemarin, yang mengakibatkan Dari 13:34 hingga 16:26 (MSK), ada masalah saat mengakses banyak sumber daya di jaringan global, termasuk infrastruktur Cloudflare, Facebook, Akamai, Apple, Linode, dan Amazon AWS. Masalah pada infrastruktur Cloudflare, yang menyediakan CDN untuk 16 juta situs, dari 14:02 hingga 16:02 (MSK). Cloudflare memperkirakan sekitar 15% lalu lintas global hilang selama pemadaman.
Masalahnya adalah kebocoran rute melalui BGP, di mana sekitar 20 ribu awalan untuk 2400 jaringan dialihkan secara tidak benar. Sumber kebocorannya adalah provider DQE Communications yang menggunakan software untuk optimasi routing. Pengoptimal BGP memecah prefiks IP menjadi lebih kecil, misalnya, membagi 104.20.0.0/20 menjadi 104.20.0.0/21 dan 104.20.8.0/21, dan sebagai hasilnya, DQE Communications menyimpan sejumlah besar rute tertentu di sisinya yang menimpa rute yang lebih umum (yaitu alih-alih rute umum ke Cloudflare, rute yang lebih terperinci ke subnet Cloudflare tertentu digunakan).
Rute titik ini diiklankan ke salah satu pelanggan (Allegheny Technologies, AS396531) yang juga memiliki koneksi melalui penyedia lain. Allegheny Technologies menyiarkan rute yang diterima ke penyedia transit lain (Verizon, AS701). Karena kurangnya pemfilteran pengumuman BGP yang tepat dan batasan jumlah awalan, Verizon mengambil pengumuman ini dan menyiarkan 20 ribu awalan yang diterima ke seluruh Internet. Awalan yang salah, karena perinciannya, dianggap sebagai prioritas yang lebih tinggi, karena rute tertentu memiliki prioritas lebih tinggi daripada rute umum.
Akibatnya, lalu lintas untuk banyak jaringan besar mulai diarahkan melalui Verizon ke penyedia kecil DQE Communications, tidak mampu menangani lalu lintas banjir, yang menyebabkan keruntuhan (efeknya sebanding dengan mengganti bagian jalan bebas hambatan yang sibuk dengan jalan pedesaan ).
Agar kejadian serupa tidak terjadi lagi di kemudian hari
:
- Menggunakan pengumuman berdasarkan RPKI (BGP Origin Validation, memungkinkan penerimaan pengumuman hanya dari pemilik jaringan);
- Batasi jumlah maksimum prefiks yang diterima untuk semua sesi EBGP (pengaturan awalan maksimum akan membantu untuk segera membuang transmisi 20 ribu prefiks dalam satu sesi);
- Terapkan pemfilteran berdasarkan registri IRR (Registri Perutean Internet, menentukan AS melalui mana perutean awalan yang diberikan diizinkan);
- Gunakan pengaturan tolak default ('default tolak') yang direkomendasikan di RFC 8212 pada router;
- Hentikan penggunaan pengoptimal BGP yang sembrono.
Sumber: opennet.ru