Cloudflare fyrirtæki skýrslu um atvik gærdagsins, sem leiddi af sér frá 13:34 til 16:26 (MSK) voru vandamál með aðgang að mörgum auðlindum á alþjóðlegu neti, þar á meðal innviði Cloudflare, Facebook, Akamai, Apple, Linode og Amazon AWS. Vandamál í Cloudflare innviði, sem veitir CDN fyrir 16 milljónir vefsvæða, frá 14:02 til 16:02 (MSK). Cloudflare áætlar að um það bil 15% af heildarumferð á heimsvísu hafi tapast í biluninni.
Vandamálið var BGP leiðarleki, þar sem um 20 þúsund forskeytum fyrir 2400 netkerfi var ranglega vísað áfram. Uppruni lekans var veitandinn DQE Communications sem notaði hugbúnaðinn til að hámarka leiðsögn. BGP Optimizer skiptir IP-forskeytum í smærri, til dæmis skiptir 104.20.0.0/20 í 104.20.0.0/21 og 104.20.8.0/21, og fyrir vikið hélt DQE Communications á hliðinni fjölda tiltekinna leiða sem hnekkja fleiri almennar leiðir (þ.e.a.s. í stað almennra leiða til Cloudflare, voru notaðar nákvæmari leiðir til ákveðinna Cloudflare undirneta).
Þessar punktaleiðir voru tilkynntar einum viðskiptavinanna (Allegheny Technologies, AS396531), sem einnig hafði tengingu í gegnum annan þjónustuaðila. Allegheny Technologies sendir út leiðirnar sem myndast til annars flutningsveitu (Reigin, AS701). Vegna skorts á réttri síun á BGP-tilkynningum og takmarkanir á fjölda forskeyti, tók Regin upp þessa tilkynningu og sendi út 20 þúsund forskeyti sem mynduðust á restina af internetinu. Röng forskeyti, vegna kornleika þeirra, voru talin hafa meiri forgang þar sem ákveðin leið hefur meiri forgang en almenn.
Fyrir vikið byrjaði umferð fyrir mörg stór net að berast í gegnum Regin til litla þjónustuveitunnar DQE Communications, sem gat ekki séð um vaxandi umferð, sem leiddi til hruns (áhrifin eru sambærileg við að skipta út hluta af fjölförnum hraðbraut fyrir a. þjóðvegur).
Til að koma í veg fyrir að svipuð atvik eigi sér stað í framtíðinni
:
- Notaðu tilkynningar byggðar á RPKI (BGP Origin Validation, leyfir aðeins að taka við tilkynningum frá neteigendum);
- Takmarka hámarksfjölda móttekinna forskeyti fyrir allar EBGP lotur (hámarksforskeyti stillingin myndi hjálpa til við að farga strax sendingu á 20 þúsund forskeytum innan einnar lotu);
- Notaðu síun á grundvelli IRR skrárinnar (Internet Routing Registry, ákvarðar ASes þar sem leið á tilgreindum forskeytum er leyfð);
- Notaðu sjálfgefnar lokunarstillingar sem mælt er með í RFC 8212 á beinum ('default deny');
- Hættu kærulausri notkun BGP hagræðingartækja.
Heimild: opennet.ru