Azienda Cloudflare rapporto sull'incidente di ieri che ha provocato dalle 13:34 alle 16:26 (MSK) si sono verificati problemi con l'accesso a molte risorse della rete globale, tra cui l'infrastruttura di Cloudflare, Facebook, Akamai, Apple, Linode e Amazon AWS. Problemi nell'infrastruttura Cloudflare, che fornisce CDN a 16 milioni di siti, dalle 14:02 alle 16:02 (MSK). Cloudflare stima che circa il 15% del traffico globale sia andato perso durante l'interruzione.
Il problema era Perdita del percorso BGP, durante la quale circa 20mila prefissi per 2400 reti sono stati reindirizzati in modo errato. La fonte della fuga di notizie è stata il provider DQE Communications, che ha utilizzato il software per ottimizzare il percorso. BGP Optimizer divide i prefissi IP in prefissi più piccoli, ad esempio dividendo 104.20.0.0/20 in 104.20.0.0/21 e 104.20.8.0/21 e, di conseguenza, DQE Communications ha mantenuto dalla sua parte un gran numero di percorsi specifici che sovrascrivono più quelli generali (ovvero invece di percorsi generali verso Cloudflare, sono stati utilizzati percorsi più granulari verso specifiche sottoreti Cloudflare).
Questi percorsi puntuali sono stati annunciati a uno dei clienti (Allegheny Technologies, AS396531), che aveva anche una connessione tramite un altro provider. Allegheny Technologies trasmette i percorsi risultanti a un altro fornitore di servizi di trasporto pubblico (Verizon, AS701). A causa della mancanza di un adeguato filtraggio degli annunci BGP e delle restrizioni sul numero di prefissi, Verizon ha ripreso questo annuncio e ha trasmesso i risultanti 20mila prefissi al resto di Internet. I prefissi errati, a causa della loro granularità, sono stati percepiti come una priorità più alta poiché un percorso specifico ha una priorità più alta di uno generale.
Di conseguenza, il traffico di molte reti di grandi dimensioni cominciò ad essere instradato attraverso Verizon al piccolo provider DQE Communications, che non era in grado di gestire l'aumento del traffico, il che portò ad un collasso (l'effetto è paragonabile alla sostituzione di parte di un'autostrada trafficata con una strada di campagna).
Per evitare che incidenti simili si ripetano in futuro
:
- Da usare annunci basati su RPKI (BGP Origin Validation, consente di accettare annunci solo dai proprietari della rete);
- Limitare il numero massimo di prefissi ricevuti per tutte le sessioni EBGP (l'impostazione del prefisso massimo aiuterebbe a scartare immediatamente la trasmissione di 20mila prefissi all'interno di una sessione);
- Applicare il filtraggio in base al registro IRR (Internet Routing Registry, determina gli AS attraverso i quali è consentito l'instradamento dei prefissi specificati);
- Utilizzare le impostazioni di blocco predefinite consigliate nella RFC 8212 sui router ("default aware");
- Stop all'uso sconsiderato degli ottimizzatori BGP.
Fonte: opennet.ru