Cloudflare компаниясы салдарынан кешегі оқиға туралы есеп 13:34-тен 16:26-ға дейін (MSK) жаһандық желідегі көптеген ресурстарға, соның ішінде Cloudflare, Facebook, Akamai, Apple, Linode және Amazon AWS инфрақұрылымына қол жеткізуде проблемалар туындады. 16 миллион сайтты CDN қамтамасыз ететін Cloudflare инфрақұрылымындағы мәселелер, 14:02-ден 16:02-ге дейін (MSK). Cloudflare болжамы бойынша, тоқтау кезінде жаһандық трафиктің шамамен 15% жоғалған.
Мәселе болды BGP маршрутының ағып кетуі, оның барысында 20 желіге арналған 2400 мыңға жуық префикстер дұрыс емес қайта бағытталды. Ағып кетудің көзі бағдарламалық жасақтаманы пайдаланған DQE Communications провайдері болды маршруттауды оңтайландыру үшін. BGP Optimizer IP префикстерін кішіректерге бөледі, мысалы, 104.20.0.0/20 104.20.0.0/21 және 104.20.8.0/21 болып бөлінеді және нәтижесінде DQE Communications өз жағында көбірек анықтайтын арнайы маршруттардың көп санын сақтайды. жалпы бағыттар (яғни Cloudflare-ға жалпы маршруттардың орнына, нақты Cloudflare ішкі желілеріне көбірек түйіршікті бағыттар пайдаланылды).
Бұл нүктелік маршруттар басқа провайдер арқылы байланысы бар клиенттердің біріне (Allegheny Technologies, AS396531) жарияланды. Allegheny Technologies алынған маршруттарды басқа транзиттік провайдерге (Verizon, AS701) таратады. BGP хабарландыруларын дұрыс сүзгілеудің және префикстер санына шектеулердің болмауына байланысты Verizon бұл хабарландыруды алып, алынған 20 мың префиксті Интернеттің қалған бөлігіне таратады. Дұрыс емес префикстер олардың түйіршіктілігіне байланысты жоғары басымдылық ретінде қабылданды, өйткені белгілі бір бағыт жалпыға қарағанда жоғары басымдыққа ие.
Нәтижесінде көптеген ірі желілерге арналған трафик Verizon арқылы DQE Communications шағын провайдеріне бағыттала бастады, ол өсіп келе жатқан трафикті жеңе алмады, бұл күйреуге әкелді (әсері бос емес тас жолдың бір бөлігін желіге ауыстырумен салыстыруға болады). ауылдық жол).
Болашақта мұндай оқиғалардың алдын алу үшін
:
- Пайдаланыңыз RPKI негізіндегі хабарландырулар (BGP Origin Validation, тек желі иелерінен хабарландыруларды қабылдауға мүмкіндік береді);
- Барлық EBGP сеанстары үшін алынған префикстердің максималды санын шектеңіз (максималды префикс параметрі бір сеанс ішінде 20 мың префикстің берілуін дереу жоюға көмектеседі);
- IRR тізіліміне негізделген сүзуді қолдану (Интернет-бағдарлау тізілімі, көрсетілген префикстерді бағыттауға рұқсат етілген AS-ті анықтайды);
- Маршрутизаторларда RFC 8212-де ұсынылған әдепкі блоктау параметрлерін пайдаланыңыз («әдепкі бойынша бас тарту»);
- BGP оңтайландырғыштарын абайсыз пайдалануды тоқтатыңыз.
Ақпарат көзі: opennet.ru