BGP 경로 유출로 인해 인터넷 연결이 크게 중단됨

Cloudflare 회사 опубликовала 어제 발생한 사건에 대한 보고 세 시간 13시 34분부터 16시 26분(MSK)까지 Cloudflare, Facebook, Akamai, Apple, Linode 및 Amazon AWS의 인프라를 포함하여 글로벌 네트워크의 많은 리소스에 액세스하는 데 문제가 있었습니다. 16만개 사이트에 CDN을 제공하는 Cloudflare 인프라의 문제점, 관찰 14:02부터 16:02(MSK)까지. Cloudflare는 정전 중에 전 세계 트래픽의 약 15%가 손실된 것으로 추정합니다.

문제는 원인 BGP 경로 누출로 인해 20개 네트워크의 약 2400만 개 접두사가 잘못 리디렉션되었습니다. 유출의 원인은 소프트웨어를 사용하는 공급자 DQE Communications였습니다. BGP 최적화 도구 라우팅을 최적화합니다. BGP 최적화 프로그램은 IP 접두사를 더 작은 접두사로 분할합니다(예: 104.20.0.0/20을 104.20.0.0/21 및 104.20.8.0/21로 분할). 결과적으로 DQE Communications는 더 많은 것을 재정의하는 많은 수의 특정 경로를 유지했습니다. 일반 경로(즉, Cloudflare에 대한 일반 경로 대신 특정 Cloudflare 서브넷에 대한 보다 세부적인 경로가 사용되었습니다).

이러한 포인트 경로는 다른 공급자를 통해 연결되어 있는 클라이언트(Allegheny Technologies, AS396531) 중 하나에 발표되었습니다. Allegheny Technologies는 결과 경로를 다른 대중교통 제공업체(Verizon, AS701)에 방송합니다. BGP 공지의 적절한 필터링이 부족하고 접두사 수에 대한 제한으로 인해 Verizon은 이 공지를 포착하여 결과로 나온 20개의 접두사를 나머지 인터넷에 방송했습니다. 잘못된 접두사는 특정 경로가 일반 경로보다 우선순위가 높기 때문에 세분성으로 인해 더 높은 우선순위로 인식되었습니다.

그 결과 많은 대규모 네트워크의 트래픽이 Verizon을 통해 소규모 제공업체인 DQE Communications로 라우팅되기 시작했는데, 이는 급증하는 트래픽을 처리할 수 없어 붕괴로 이어졌습니다. 시골 길).

향후 유사한 사건이 발생하지 않도록
추천 된:

• 사용 확인 RPKI(BGP Origin Validation, 네트워크 소유자의 공지만 허용) 기반 공지
• 모든 EBGP 세션에 대해 수신되는 최대 접두사 수를 제한합니다(최대 접두사 설정은 한 세션 내에서 20개의 접두사 전송을 즉시 삭제하는 데 도움이 됩니다).
• IRR 레지스트리(인터넷 라우팅 레지스트리, 지정된 접두사의 라우팅이 허용되는 AS를 결정함)를 기반으로 필터링을 적용합니다.
• 라우터에서는 RFC 8212에서 권장하는 기본 차단 설정을 사용합니다('기본 거부').
• BGP 최적화 프로그램의 무분별한 사용을 중지하십시오.

출처 : opennet.ru