Cloudflare Company Bericht iwwer den Tëschefall vu gëschter, deen dozou gefouert huet aus 13:34 ze 16:26 (MSK) do waren Problemer mat Zougang zu vill Ressourcen op de globale Reseau, dorënner d'Infrastruktur vun Cloudflare, Facebook, Akamai, Apple, Linode an Amazon AWS. Probleemer an der Cloudflare Infrastruktur, déi CDN fir 16 Millioune Site ubitt, vun 14:02 bis 16:02 (MSK). Cloudflare schätzt datt ongeféier 15% vum weltwäite Verkéier während dem Ausfall verluer gaangen ass.
De Problem war BGP Route Leck, wärend ongeféier 20 Tausend Präfixe fir 2400 Netzwierker falsch ëmgeleet goufen. D'Quell vum Leck war de Provider DQE Communications, deen d'Software benotzt huet fir d'Routing ze optimiséieren. BGP Optimizer deelt IP Präfixe a méi kleng, zum Beispill Spaltung 104.20.0.0/20 an 104.20.0.0/21 an 104.20.8.0/21, an als Resultat huet DQE Communications op senger Säit eng grouss Zuel vu spezifesche Strecken gehal, déi méi iwwerschreiden. allgemeng routes (dh amplaz vun allgemenge routes op Cloudflare, goufen méi granulär routes op spezifesch Cloudflare subnets benotzt).
Dës Punkt routes goufen ee vun de Clienten annoncéiert (Allegheny Technologies, AS396531), déi och eng Verbindung duerch aner Provider haten. Allegheny Technologies iwwerdroen déi resultéierend Strecken un en aneren Transitprovider (Verizon, AS701). Wéinst dem Mangel u korrekt Filteren vu BGP Ukënnegungen a Restriktiounen op d'Zuel vun de Präfixe, huet Verizon dës Ukënnegung opgeholl an déi resultéierend 20 Tausend Präfixe fir de Rescht vum Internet iwwerdroen. Falsch Präfixe, wéinst hirer Granularitéit, goufen als méi héich Prioritéit ugesinn well e spezifesche Wee eng méi héich Prioritéit huet wéi eng allgemeng.
Als Resultat huet de Traffic fir vill grouss Netzwierker ugefaang duerch Verizon op de klenge Provider DQE Communications ze routéieren, deen net fäeg war de stännegen Traffic ze handhaben, wat zu engem Zesummebroch gefouert huet (den Effekt ass vergläichbar mam Ersatz vun engem Deel vun enger beschäftegter Autobunn mat engem Land Strooss).
Fir ähnlech Tëschefäll an Zukunft ze verhënneren
:
- Ze benotzen Ukënnegung baséiert op RPKI (BGP Origin Validation, erlaabt Ukënnegung nëmmen aus Reseau Besëtzer ze akzeptéieren);
- Limitéiert d'maximal Unzuel vun de empfangene Präfixe fir all EBGP Sessiounen (de Maximum-Präfix-Astellung géif hëllefen, d'Transmissioun vun 20 Tausend Präfixe bannent enger Sessioun direkt ofzeginn);
- Fëllt Filteren op Basis vun der IRR Registry (Internet Routing Registry, bestëmmt d'ASen duerch déi Routing vu spezifizéierte Präfixe erlaabt ass);
- Benotzt d'Standardblockéierungsastellunge recommandéiert am RFC 8212 op Router ('Default deny');
- Stop reckless Notzung vu BGP Optimizer.
Source: opennet.ru