Cloudflare kompanija pranešimas apie vakarykštį įvykį, dėl kurio įvyko nuo 13:34 iki 16:26 (MSK) kilo problemų dėl prieigos prie daugelio išteklių pasauliniame tinkle, įskaitant Cloudflare, Facebook, Akamai, Apple, Linode ir Amazon AWS infrastruktūrą. Problemos Cloudflare infrastruktūroje, kuri teikia CDN 16 milijonų svetainių, nuo 14:02 iki 16:02 (MSK). „Cloudflare“ apskaičiavo, kad per gedimą buvo prarasta maždaug 15 % pasaulinio srauto.
Problema buvo BGP maršruto nutekėjimas, kurio metu buvo neteisingai nukreipta apie 20 tūkst. priešdėlių 2400 tinklų. Nutekėjimo šaltinis buvo tiekėjas DQE Communications, kuris naudojo programinę įrangą optimizuoti maršrutą. BGP Optimizer padalija IP priešdėlius į mažesnius, pavyzdžiui, 104.20.0.0/20 padalija į 104.20.0.0/21 ir 104.20.8.0/21, todėl DQE Communications išlaikė daug konkrečių maršrutų, kurie nepaiso daugiau bendrieji maršrutai (t. y. vietoj bendrųjų maršrutų į Cloudflare buvo naudojami smulkesni maršrutai į konkrečius Cloudflare potinklius).
Šie taško maršrutai buvo paskelbti vienam iš klientų (Allegheny Technologies, AS396531), kuris taip pat turėjo ryšį per kitą teikėją. „Allegheny Technologies“ transliuoja gautus maršrutus kitam tranzito paslaugų teikėjui („Verizon“, AS701). Dėl netinkamo BGP pranešimų filtravimo ir priešdėlių skaičiaus apribojimų „Verizon“ pasirinko šį pranešimą ir išsiuntė 20 tūkst. prefiksų į likusį internetą. Neteisingi priešdėliai dėl jų detalumo buvo suvokiami kaip didesnio prioriteto, nes konkretus maršrutas turi didesnį prioritetą nei bendras.
Dėl to daugelio didelių tinklų srautas buvo nukreiptas per „Verizon“ į nedidelį paslaugų teikėją „DQE Communications“, kuris negalėjo valdyti didėjančio srauto, dėl kurio įvyko žlugimas (efektas panašus į tai, kad dalis judrios greitkelio būtų pakeista kaimo keliukas).
Kad panašūs incidentai nepasikartotų ateityje
:
- Naudokite pranešimai, pagrįsti RPKI (BGP Origin Validation, leidžia priimti pranešimus tik iš tinklo savininkų);
- Apriboti maksimalų visų EBGP seansų gaunamų prefiksų skaičių (maksimalaus priešdėlio nustatymas padėtų iš karto atmesti 20 tūkst. prefiksų siuntimą per vieną seansą);
- Taikyti filtravimą pagal IRR registrą (Internet Routing Registry, nustato AS, per kurias leidžiama nukreipti nurodytus priešdėlius);
- Naudokite numatytuosius blokavimo nustatymus, rekomenduojamus RFC 8212 maršrutizatoriuose („numatytasis atmetimas“);
- Nustokite beatodairiškai naudoti BGP optimizavimo priemones.
Šaltinis: opennet.ru