Uzņēmums Cloudflare atskaite par vakardienas incidentu, kura rezultātā no 13:34 līdz 16:26 (MSK) radās problēmas ar piekļuvi daudziem resursiem globālajā tīklā, tostarp Cloudflare, Facebook, Akamai, Apple, Linode un Amazon AWS infrastruktūrai. Problēmas Cloudflare infrastruktūrā, kas nodrošina CDN 16 miljoniem vietņu, no 14:02 līdz 16:02 (MSK). Cloudflare lēš, ka pārtraukuma laikā tika zaudēti aptuveni 15% no globālās satiksmes.
Problēma bija BGP maršruta noplūde, kuras laikā nepareizi novirzīti aptuveni 20 tūkstoši prefiksu 2400 tīkliem. Noplūdes avots bija pakalpojumu sniedzējs DQE Communications, kas izmantoja programmatūru lai optimizētu maršrutēšanu. BGP optimizētājs sadala IP prefiksus mazākos, piemēram, sadalot 104.20.0.0/20 uz 104.20.0.0/21 un 104.20.8.0/21, un rezultātā DQE Communications saglabāja lielu skaitu konkrētu maršrutu, kas ignorē vairāk. vispārīgie maršruti (t.i., vispārīgo maršrutu uz Cloudflare vietā tika izmantoti detalizētāki maršruti uz konkrētiem Cloudflare apakštīkliem).
Šie punktu maršruti tika paziņoti vienam no klientiem (Allegheny Technologies, AS396531), kuram arī bija savienojums, izmantojot citu pakalpojumu sniedzēju. Allegheny Technologies pārraida iegūtos maršrutus citam tranzīta pakalpojumu sniedzējam (Verizon, AS701). Tā kā BGP paziņojumi nav pareizi filtrēti un prefiksu skaits ir ierobežots, Verizon paņēma šo paziņojumu un pārraidīja iegūtos 20 tūkstošus prefiksu uz pārējo internetu. Nepareizi prefiksi to precizitātes dēļ tika uzskatīti par augstāku prioritāti, jo konkrētam maršrutam ir augstāka prioritāte nekā vispārējam.
Tā rezultātā daudzu lielu tīklu trafiku sāka novirzīt caur Verizon uz mazo pakalpojumu sniedzēju DQE Communications, kas nespēja izturēt pieaugošo trafiku, kas izraisīja sabrukumu (efekts ir salīdzināms ar aizņemtas automaģistrāles daļas aizstāšanu ar lauku ceļš).
Lai novērstu līdzīgus incidentus nākotnē
:
- Lietot paziņojumi, kuru pamatā ir RPKI (BGP Origin Validation, ļauj pieņemt paziņojumus tikai no tīkla īpašniekiem);
- Ierobežojiet maksimālo saņemto prefiksu skaitu visām EBGP sesijām (maksimālā prefiksa iestatījums palīdzētu nekavējoties atmest 20 tūkstošu prefiksu pārraidi vienas sesijas laikā);
- Lietot filtrēšanu, pamatojoties uz IRR reģistru (Internet Routing Registry, nosaka AS, caur kurām ir atļauta norādīto prefiksu maršrutēšana);
- Izmantojiet maršrutētājos RFC 8212 ieteiktos noklusējuma bloķēšanas iestatījumus (“noklusējuma aizliegums”);
- Pārtrauciet BGP optimizētāju neapdomīgu izmantošanu.
Avots: opennet.ru