Компанијата Cloudflare пријава за вчерашниот инцидент, кој резултираше со од 13:34 до 16:26 часот (MSK) имаше проблеми со пристапот до многу ресурси на глобалната мрежа, вклучително и инфраструктурата на Cloudflare, Facebook, Akamai, Apple, Linode и Amazon AWS. Проблеми во инфраструктурата Cloudflare, која обезбедува CDN за 16 милиони локации, од 14:02 до 16:02 часот (МСК). Cloudflare проценува дека приближно 15% од глобалниот сообраќај бил изгубен за време на прекинот.
Проблемот беше Протекување на рутата BGP, при што околу 20 илјади префикси за 2400 мрежи беа неправилно пренасочени. Изворот на протекувањето бил провајдерот DQE Communications, кој го користел софтверот за оптимизирање на рутирањето. BGP Optimizer ги дели IP префиксите на помали, на пример разделувајќи 104.20.0.0/20 на 104.20.0.0/21 и 104.20.8.0/21, и како резултат на тоа, DQE Communications задржа на своја страна голем број на повеќе специфични рути општи правци (т.е. наместо општи правци до Cloudflare, се користеа повеќе грануларни правци до одредени подмрежи на Cloudflare).
Овие точки маршрути му беа објавени на еден од клиентите (Allegheny Technologies, AS396531), кој исто така имаше врска преку друг провајдер. Allegheny Technologies ги емитува добиените рути до друг транзитен провајдер (Verizon, AS701). Поради недостаток на соодветно филтрирање на објавите за BGP и ограничувања на бројот на префикси, Verizon ја зеде оваа објава и ги емитуваше добиените 20 илјади префикси на остатокот од Интернет. Неточните префикси, поради нивната грануларност, беа сфатени како поприоритетни бидејќи одредена рута има повисок приоритет од општата.
Како резултат на тоа, сообраќајот за многу големи мрежи почна да се насочува преку Verizon до малиот провајдер DQE Communications, кој не можеше да се справи со зголемениот сообраќај, што доведе до колапс (ефектот е споредлив со замена на дел од зафатен автопат со селски пат).
За да не се случат слични инциденти во иднина
:
- Користете соопштенија базирани на RPKI (BGP Origin Validation, дозволува прифаќање објави само од сопственици на мрежа);
- Ограничете го максималниот број на примени префикси за сите EBGP сесии (поставката за максимален префикс ќе помогне веднаш да се отфрли преносот од 20 илјади префикси во една сесија);
- Примени филтрирање врз основа на регистарот IRR (Регистар за рутирање на Интернет, ги одредува AS-ите преку кои е дозволено рутирање на одредени префикси);
- Користете ги стандардните поставки за блокирање препорачани во RFC 8212 на рутери („стандардно одбивање“);
- Стоп за непромислената употреба на оптимизатори на BGP.
Извор: opennet.ru