Syarikat Cloudflare laporan kejadian semalam, yang mengakibatkan dari 13:34 hingga 16:26 (MSK) terdapat masalah dengan akses kepada banyak sumber pada rangkaian global, termasuk infrastruktur Cloudflare, Facebook, Akamai, Apple, Linode dan Amazon AWS. Masalah dalam infrastruktur Cloudflare, yang menyediakan CDN untuk 16 juta tapak, dari 14:02 hingga 16:02 (MSK). Cloudflare menganggarkan bahawa kira-kira 15% daripada trafik global telah hilang semasa gangguan.
Masalahnya ialah Kebocoran laluan BGP, di mana kira-kira 20 ribu awalan untuk 2400 rangkaian telah diubah hala secara salah. Punca kebocoran adalah pembekal DQE Communications, yang menggunakan perisian tersebut untuk mengoptimumkan penghalaan. BGP Optimizer membahagikan awalan IP kepada yang lebih kecil, contohnya membahagikan 104.20.0.0/20 kepada 104.20.0.0/21 dan 104.20.8.0/21, dan akibatnya, DQE Communications mengekalkan sebilangan besar laluan khusus yang mengatasi lebih banyak laluan tertentu. laluan umum (iaitu, bukannya laluan umum ke Cloudflare, laluan yang lebih berbutir ke subnet Cloudflare tertentu telah digunakan).
Laluan titik ini diumumkan kepada salah seorang pelanggan (Allegheny Technologies, AS396531), yang juga mempunyai sambungan melalui pembekal lain. Allegheny Technologies menyiarkan laluan yang terhasil kepada pembekal transit lain (Verizon, AS701). Disebabkan kekurangan penapisan yang betul bagi pengumuman BGP dan sekatan pada bilangan awalan, Verizon mengambil pengumuman ini dan menyiarkan 20 ribu awalan yang terhasil ke seluruh Internet. Awalan yang salah, disebabkan butirannya, dianggap sebagai keutamaan yang lebih tinggi kerana laluan khusus mempunyai keutamaan yang lebih tinggi daripada laluan umum.
Akibatnya, trafik untuk banyak rangkaian besar mula dialihkan melalui Verizon kepada pembekal kecil DQE Communications, yang tidak dapat mengendalikan trafik yang melonjak, yang membawa kepada keruntuhan (kesannya setanding dengan menggantikan sebahagian lebuh raya yang sibuk dengan Jalan Kampung).
Untuk mengelakkan kejadian serupa berlaku pada masa hadapan
:
- Guna pengumuman berdasarkan RPKI (Pengesahan Asal BGP, membenarkan penerimaan pengumuman hanya daripada pemilik rangkaian);
- Hadkan bilangan maksimum awalan yang diterima untuk semua sesi EBGP (tetapan awalan maksimum akan membantu untuk segera membuang penghantaran 20 ribu awalan dalam satu sesi);
- Gunakan penapisan berdasarkan pendaftaran IRR (Pendaftaran Penghalaan Internet, tentukan AS yang melaluinya penghalaan awalan yang ditentukan dibenarkan);
- Gunakan tetapan penyekatan lalai yang disyorkan dalam RFC 8212 pada penghala ('default deny');
- Hentikan penggunaan pengoptimuman BGP secara melulu.
Sumber: opennet.ru