ProHoster > blog > aħbarijiet fuq l-internet > BGP Route Leak iwassal għal Skonnettjar Massiv fuq l-Internet

BGP Route Leak iwassal għal Skonnettjar Massiv fuq l-Internet

Kumpanija Cloudflare ippubblikat rapport dwar l-in/ident tal-biera[, li rri]ulta tliet sigħat minn 13:34 sa 16:26 (MSK) kien hemm problemi b'aċċess għal ħafna riżorsi fuq in-netwerk globali, inkluża l-infrastruttura ta 'Cloudflare, Facebook, Akamai, Apple, Linode u Amazon AWS. Problemi fl-infrastruttura Cloudflare, li tipprovdi CDN għal 16-il miljun sit, osservati mill-14:02 sas-16:02 (MSK). Cloudflare jistma li madwar 15% tat-traffiku globali intilef waqt il-qtugħ.

Il-problema kienet ikkawżat Tnixxija tar-rotta BGP, li matulha madwar 20 elf prefiss għal netwerks 2400 ġew ridiretti b'mod żbaljat. Is-sors tat-tnixxija kien il-fornitur DQE Communications, li uża s-softwer BGP Optimizer biex tottimizza r-rotot. BGP Optimizer jaqsam il-prefissi tal-IP f'oħrajn iżgħar, pereżempju jaqsam 104.20.0.0/20 f'104.20.0.0/21 u 104.20.8.0/21, u bħala riżultat, DQE Communications żamm fuq in-naħa tiegħu numru kbir ta' rotot speċifiċi li jegħlbu aktar rotot ġenerali (jiġifieri minflok rotot ġenerali għal Cloudflare, intużaw aktar rotot granulari għal subnets speċifiċi Cloudflare).

Dawn ir-rotot tal-punti tħabbru lil wieħed mill-klijenti (Allegheny Technologies, AS396531), li kellu wkoll konnessjoni permezz ta’ fornitur ieħor. Allegheny Technologies xandar ir-rotot li jirriżultaw lil fornitur ieħor tat-tranżitu (Verizon, AS701). Minħabba n-nuqqas ta 'filtrazzjoni xierqa ta' avviżi BGP u restrizzjonijiet fuq in-numru ta 'prefissi, Verizon qabad din it-tħabbira u xandar l-20 elf prefiss li rriżultaw għall-bqija tal-Internet. Prefissi żbaljati, minħabba l-granularità tagħhom, kienu pperċepiti bħala prijorità ogħla peress li rotta speċifika għandha prijorità ogħla minn waħda ġenerali.

BGP Route Leak iwassal għal Skonnettjar Massiv fuq l-Internet

Bħala riżultat, it-traffiku għal ħafna netwerks kbar beda jiġi mgħoddi minn Verizon lejn il-fornitur żgħir DQE Communications, li ma kienx kapaċi jimmaniġġja t-traffiku li qed jiżdied, li wassal għal kollass (l-effett huwa komparabbli mas-sostituzzjoni ta 'parti minn freeway traffikuża b' triq tal-pajjiż).

Biex ma jseħħux inċidenti simili fil-futur
irrakkomandat:

  • Uża verifika avviżi bbażati fuq RPKI (Validazzjoni tal-Oriġini BGP, tippermetti li taċċetta avviżi biss mis-sidien tan-netwerk);
  • Illimita n-numru massimu ta 'prefissi riċevuti għas-sessjonijiet kollha EBGP (l-issettjar tal-prefiss massimu jgħin biex tintrema immedjatament it-trażmissjoni ta' 20 elf prefiss f'sessjoni waħda);
  • Applika filtrazzjoni bbażata fuq ir-reġistru IRR (Internet Routing Registry, jiddetermina l-ASes li permezz tagħhom ir-rotot ta 'prefissi speċifikati huwa permess);
  • Uża s-settings tal-imblukkar default rakkomandati fl-RFC 8212 fuq ir-routers ('default deny');
  • Waqqaf l-użu imprudenti ta 'optimizers BGP.

BGP Route Leak iwassal għal Skonnettjar Massiv fuq l-Internet

Sors: opennet.ru

Żid kumment