Cloudflare-bedrijf verslag doen van het incident van gisteren, dat resulteerde in van 13:34 tot 16:26 (MSK) waren er problemen met de toegang tot veel bronnen op het wereldwijde netwerk, waaronder de infrastructuur van Cloudflare, Facebook, Akamai, Apple, Linode en Amazon AWS. Problemen in de Cloudflare-infrastructuur, die CDN levert voor 16 miljoen sites, van 14:02 tot 16:02 (MSK). Cloudflare schat dat ongeveer 15% van het wereldwijde verkeer verloren is gegaan tijdens de storing.
Het probleem was BGP-routelek, waarbij ongeveer 20 voorvoegsels voor 2400-netwerken onjuist werden omgeleid. De bron van het lek was de provider DQE Communications, die de software gebruikte om de route te optimaliseren. BGP Optimizer splitst IP-voorvoegsels op in kleinere, bijvoorbeeld door 104.20.0.0/20 op te splitsen in 104.20.0.0/21 en 104.20.8.0/21, en als gevolg daarvan hield DQE Communications een groot aantal specifieke routes aan zijn kant die meer overschrijven algemene routes (dat wil zeggen dat in plaats van algemene routes naar Cloudflare, meer gedetailleerde routes naar specifieke Cloudflare-subnetten werden gebruikt).
Deze puntroutes zijn bekend gemaakt bij een van de klanten (Allegheny Technologies, AS396531), die ook een aansluiting had via een andere aanbieder. Allegheny Technologies zendt de resulterende routes uit naar een andere transitprovider (Verizon, AS701). Vanwege het gebrek aan goede filtering van BGP-aankondigingen en beperkingen op het aantal voorvoegsels, heeft Verizon deze aankondiging opgepikt en de resulterende 20 voorvoegsels naar de rest van internet uitgezonden. Onjuiste voorvoegsels werden vanwege hun granulariteit als een hogere prioriteit gezien, omdat een specifieke route een hogere prioriteit heeft dan een algemene route.
Als gevolg hiervan werd het verkeer voor veel grote netwerken via Verizon naar de kleine provider DQE Communications geleid, die het groeiende verkeer niet aankon, wat tot een ineenstorting leidde (het effect is vergelijkbaar met het vervangen van een deel van een drukke snelweg door een landweg).
Om soortgelijke incidenten in de toekomst te voorkomen
:
- Gebruiken aankondigingen gebaseerd op RPKI (BGP Origin Validation, staat het accepteren van alleen aankondigingen van netwerkeigenaren toe);
- Beperk het maximale aantal ontvangen voorvoegsels voor alle EBGP-sessies (de instelling voor het maximale voorvoegsel zou helpen om de verzending van 20 voorvoegsels binnen één sessie onmiddellijk te verwijderen);
- Filtering toepassen op basis van het IRR-register (Internet Routing Registry, bepaalt de AS's waardoor routering van gespecificeerde voorvoegsels is toegestaan);
- Gebruik de standaard blokkeerinstellingen aanbevolen in RFC 8212 op routers ('default deny');
- Stop het roekeloos gebruik van BGP-optimizers.
Bron: opennet.ru