Cloudflare Company rapport om gårsdagens hendelse, som resulterte i fra 13:34 til 16:26 (MSK) var det problemer med tilgang til mange ressurser på det globale nettverket, inkludert infrastrukturen til Cloudflare, Facebook, Akamai, Apple, Linode og Amazon AWS. Problemer i Cloudflare-infrastrukturen, som gir CDN for 16 millioner nettsteder, fra 14:02 til 16:02 (MSK). Cloudflare anslår at omtrent 15 % av den globale trafikken gikk tapt under strømbruddet.
Problemet var BGP-rutelekkasje, hvor rundt 20 tusen prefikser for 2400 nettverk ble feil omdirigert. Kilden til lekkasjen var leverandøren DQE Communications, som brukte programvaren for å optimalisere ruting. BGP Optimizer deler IP-prefikser i mindre, for eksempel deler 104.20.0.0/20 i 104.20.0.0/21 og 104.20.8.0/21, og som et resultat holdt DQE Communications på sin side et stort antall spesifikke ruter som overstyrer flere generelle ruter (dvs. i stedet for generelle ruter til Cloudflare, ble mer granulære ruter til spesifikke Cloudflare-undernett brukt).
Disse punktrutene ble annonsert til en av klientene (Allegheny Technologies, AS396531), som også hadde forbindelse gjennom en annen leverandør. Allegheny Technologies kringkaster de resulterende rutene til en annen transittleverandør (Verizon, AS701). På grunn av mangelen på riktig filtrering av BGP-kunngjøringer og begrensninger på antall prefikser, plukket Verizon opp denne kunngjøringen og sendte de resulterende 20 tusen prefiksene til resten av Internett. Feil prefikser, på grunn av deres granularitet, ble oppfattet som høyere prioritet siden en spesifikk rute har høyere prioritet enn en generell.
Som et resultat begynte trafikk for mange store nettverk å bli rutet gjennom Verizon til den lille leverandøren DQE Communications, som ikke klarte å håndtere den økende trafikken, noe som førte til en kollaps (effekten kan sammenlignes med å erstatte en del av en travel motorvei med en landevei).
For å forhindre at lignende hendelser oppstår i fremtiden
:
- Bruk kunngjøringer basert på RPKI (BGP Origin Validation, tillater å akseptere kun kunngjøringer fra nettverkseiere);
- Begrens det maksimale antallet mottatte prefikser for alle EBGP-økter (innstillingen for maksimalt prefiks vil hjelpe til umiddelbart å forkaste overføringen av 20 tusen prefikser i en økt);
- Bruk filtrering basert på IRR-registeret (Internet Routing Registry, bestemmer ASene som ruting av spesifiserte prefikser er tillatt gjennom);
- Bruk standard blokkeringsinnstillinger anbefalt i RFC 8212 på rutere ('default deny');
- Stopp hensynsløs bruk av BGP-optimalisatorer.
Kilde: opennet.ru