Firma Cloudflare relację z wczorajszego zdarzenia, w wyniku którego doszło do od 13:34 do 16:26 (MSK) wystąpiły problemy z dostępem do wielu zasobów w sieci globalnej, w tym infrastruktury Cloudflare, Facebooka, Akamai, Apple, Linode i Amazon AWS. Problemy w infrastrukturze Cloudflare, która dostarcza CDN dla 16 milionów witryn, od 14:02 do 16:02 (MSK). Cloudflare szacuje, że w wyniku awarii utracono około 15% światowego ruchu.
Problem był Wyciek tras BGP, podczas którego błędnie przekierowano około 20 tysięcy prefiksów dla 2400 sieci. Źródłem wycieku był dostawca DQE Communications, który korzystał z oprogramowania w celu optymalizacji routingu. BGP Optimizer dzieli prefiksy IP na mniejsze, na przykład dzieląc 104.20.0.0/20 na 104.20.0.0/21 i 104.20.8.0/21, w wyniku czego firma DQE Communications zachowała na swojej stronie dużą liczbę określonych tras, które zastępują więcej trasy ogólne (tzn. zamiast ogólnych tras do Cloudflare zastosowano bardziej szczegółowe trasy do określonych podsieci Cloudflare).
Te trasy punktowe zostały ogłoszone jednemu z klientów (Allegheny Technologies, AS396531), który również miał połączenie za pośrednictwem innego dostawcy. Allegheny Technologies transmituje powstałe trasy do innego dostawcy usług tranzytowych (Verizon, AS701). Ze względu na brak odpowiedniego filtrowania zapowiedzi BGP i ograniczenia liczby prefiksów, Verizon podchwycił to ogłoszenie i rozesłał powstałe 20 tysięcy prefiksów do reszty Internetu. Nieprawidłowe prefiksy, ze względu na ich szczegółowość, były postrzegane jako wyższy priorytet, ponieważ konkretna trasa ma wyższy priorytet niż trasa ogólna.
W rezultacie ruch dla wielu dużych sieci zaczął być kierowany przez Verizon do małego dostawcy DQE Communications, który nie był w stanie obsłużyć narastającego ruchu, co doprowadziło do załamania (efekt jest porównywalny do zastąpienia części ruchliwej autostrady przez wiejska droga).
Aby zapobiec podobnym zdarzeniom w przyszłości
:
- Использовать ogłoszenia oparte na RPKI (BGP Origin Validation, umożliwiające akceptowanie ogłoszeń wyłącznie od właścicieli sieci);
- Ogranicz maksymalną liczbę odbieranych prefiksów dla wszystkich sesji EBGP (ustawienie maksymalnej liczby prefiksów pozwoli na natychmiastowe odrzucenie transmisji 20 tysięcy prefiksów w ramach jednej sesji);
- Zastosuj filtrowanie w oparciu o rejestr IRR (Rejestr routingu internetowego, określa systemy AS, przez które dozwolone jest routing określonych prefiksów);
- Użyj domyślnych ustawień blokowania zalecanych w RFC 8212 na routerach („domyślna odmowa”);
- Przestań lekkomyślnie używać optymalizatorów BGP.
Źródło: opennet.ru