Empresa Cloudflare relatório sobre o incidente de ontem, que resultou em das 13h34 às 16h26 (MSK) houve problemas de acesso a diversos recursos da rede global, incluindo a infraestrutura da Cloudflare, Facebook, Akamai, Apple, Linode e Amazon AWS. Problemas na infraestrutura Cloudflare, que fornece CDN para 16 milhões de sites, das 14h02 às 16h02 (horário de Moscou). A Cloudflare estima que aproximadamente 15% do tráfego global foi perdido durante a interrupção.
o problema era Vazamento de rota BGP, durante o qual cerca de 20 mil prefixos de 2400 redes foram redirecionados incorretamente. A origem do vazamento foi o provedor DQE Communications, que utilizou o software para otimizar o roteamento. O BGP Optimizer divide prefixos IP em prefixos menores, por exemplo, dividindo 104.20.0.0/20 em 104.20.0.0/21 e 104.20.8.0/21 e, como resultado, a DQE Communications manteve ao seu lado um grande número de rotas específicas que substituem mais rotas gerais (ou seja, em vez de rotas gerais para Cloudflare, foram usadas rotas mais granulares para sub-redes específicas da Cloudflare).
Essas rotas pontuais foram anunciadas a um dos clientes (Allegheny Technologies, AS396531), que também tinha conexão por meio de outro provedor. A Allegheny Technologies transmite as rotas resultantes para outro provedor de transporte público (Verizon, AS701). Devido à falta de filtragem adequada dos anúncios BGP e às restrições ao número de prefixos, a Verizon pegou esse anúncio e transmitiu os 20 mil prefixos resultantes para o restante da Internet. Prefixos incorretos, devido à sua granularidade, foram percebidos como de maior prioridade, uma vez que uma rota específica tem maior prioridade do que uma rota geral.
Como resultado, o tráfego de muitas redes grandes começou a ser encaminhado através da Verizon para o pequeno fornecedor DQE Communications, que não conseguiu lidar com o aumento do tráfego, o que levou a um colapso (o efeito é comparável à substituição de parte de uma auto-estrada movimentada por uma estrada rural).
Para evitar que incidentes semelhantes ocorram no futuro
:
- Usar anúncios baseados em RPKI (BGP Origin Validation, permite aceitar anúncios apenas de proprietários de rede);
- Limitar o número máximo de prefixos recebidos para todas as sessões EBGP (a configuração de prefixo máximo ajudaria a descartar imediatamente a transmissão de 20 mil prefixos em uma sessão);
- Aplicar filtragem com base no registro IRR (Internet Routing Registry, determina os ASes através dos quais o roteamento de prefixos especificados é permitido);
- Use as configurações de bloqueio padrão recomendadas na RFC 8212 em roteadores ('default deny');
- Pare o uso imprudente de otimizadores BGP.
Fonte: opennet.ru