Compania Cloudflare raport despre incidentul de ieri, care a avut ca rezultat de la 13:34 până la 16:26 (MSK) au existat probleme cu accesul la multe resurse din rețeaua globală, inclusiv la infrastructura Cloudflare, Facebook, Akamai, Apple, Linode și Amazon AWS. Probleme în infrastructura Cloudflare, care oferă CDN pentru 16 milioane de site-uri, de la 14:02 la 16:02 (MSK). Cloudflare estimează că aproximativ 15% din traficul global a fost pierdut în timpul întreruperii.
Problema era Scurgere de rută BGP, în timpul căreia aproximativ 20 de mii de prefixe pentru 2400 de rețele au fost redirecționate incorect. Sursa scurgerii a fost furnizorul DQE Communications, care a folosit software-ul pentru a optimiza rutarea. BGP Optimizer împarte prefixele IP în altele mai mici, de exemplu împărțind 104.20.0.0/20 în 104.20.0.0/21 și 104.20.8.0/21 și, ca urmare, DQE Communications a păstrat de partea sa un număr mare de rute specifice care suprascriu mai multe rutele generale (adică, în loc de rutele generale către Cloudflare, au fost folosite rute mai granulare către anumite subrețele Cloudflare).
Aceste trasee punctuale au fost anunțate unuia dintre clienți (Allegheny Technologies, AS396531), care avea și o conexiune prin alt furnizor. Allegheny Technologies a transmis rutele rezultate către un alt furnizor de transport (Verizon, AS701). Din cauza lipsei de filtrare adecvată a anunțurilor BGP și a restricțiilor privind numărul de prefixe, Verizon a preluat acest anunț și a difuzat cele 20 de mii de prefixe rezultate în restul internetului. Prefixele incorecte, datorită granularității lor, au fost percepute ca fiind cu prioritate mai mare, deoarece o anumită rută are o prioritate mai mare decât una generală.
Drept urmare, traficul pentru multe rețele mari a început să fie direcționat prin Verizon către micul furnizor DQE Communications, care nu a putut face față traficului în creștere, ceea ce a dus la un colaps (efectul este comparabil cu înlocuirea unei părți a unei autostrăzi aglomerate cu un drum de tara).
Pentru a preveni incidente similare să apară în viitor
:
- Использовать anunțuri bazate pe RPKI (BGP Origin Validation, permite acceptarea anunțurilor doar de la proprietarii rețelei);
- Limitați numărul maxim de prefixe primite pentru toate sesiunile EBGP (setarea de prefix maxim ar ajuta la eliminarea imediată a transmiterii a 20 de mii de prefixe într-o sesiune);
- Aplicați filtrarea pe baza registrului IRR (Registrul de rutare Internet, determină AS-urile prin care este permisă rutarea prefixelor specificate);
- Utilizați setările implicite de blocare recomandate în RFC 8212 pe routere („default deny”);
- Opriți utilizarea nesăbuită a optimizatorilor BGP.
Sursa: opennet.ru