Spoločnosť Cloudflare správu o včerajšom incidente, ktorý vyústil do od 13:34 do 16:26 (MSK) sa vyskytli problémy s prístupom k mnohým zdrojom v globálnej sieti vrátane infraštruktúry Cloudflare, Facebooku, Akamai, Apple, Linode a Amazon AWS. Problémy v infraštruktúre Cloudflare, ktorá poskytuje CDN pre 16 miliónov stránok, od 14:02 do 16:02 (MSK). Cloudflare odhaduje, že počas výpadku sa stratilo približne 15 % globálnej prevádzky.
Problém bol Únik trasy BGP, počas ktorého bolo nesprávne presmerovaných asi 20 tisíc prefixov pre 2400 sietí. Zdrojom úniku bol poskytovateľ DQE Communications, ktorý softvér využíval na optimalizáciu smerovania. BGP Optimizer rozdeľuje predpony IP na menšie, napríklad rozdeľuje 104.20.0.0/20 na 104.20.0.0/21 a 104.20.8.0/21, v dôsledku čoho si spoločnosť DQE Communications ponechala na svojej strane veľké množstvo špecifických trás, ktoré prepisujú viac všeobecné trasy (t. j. namiesto všeobecných trás do Cloudflare sa použili podrobnejšie trasy do konkrétnych podsietí Cloudflare).
Tieto bodové trasy boli oznámené jednému z klientov (Allegheny Technologies, AS396531), ktorý mal tiež pripojenie cez iného poskytovateľa. Allegheny Technologies vysiela výsledné trasy inému poskytovateľovi tranzitu (Verizon, AS701). Kvôli nedostatočnému filtrovaniu oznámení BGP a obmedzeniam počtu predvolieb Verizon zachytil toto oznámenie a odvysielal výsledných 20 XNUMX predvolieb do zvyšku internetu. Nesprávne predpony boli vzhľadom na ich granularitu vnímané ako vyššia priorita, pretože konkrétna trasa má vyššiu prioritu ako všeobecná.
Výsledkom bolo, že prevádzka mnohých veľkých sietí začala byť smerovaná cez Verizon k malému poskytovateľovi DQE Communications, ktorý nebol schopný zvládnuť prudký nárast prevádzky, čo viedlo ku kolapsu (efekt je porovnateľný s nahradením časti rušnej diaľnice poľná cesta).
Aby v budúcnosti nedochádzalo k podobným incidentom
:
- použitie oznámenia založené na RPKI (BGP Origin Validation, umožňuje prijímať oznámenia iba od vlastníkov siete);
- Obmedzte maximálny počet prijatých prefixov pre všetky relácie EBGP (nastavenie maximálneho prefixu by pomohlo okamžite zrušiť prenos 20 tisíc prefixov v rámci jednej relácie);
- Aplikovať filtrovanie na základe registra IRR (Internet Routing Registry, určuje AS, cez ktoré je povolené smerovanie špecifikovaných prefixov);
- Použite predvolené nastavenia blokovania odporúčané v RFC 8212 na smerovačoch („predvolené odmietnutie“);
- Zastavte bezohľadné používanie optimalizátorov BGP.
Zdroj: opennet.ru