ProHoster > Blog > internetne novice > Uhajanje poti BGP vodi do velike prekinitve internetne povezave

Uhajanje poti BGP vodi do velike prekinitve internetne povezave

Podjetje Cloudflare objavljeno poročilo o včerajšnjem dogodku, ki je povzročil tri ure od 13:34 do 16:26 (MSK) je prišlo do težav z dostopom do številnih virov v globalnem omrežju, vključno z infrastrukturo Cloudflare, Facebook, Akamai, Apple, Linode in Amazon AWS. Težave v infrastrukturi Cloudflare, ki zagotavlja CDN za 16 milijonov spletnih mest, opazili od 14:02 do 16:02 (MSK). Cloudflare ocenjuje, da je bilo med izpadom izgubljenih približno 15 % svetovnega prometa.

Težava je bila povzročila Puščanje poti BGP, med katerim je bilo približno 20 tisoč predpon za 2400 omrežij napačno preusmerjenih. Vir uhajanja je bil ponudnik DQE Communications, ki je uporabljal programsko opremo Optimizator BGP za optimizacijo usmerjanja. BGP Optimizer razdeli predpone IP na manjše, na primer razdeli 104.20.0.0/20 na 104.20.0.0/21 in 104.20.8.0/21, zaradi česar je DQE Communications obdržal veliko število specifičnih poti, ki preglasijo več splošne poti (tj. namesto splošnih poti do Cloudflare so bile uporabljene bolj zrnate poti do določenih podomrežij Cloudflare).

Te točkovne poti so bile napovedane enemu od odjemalcev (Allegheny Technologies, AS396531), ki je prav tako imel povezavo prek drugega ponudnika. Allegheny Technologies oddaja nastale poti drugemu ponudniku prevoza (Verizon, AS701). Zaradi pomanjkanja ustreznega filtriranja objav BGP in omejitev števila predpon je Verizon pobral to objavo in nastalih 20 tisoč predpon oddal preostalemu internetu. Nepravilne predpone so bile zaradi svoje razdrobljenosti zaznane kot višje prioritete, saj ima določena pot višjo prednost kot splošna.

Uhajanje poti BGP vodi do velike prekinitve internetne povezave

Posledično se je promet za številna velika omrežja začel usmerjati prek Verizona k malemu ponudniku DQE Communications, ki pa ni mogel obvladati naraščajočega prometa, kar je povzročilo kolaps (učinek je primerljiv z zamenjavo dela prometne avtoceste z podeželska cesta).

Da v prihodnje preprečimo podobne incidente
priporočamo:

  • Za uporabo preverjanje obvestila na podlagi RPKI (BGP Origin Validation, omogoča sprejemanje obvestil samo od lastnikov omrežja);
  • Omejite največje število prejetih predpon za vse seje EBGP (nastavitev največje predpone bi pomagala takoj zavrniti prenos 20 tisoč predpon v eni seji);
  • Uporabite filtriranje na podlagi registra IRR (register internetnega usmerjanja, določa AS-je, prek katerih je dovoljeno usmerjanje določenih predpon);
  • Uporabite privzete nastavitve blokiranja, priporočene v RFC 8212 na usmerjevalnikih ('default deny');
  • Prenehajte z nepremišljeno uporabo optimizatorjev BGP.

Uhajanje poti BGP vodi do velike prekinitve internetne povezave

Vir: opennet.ru

Dodaj komentar