Kompania Cloudflare raport për ngjarjen e djeshme, e cila rezultoi në Nga ora 13:34 deri në 16:26 (MSK), pati probleme me aksesin në shumë burime në rrjetin global, duke përfshirë infrastrukturën e Cloudflare, Facebook, Akamai, Apple, Linode dhe Amazon AWS. Probleme në infrastrukturën Cloudflare, e cila siguron një CDN për 16 milion sajte, nga ora 14:02 deri në 16:02 (MSK). Cloudflare vlerësoi se afërsisht 15% e trafikut global humbi gjatë ndërprerjes.
Problemi ishte rrjedhje e rrugës përmes BGP, gjatë së cilës u ridrejtuan gabimisht rreth 20 mijë prefiksa për 2400 rrjete. Burimi i rrjedhjes ishte ofruesi DQE Communications, i cili përdorte softuer për të optimizuar rrugëzimin. BGP Optimizer thyen prefikset IP në ato më të vogla, për shembull, ndan 104.20.0.0/20 në 104.20.0.0/21 dhe 104.20.8.0/21, dhe si rezultat, DQE Communications mbajti një numër të madh rrugësh specifike në anën e tij. rrugë më të zakonshme (d.m.th. në vend të rrugëve të përgjithshme për në Cloudflare, u përdorën rrugë më të grimcuara drejt nënrrjeteve specifike të Cloudflare).
Këto rrugë pikash iu reklamuan njërit prej klientëve (Allegheny Technologies, AS396531) i cili gjithashtu kishte një lidhje përmes një ofruesi tjetër. Allegheny Technologies transmetoi rrugët e marra te një ofrues tjetër tranziti (Verizon, AS701). Për shkak të mungesës së filtrimit të duhur të njoftimeve BGP dhe kufirit të numrit të prefikseve, Verizon e mori këtë njoftim dhe i transmetoi 20 mijë prefikset e marra në pjesën tjetër të internetit. Prefikset e pasakta, për shkak të granularitetit të tyre, u perceptuan si prioritet më të lartë, pasi një rrugë specifike ka një përparësi më të lartë se ajo e përgjithshme.
Si rezultat, trafiku për shumë rrjete të mëdha filloi të drejtohej përmes Verizon te një ofrues i vogël DQE Communications, i paaftë për të përballuar trafikun e përmbytjeve, i cili çoi në një kolaps (efekti është i krahasueshëm me zëvendësimin e një pjese të një autostrade të ngarkuar me një rrugë fshati ).
Për të parandaluar që incidente të ngjashme të ndodhin në të ardhmen
:
- për t'u përdorur njoftimet e bazuara në RPKI (Vlerësimi i origjinës së BGP, lejon marrjen e njoftimeve vetëm nga pronarët e rrjetit);
- Kufizoni numrin maksimal të prefikseve të pranuara për të gjitha seancat EBGP (caktimi i prefiksit maksimal do të ndihmonte për të hequr menjëherë transmetimin e 20 mijë prefikseve brenda një sesioni);
- Aplikoni filtrimin në bazë të regjistrit IRR (Regjistri i Rrugës së Internetit, përcakton AS përmes së cilës lejohet rutimi i prefikseve të dhëna);
- Përdorni cilësimet e paracaktuara të mohimit ('default deny') të rekomanduara në RFC 8212 në ruterat;
- Ndaloni përdorimin e pamatur të optimizuesve BGP.
Burimi: opennet.ru