Цлоудфларе Цомпани извештај о јучерашњем инциденту, који је резултирао од 13:34 до 16:26 (МСК) дошло је до проблема са приступом многим ресурсима на глобалној мрежи, укључујући инфраструктуру Цлоудфларе, Фацебоок, Акамаи, Аппле, Линоде и Амазон АВС. Проблеми у Цлоудфларе инфраструктури, која обезбеђује ЦДН за 16 милиона сајтова, од 14:02 до 16:02 (МСК). Цлоудфларе процењује да је око 15% глобалног саобраћаја изгубљено током прекида.
Проблем је био Цурење БГП руте, током којег је око 20 хиљада префикса за 2400 мрежа погрешно преусмерено. Извор цурења био је провајдер ДКЕ Цоммуницатионс, који је користио софтвер за оптимизацију рутирања. БГП Оптимизер дели ИП префиксе на мање, на пример, раздвајајући 104.20.0.0/20 на 104.20.0.0/21 и 104.20.8.0/21, и као резултат тога, ДКЕ Цоммуницатионс је задржао на својој страни велики број специфичних рута које замењују више опште руте (тј. уместо општих рута до Цлоудфларе-а, коришћене су детаљније руте до одређених Цлоудфларе подмрежа).
Ове тачке руте су најављене једном од клијената (Аллегхени Тецхнологиес, АС396531), који је такође имао везу преко другог провајдера. Аллегхени Тецхнологиес емитује настале руте другом провајдеру транзита (Веризон, АС701). Због недостатка правилног филтрирања БГП најава и ограничења броја префикса, Веризон је преузео ову најаву и емитовао резултирајућих 20 хиљада префикса на остатак Интернета. Нетачни префикси, због њихове грануларности, сматрани су вишим приоритетом јер одређена рута има већи приоритет од општег.
Као резултат тога, саобраћај за многе велике мреже почео је да се усмерава преко Веризона до малог провајдера ДКЕ Цоммуницатионс, који није био у стању да се носи са наглим саобраћајем, што је довело до колапса (ефекат је упоредив са заменом дела прометног аутопута са сеоски пут).
Да би се спречили слични инциденти у будућности
:
- Употреба најаве засноване на РПКИ (БГП Оригин Валидатион, дозвољава прихватање најава само од власника мреже);
- Ограничите максималан број примљених префикса за све ЕБГП сесије (подешавање максималног префикса би помогло да се одмах одбаци пренос од 20 хиљада префикса у оквиру једне сесије);
- Примените филтрирање на основу ИРР регистра (Интернет Роутинг Регистри, одређује АС-ове преко којих је дозвољено рутирање одређених префикса);
- Користите подразумеване поставке блокирања препоручене у РФЦ 8212 на рутерима ('дефаулт дени');
- Зауставите безобзирну употребу БГП оптимизатора.
Извор: опеннет.ру