Cloudflare Company rapportera om gårdagens händelse, som resulterade i från 13:34 till 16:26 (MSK) fanns det problem med tillgången till många resurser på det globala nätverket, inklusive infrastrukturen för Cloudflare, Facebook, Akamai, Apple, Linode och Amazon AWS. Problem i Cloudflares infrastruktur, som tillhandahåller CDN för 16 miljoner webbplatser, från 14:02 till 16:02 (MSK). Cloudflare uppskattar att cirka 15 % av den globala trafiken gick förlorad under avbrottet.
Problemet var BGP-ruttläcka, under vilken cirka 20 tusen prefix för 2400 nätverk omdirigerades felaktigt. Källan till läckan var leverantören DQE Communications, som använde programvaran för att optimera routing. BGP Optimizer delar upp IP-prefix i mindre, till exempel dela upp 104.20.0.0/20 i 104.20.0.0/21 och 104.20.8.0/21, och som ett resultat av detta höll DQE Communications på sin sida ett stort antal specifika rutter som åsidosatte fler allmänna rutter (dvs istället för allmänna rutter till Cloudflare användes mer detaljerade rutter till specifika Cloudflare-undernät).
Dessa punktvägar tillkännagavs för en av kunderna (Allegheny Technologies, AS396531), som också hade en anslutning via en annan leverantör. Allegheny Technologies sänder de resulterande rutterna till en annan transitleverantör (Verizon, AS701). På grund av bristen på korrekt filtrering av BGP-meddelanden och begränsningar av antalet prefix, plockade Verizon upp detta meddelande och sände de resulterande 20 tusen prefixen till resten av Internet. Felaktiga prefix, på grund av deras granularitet, uppfattades som högre prioritet eftersom en specifik rutt har högre prioritet än en allmän.
Som ett resultat började trafik för många stora nätverk dirigeras genom Verizon till den lilla leverantören DQE Communications, som inte kunde hantera den ökande trafiken, vilket ledde till en kollaps (effekten är jämförbar med att ersätta en del av en trafikerad motorväg med en landsväg).
För att förhindra att liknande incidenter inträffar i framtiden
:
- Använd meddelanden baserade på RPKI (BGP Origin Validation, tillåter endast att acceptera meddelanden från nätverksägare);
- Begränsa det maximala antalet mottagna prefix för alla EBGP-sessioner (inställningen för maximalt prefix skulle hjälpa till att omedelbart ignorera överföringen av 20 tusen prefix inom en session);
- Tillämpa filtrering baserat på IRR-registret (Internet Routing Registry, bestämmer ASes genom vilka routing av specificerade prefix tillåts);
- Använd standardblockeringsinställningarna som rekommenderas i RFC 8212 på routrar ('default deny');
- Stoppa hänsynslös användning av BGP-optimerare.
Källa: opennet.ru