Kampuni ya Cloudflare ripoti ya tukio la jana, lililosababisha kutoka 13:34 hadi 16:26 (MSK) kulikuwa na matatizo ya upatikanaji wa rasilimali nyingi kwenye mtandao wa kimataifa, ikiwa ni pamoja na miundombinu ya Cloudflare, Facebook, Akamai, Apple, Linode na Amazon AWS. Shida katika miundombinu ya Cloudflare, ambayo hutoa CDN kwa tovuti milioni 16, kutoka 14:02 hadi 16:02 (MSK). Cloudflare inakadiria kuwa takriban 15% ya trafiki ulimwenguni ilipotea wakati wa kukatika.
Tatizo lilikuwa Uvujaji wa njia ya BGP, wakati ambapo viambishi awali elfu 20 vya mitandao 2400 vilielekezwa upya kimakosa. Chanzo cha uvujaji huo kilikuwa mtoa huduma wa DQE Communications, ambaye alitumia programu ili kuboresha uelekezaji. BGP Optimizer inagawanya viambishi awali vya IP kuwa vidogo zaidi, kwa mfano kugawanya 104.20.0.0/20 hadi 104.20.0.0/21 na 104.20.8.0/21, na kwa sababu hiyo, DQE Communications iliweka upande wake idadi kubwa ya njia mahususi ambazo zimebatilishwa zaidi. njia za jumla (yaani, badala ya njia za jumla za Cloudflare, njia za punjepunje zaidi kwa subnets maalum za Cloudflare zilitumika).
Njia hizi za uhakika zilitangazwa kwa mmoja wa wateja (Allegheny Technologies, AS396531), ambaye pia alikuwa na muunganisho kupitia mtoa huduma mwingine. Allegheny Technologies inatangaza njia zinazotokana na mtoa huduma mwingine wa usafiri wa umma (Verizon, AS701). Kwa sababu ya kukosekana kwa uchujaji unaofaa wa matangazo ya BGP na vizuizi kwa idadi ya viambishi awali, Verizon ilichukua tangazo hili na kutangaza viambishi awali elfu 20 vilivyosababisha kwenye Wavuti. Viambishi awali visivyo sahihi, kwa sababu ya uzito wake, vilichukuliwa kuwa kipaumbele cha juu kwa kuwa njia mahususi ina kipaumbele cha juu kuliko ya jumla.
Kama matokeo, trafiki ya mitandao mingi mikubwa ilianza kupitishwa kupitia Verizon hadi kwa mtoa huduma mdogo wa DQE Communications, ambayo haikuweza kushughulikia msongamano wa magari, ambao ulisababisha kuanguka (athari hiyo inalinganishwa na kubadilisha sehemu ya barabara kuu yenye shughuli nyingi na barabara ya nchi).
Ili kuzuia matukio kama hayo kutokea katika siku zijazo
:
- Tumia matangazo kulingana na RPKI (Uthibitishaji Asili wa BGP, inaruhusu kukubali matangazo kutoka kwa wamiliki wa mtandao pekee);
- Weka kikomo idadi ya juu zaidi ya viambishi awali vilivyopokewa kwa vipindi vyote vya EBGP (mpangilio wa kiambishi awali cha upeo utasaidia mara moja kutupa uwasilishaji wa viambishi elfu 20 ndani ya kipindi kimoja);
- Omba uchujaji kulingana na sajili ya IRR (Msajili wa Njia ya Mtandao, huamua ASes ambayo uelekezaji wa viambishi awali maalum unaruhusiwa);
- Tumia mipangilio chaguo-msingi ya kuzuia iliyopendekezwa katika RFC 8212 kwenye vipanga njia ('kanusha chaguomsingi');
- Acha matumizi ya kizembe ya viboreshaji vya BGP.
Chanzo: opennet.ru