โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > เส้นทาง BGP ที่รั่วไหลนำไปสู่การหยุดชะงักครั้งใหญ่ของการเชื่อมต่ออินเทอร์เน็ต

เส้นทาง BGP ที่รั่วไหลนำไปสู่การหยุดชะงักครั้งใหญ่ของการเชื่อมต่ออินเทอร์เน็ต

บริษัทคลาวด์แฟลร์ การตีพิมพ์ รายงานเหตุการณ์เมื่อวานซึ่งส่งผลให้ สามชั่วโมง เวลา 13:34 น. ถึง 16:26 น. (MSK) เกิดปัญหาในการเข้าถึงทรัพยากรจำนวนมากบนเครือข่ายทั่วโลก รวมถึงโครงสร้างพื้นฐานของ Cloudflare, Facebook, Akamai, Apple, Linode และ Amazon AWS ปัญหาในโครงสร้างพื้นฐาน Cloudflare ซึ่งให้บริการ CDN สำหรับไซต์ 16 ล้านแห่ง สังเกต เวลา 14:02 น. ถึง 16:02 น. (MSK) Cloudflare ประมาณการว่าประมาณ 15% ของการรับส่งข้อมูลทั่วโลกหายไประหว่างที่ไฟดับ

ปัญหาก็คือ ซึ่งก่อให้เกิด เส้นทาง BGP รั่วไหล ซึ่งในระหว่างนี้มีการเปลี่ยนเส้นทางอย่างไม่ถูกต้องประมาณ 20 คำนำหน้าสำหรับเครือข่าย 2400 แหล่งที่มาของการรั่วไหลคือผู้ให้บริการ DQE Communications ซึ่งใช้ซอฟต์แวร์ดังกล่าว เครื่องมือเพิ่มประสิทธิภาพ BGP เพื่อเพิ่มประสิทธิภาพการกำหนดเส้นทาง เครื่องมือเพิ่มประสิทธิภาพ BGP แบ่งคำนำหน้า IP ออกเป็นคำนำหน้าที่มีขนาดเล็กลง เช่น แบ่ง 104.20.0.0/20 ออกเป็น 104.20.0.0/21 และ 104.20.8.0/21 และด้วยเหตุนี้ DQE Communications จึงมีเส้นทางเฉพาะจำนวนมากที่แทนที่มากกว่า เส้นทางทั่วไป (เช่น แทนที่จะใช้เส้นทางทั่วไปไปยัง Cloudflare มีการใช้เส้นทางที่ละเอียดมากขึ้นไปยังเครือข่ายย่อย Cloudflare เฉพาะ)

เส้นทางจุดเหล่านี้ได้รับการประกาศให้กับลูกค้ารายหนึ่ง (Allegheny Technologies, AS396531) ซึ่งมีการเชื่อมต่อผ่านผู้ให้บริการรายอื่นด้วย Allegheny Technologies ถ่ายทอดเส้นทางผลลัพธ์ไปยังผู้ให้บริการขนส่งรายอื่น (Verizon, AS701) เนื่องจากไม่มีการกรองประกาศ BGP และข้อจำกัดเกี่ยวกับจำนวนคำนำหน้าอย่างเหมาะสม Verizon จึงเลือกประกาศนี้และเผยแพร่คำนำหน้าผลลัพธ์ 20 คำไปยังส่วนที่เหลือของอินเทอร์เน็ต คำนำหน้าไม่ถูกต้องเนื่องจากรายละเอียดต่างๆ จึงถูกมองว่ามีลำดับความสำคัญสูงกว่า เนื่องจากเส้นทางใดเส้นทางหนึ่งมีลำดับความสำคัญสูงกว่าเส้นทางทั่วไป

เส้นทาง BGP ที่รั่วไหลนำไปสู่การหยุดชะงักครั้งใหญ่ของการเชื่อมต่ออินเทอร์เน็ต

เป็นผลให้การรับส่งข้อมูลสำหรับเครือข่ายขนาดใหญ่จำนวนมากเริ่มถูกกำหนดเส้นทางผ่าน Verizon ไปยังผู้ให้บริการรายเล็ก DQE Communications ซึ่งไม่สามารถรับมือกับการรับส่งข้อมูลที่เพิ่มขึ้นซึ่งนำไปสู่การล่มสลาย (ผลที่ได้เปรียบได้กับการเปลี่ยนส่วนหนึ่งของทางด่วนที่พลุกพล่านด้วย ถนนในชนบท)

เพื่อป้องกันเหตุการณ์ที่คล้ายคลึงกันไม่ให้เกิดขึ้นอีกในอนาคต
ที่แนะนำ:

  • ที่จะใช้ การตรวจสอบ ประกาศตาม RPKI (การตรวจสอบแหล่งกำเนิด BGP อนุญาตให้ยอมรับประกาศจากเจ้าของเครือข่ายเท่านั้น)
  • จำกัดจำนวนคำนำหน้าที่ได้รับสูงสุดสำหรับเซสชัน EBGP ทั้งหมด (การตั้งค่าคำนำหน้าสูงสุดจะช่วยยกเลิกการส่งคำนำหน้า 20 คำภายในหนึ่งเซสชันทันที)
  • ใช้การกรองตามรีจิสทรี IRR (Internet Routing Registry กำหนด ASes ที่อนุญาตให้ใช้การกำหนดเส้นทางของคำนำหน้าที่ระบุ)
  • ใช้การตั้งค่าการบล็อกเริ่มต้นที่แนะนำใน RFC 8212 บนเราเตอร์ ('default deny')
  • หยุดการใช้งานเครื่องมือเพิ่มประสิทธิภาพ BGP โดยประมาท

เส้นทาง BGP ที่รั่วไหลนำไปสู่การหยุดชะงักครั้งใหญ่ของการเชื่อมต่ออินเทอร์เน็ต

ที่มา: opennet.ru

เพิ่มความคิดเห็น