Cloudflare Company ulat sa insidente kahapon, na nagresulta sa mula 13:34 hanggang 16:26 (MSK) may mga problema sa pag-access sa maraming mapagkukunan sa pandaigdigang network, kabilang ang imprastraktura ng Cloudflare, Facebook, Akamai, Apple, Linode at Amazon AWS. Mga problema sa imprastraktura ng Cloudflare, na nagbibigay ng CDN para sa 16 milyong mga site, mula 14:02 hanggang 16:02 (MSK). Tinatantya ng Cloudflare na humigit-kumulang 15% ng pandaigdigang trapiko ang nawala sa panahon ng outage.
Ang problema noon Ang pagtagas ng ruta ng BGP, kung saan ang humigit-kumulang 20 libong prefix para sa 2400 na network ay hindi wastong na-redirect. Ang pinagmulan ng pagtagas ay ang provider ng DQE Communications, na gumamit ng software upang i-optimize ang pagruruta. Hinahati ng BGP Optimizer ang mga IP prefix sa mas maliliit, halimbawa, ang paghahati ng 104.20.0.0/20 sa 104.20.0.0/21 at 104.20.8.0/21, at bilang resulta, ang DQE Communications ay nagpapanatili sa panig nito ng malaking bilang ng mga partikular na ruta na higit pa mga pangkalahatang ruta (ibig sabihin, sa halip na mga pangkalahatang ruta patungo sa Cloudflare, mas maraming granular na ruta patungo sa mga partikular na subnet ng Cloudflare ang ginamit).
Ang mga ruta ng puntong ito ay inihayag sa isa sa mga kliyente (Allegheny Technologies, AS396531), na nagkaroon din ng koneksyon sa pamamagitan ng isa pang provider. Ini-broadcast ng Allegheny Technologies ang mga resultang ruta sa isa pang provider ng transit (Verizon, AS701). Dahil sa kakulangan ng wastong pag-filter ng mga anunsyo ng BGP at mga paghihigpit sa bilang ng mga prefix, kinuha ng Verizon ang anunsyo na ito at nai-broadcast ang nagresultang 20 libong prefix sa natitirang bahagi ng Internet. Ang mga maling prefix, dahil sa kanilang granularity, ay itinuturing na mas mataas na priyoridad dahil ang isang partikular na ruta ay may mas mataas na priyoridad kaysa sa pangkalahatan.
Bilang resulta, nagsimulang iruta ang trapiko para sa maraming malalaking network sa pamamagitan ng Verizon patungo sa maliit na provider na DQE Communications, na hindi nakayanan ang dumaraming trapiko, na humantong sa isang pagbagsak (ang epekto ay maihahambing sa pagpapalit ng bahagi ng isang abalang freeway ng isang kalsada ng bansa).
Upang maiwasan ang mga katulad na insidente na mangyari sa hinaharap
:
- Gumamit mga anunsyo batay sa RPKI (BGP Origin Validation, pinapayagan ang pagtanggap ng mga anunsyo mula lamang sa mga may-ari ng network);
- Limitahan ang maximum na bilang ng mga natanggap na prefix para sa lahat ng EBGP session (ang maximum-prefix na setting ay makakatulong upang agad na itapon ang paghahatid ng 20 libong prefix sa loob ng isang session);
- Ilapat ang pag-filter batay sa IRR registry (Internet Routing Registry, tinutukoy ang mga AS kung saan pinapayagan ang pagruruta ng mga tinukoy na prefix);
- Gamitin ang mga default na setting ng pagharang na inirerekomenda sa RFC 8212 sa mga router ('default deny');
- Itigil ang walang ingat na paggamit ng mga BGP optimizer.
Pinagmulan: opennet.ru