Cloudflare Şirketi Dün yaşanan olayla ilgili rapor 13:34 - 16:26 (MSK) saatleri arasında Cloudflare, Facebook, Akamai, Apple, Linode ve Amazon AWS altyapısı dahil olmak üzere küresel ağdaki birçok kaynağa erişimde sorunlar yaşandı. 16 milyon siteye CDN sağlayan Cloudflare altyapısında yaşanan sorunlar, 14:02'den 16:02'ye (MSK). Cloudflare, kesinti sırasında küresel trafiğin yaklaşık %15'inin kaybolduğunu tahmin ediyor.
Sorun şuydu: 20 ağ için yaklaşık 2400 bin önekin yanlış yönlendirildiği BGP rota sızıntısı. Sızıntının kaynağı, yazılımı kullanan DQE Communications sağlayıcısıydı. yönlendirmeyi optimize etmek için. BGP Optimizer, IP öneklerini daha küçük olanlara böler; örneğin 104.20.0.0/20'yi 104.20.0.0/21 ve 104.20.8.0/21'e böler ve sonuç olarak DQE Communications, daha fazlasını geçersiz kılan çok sayıda belirli rotayı kendi tarafında tutar. genel rotalar (yani Cloudflare'e giden genel rotalar yerine, belirli Cloudflare alt ağlarına giden daha ayrıntılı rotalar kullanıldı).
Bu nokta rotaları, başka bir sağlayıcı aracılığıyla bağlantısı olan müşterilerden birine (Allegheny Technologies, AS396531) duyuruldu. Allegheny Technologies, ortaya çıkan rotaları başka bir toplu taşıma sağlayıcısına (Verizon, AS701) yayınladı. BGP duyurularının uygun şekilde filtrelenmemesi ve önek sayısındaki kısıtlamalar nedeniyle Verizon bu duyuruyu aldı ve ortaya çıkan 20 bin öneki İnternet'in geri kalanına yayınladı. Belirli bir rota genel rotadan daha yüksek önceliğe sahip olduğundan, ayrıntı düzeyi nedeniyle yanlış önekler daha yüksek öncelikli olarak algılandı.
Sonuç olarak, birçok büyük ağın trafiği, Verizon üzerinden küçük sağlayıcı DQE Communications'a yönlendirilmeye başlandı; bu sağlayıcı, artan trafiği kaldıramadı ve bu da çökmeye yol açtı (bu etki, yoğun bir otoyolun bir kısmının yeni bir otoyolla değiştirilmesiyle karşılaştırılabilir). taşra yolu).
Gelecekte benzer olayların yaşanmaması için
:
- Kullanmak RPKI'ye dayalı duyurular (BGP Kaynak Doğrulaması, yalnızca ağ sahiplerinden gelen duyuruların kabul edilmesine izin verir);
- Tüm EBGP oturumları için alınan maksimum önek sayısını sınırlayın (maksimum önek ayarı, bir oturumda 20 bin önekin iletiminin anında iptal edilmesine yardımcı olacaktır);
- IRR kaydına dayalı filtreleme uygulayın (İnternet Yönlendirme Kaydı, belirtilen öneklerin yönlendirilmesine izin verilen AS'leri belirler);
- Yönlendiricilerde RFC 8212'de önerilen varsayılan engelleme ayarlarını kullanın ('varsayılan reddetme');
- BGP iyileştiricilerinin dikkatsiz kullanımını durdurun.
Kaynak: opennet.ru