Cloudflare kompaniyasi natijasida kechagi voqea haqida hisobot 13:34 dan 16:26 gacha (MSK) global tarmoqdagi ko'plab resurslarga, jumladan Cloudflare, Facebook, Akamai, Apple, Linode va Amazon AWS infratuzilmasiga kirishda muammolar yuzaga keldi. 16 million sayt uchun CDN taqdim etuvchi Cloudflare infratuzilmasidagi muammolar, 14:02 dan 16:02 gacha (MSK). Cloudflare hisob-kitoblariga ko'ra, uzilish paytida global trafikning taxminan 15 foizi yo'qolgan.
Muammo shunday edi marshrutning BGP orqali oqishi, uning davomida 20 ta tarmoq uchun 2400 mingga yaqin prefikslar noto'g'ri yo'naltirilgan. Oqish manbasi DQE Communications provayderi boβlib, u dasturiy taβminotdan foydalangan marshrutlashni optimallashtirish uchun. BGP Optimizer IP prefikslarini kichikroqlarga ajratadi, masalan, 104.20.0.0/20 ni 104.20.0.0/21 va 104.20.8.0/21 ga ajratadi va buning natijasida DQE Communications o'z tomonida ko'p sonli maxsus marshrutlarni saqlaydi, bu esa bekor qiladi. keng tarqalgan marshrutlar (ya'ni, Cloudflare-ga umumiy marshrutlar o'rniga, aniq Cloudflare pastki tarmoqlariga ko'proq donador marshrutlar ishlatilgan).
Ushbu nuqta marshrutlari boshqa provayder orqali aloqaga ega bo'lgan mijozlardan biriga (Allegheny Technologies, AS396531) e'lon qilingan. Allegheny Technologies qabul qilingan marshrutlarni boshqa tranzit provayderiga (Verizon, AS701) uzatadi. BGP e'lonlarini to'g'ri filtrlashning yo'qligi va prefikslar soni chegarasi tufayli Verizon ushbu e'lonni oldi va olingan 20 ming prefiksni Internetning qolgan qismiga tarqatdi. Noto'g'ri prefikslar, ularning granularligi tufayli, yuqori ustuvorlik sifatida qabul qilindi, chunki ma'lum bir marshrut umumiyga qaraganda yuqoriroq ustuvorlikka ega.
Natijada, ko'plab yirik tarmoqlar uchun trafik Verizon orqali kichik DQE Communications provayderiga yo'naltirila boshlandi, bu ko'tarilgan trafikni bartaraf eta olmadi, bu esa qulashga olib keldi (ta'sir band bo'lgan avtomagistralning bir qismini qishloq yo'li bilan almashtirish bilan solishtirish mumkin) ).
Kelajakda shunga o'xshash hodisalarning oldini olish uchun
:
- Foydalanish RPKI asosidagi e'lonlar (BGP Origin Validation, faqat tarmoq egalaridan e'lonlarni olishga imkon beradi);
- Barcha EBGP seanslari uchun qabul qilingan prefikslarning maksimal sonini cheklash (maksimal-prefiksni o'rnatish bir seans ichida 20 ming prefiksni uzatishni darhol bekor qilishga yordam beradi);
- IRR registriga asoslangan filtrlashni qo'llang (Internet Routing Registry, berilgan prefikslarni marshrutlashga ruxsat berilgan ASni aniqlaydi);
- Marshrutizatorlarda RFC 8212 da tavsiya etilgan standart rad etish sozlamalaridan ("standart rad etish") foydalaning;
- BGP optimallashtiruvchilaridan ehtiyotsiz foydalanishni to'xtating.
Manba: opennet.ru