云耀公司
问题是
这些点路由已向其中一个客户(Allegheny Technologies,AS396531)公布,该客户还通过另一家提供商建立了连接。 Allegheny Technologies 将生成的路线广播给另一家交通提供商(Verizon、AS701)。 由于缺乏对 BGP 公告的适当过滤以及对前缀数量的限制,Verizon 接收了此公告并将生成的 20 个前缀广播到互联网的其他部分。 由于特定路由的优先级高于一般路由,因此不正确的前缀由于其粒度而被视为更高的优先级。
结果,许多大型网络的流量开始通过 Verizon 路由到小型提供商 DQE Communications,后者无法处理激增的流量,从而导致崩溃(其效果相当于用一条繁忙的高速公路取代了部分繁忙的高速公路)。乡村小路)。
为避免今后再发生类似事件
- 使用
验证 基于 RPKI(BGP 起源验证,仅允许接受来自网络所有者的公告)的公告; - 限制所有 EBGP 会话接收前缀的最大数量(最大前缀设置将有助于立即丢弃一个会话内 20 万个前缀的传输);
- 基于 IRR 注册表(Internet 路由注册表,确定允许指定前缀路由的 AS)应用过滤;
- 在路由器上使用 RFC 8212 中推荐的默认阻止设置(“默认拒绝”);
- 停止鲁莽地使用 BGP 优化器。
来源: opennet.ru