云耀公司 报告昨天的事件,导致 从 13:34 到 16:26(MSK),访问全球网络上的许多资源都出现问题,包括 Cloudflare、Facebook、Akamai、Apple、Linode 和 Amazon AWS 的基础设施。 为 16 万个站点提供 CDN 的 Cloudflare 基础设施存在问题, 14:02 至 16:02(MSK)。 Cloudflare 估计全球大约 15% 的流量在中断期间丢失。
问题是 BGP 路由泄漏,导致 20 个网络的约 2400 万个前缀被错误重定向。 泄露的源头是提供商 DQE Communications,该公司使用了该软件 以优化路由。 BGP 优化器将 IP 前缀拆分为较小的前缀,例如将 104.20.0.0/20 拆分为 104.20.0.0/21 和 104.20.8.0/21,因此,DQE Communications 保留了大量覆盖更多特定路由的特定路由。常规路由(即,使用到特定 Cloudflare 子网的更细粒度的路由,而不是到 Cloudflare 的常规路由)。
这些点路由已向其中一个客户(Allegheny Technologies,AS396531)公布,该客户还通过另一家提供商建立了连接。 Allegheny Technologies 将生成的路线广播给另一家交通提供商(Verizon、AS701)。 由于缺乏对 BGP 公告的适当过滤以及对前缀数量的限制,Verizon 接收了此公告并将生成的 20 个前缀广播到互联网的其他部分。 由于特定路由的优先级高于一般路由,因此不正确的前缀由于其粒度而被视为更高的优先级。
结果,许多大型网络的流量开始通过 Verizon 路由到小型提供商 DQE Communications,后者无法处理激增的流量,从而导致崩溃(其效果相当于用一条繁忙的高速公路取代了部分繁忙的高速公路)。乡村小路)。
为避免今后再发生类似事件
:
- 使用 基于 RPKI(BGP 起源验证,仅允许接受来自网络所有者的公告)的公告;
- 限制所有 EBGP 会话接收前缀的最大数量(最大前缀设置将有助于立即丢弃一个会话内 20 万个前缀的传输);
- 基于 IRR 注册表(Internet 路由注册表,确定允许指定前缀路由的 AS)应用过滤;
- 在路由器上使用 RFC 8212 中推荐的默认阻止设置(“默认拒绝”);
- 停止鲁莽地使用 BGP 优化器。
来源: opennet.ru