雲耀公司 報告昨天的事件,導致 從 13:34 到 16:26(MSK),訪問全球網路上的許多資源都出現問題,包括 Cloudflare、Facebook、Akamai、Apple、Linode 和 Amazon AWS 的基礎設施。 為 16 萬個站點提供 CDN 的 Cloudflare 基礎架構存在問題, 14:02 至 16:02(MSK)。 Cloudflare 估計全球約 15% 的流量在中斷期間遺失。
問題是 BGP 路由洩漏,導致 20 個網路的約 2400 萬個前綴被錯誤重定向。 洩漏的源頭是供應商 DQE Communications,該公司使用了該軟體 以優化路由。 BGP 優化器將IP 前綴拆分為較小的前綴,例如將104.20.0.0/20 拆分為104.20.0.0/21 和104.20.8.0/21,因此,DQE Communications 保留了大量覆蓋更多特定路由的特定路由。常規路由(即,使用到特定 Cloudflare 子網路的更細微的路由,而不是到 Cloudflare 的常規路由)。
這些點路由已向其中一個客戶(Allegheny Technologies,AS396531)公佈,該客戶也透過另一家供應商建立了連線。 Allegheny Technologies 將產生的路線廣播給另一家交通提供者(Verizon、AS701)。 由於缺乏對 BGP 公告的適當過濾以及對前綴數量的限制,Verizon 接收了此公告並將生成的 20 個前綴廣播到互聯網的其他部分。 由於特定路由的優先權高於一般路由,因此不正確的前綴由於其粒度而被視為更高的優先權。
結果,許多大型網路的流量開始通過 Verizon 路由到小型供應商 DQE Communications,後者無法處理激增的流量,從而導致崩潰(其效果相當於用一條繁忙的高速公路取代了部分繁忙的高速公路)。鄉村小路)。
為避免未來再發生類似事件
:
- 使用 基於 RPKI(BGP 起源驗證,僅允許接受來自網路擁有者的公告)的公告;
- 限制所有 EBGP 會話接收前綴的最大數量(最大前綴設定將有助於立即丟棄一個會話內 20 萬個前綴的傳輸);
- 基於 IRR 註冊表(Internet 路由註冊表,決定允許指定前綴路由的 AS)套用篩選;
- 在路由器上使用 RFC 8212 中建議的預設阻止設定(「預設拒絕」);
- 停止魯莽地使用 BGP 優化器。
來源: opennet.ru