雲耀公司
問題是
這些點路由已向其中一個客戶(Allegheny Technologies,AS396531)公佈,該客戶也透過另一家供應商建立了連線。 Allegheny Technologies 將產生的路線廣播給另一家交通提供者(Verizon、AS701)。 由於缺乏對 BGP 公告的適當過濾以及對前綴數量的限制,Verizon 接收了此公告並將生成的 20 個前綴廣播到互聯網的其他部分。 由於特定路由的優先權高於一般路由,因此不正確的前綴由於其粒度而被視為更高的優先權。
結果,許多大型網路的流量開始通過 Verizon 路由到小型供應商 DQE Communications,後者無法處理激增的流量,從而導致崩潰(其效果相當於用一條繁忙的高速公路取代了部分繁忙的高速公路)。鄉村小路)。
為避免未來再發生類似事件
- 使用
確認 基於 RPKI(BGP 起源驗證,僅允許接受來自網路擁有者的公告)的公告; - 限制所有 EBGP 會話接收前綴的最大數量(最大前綴設定將有助於立即丟棄一個會話內 20 萬個前綴的傳輸);
- 基於 IRR 註冊表(Internet 路由註冊表,決定允許指定前綴路由的 AS)套用篩選;
- 在路由器上使用 RFC 8212 中建議的預設阻止設定(「預設拒絕」);
- 停止魯莽地使用 BGP 優化器。
來源: opennet.ru