Interneto milžinė „Cloudflare“ praneša, kad jos DNS sprendimo paslauga 1.1.1.1 kai kuriems jos klientams neseniai buvo nepasiekiama arba pablogėjo dėl pasienio šliuzo protokolo (BGP) užgrobimo ir maršruto nutekėjimo.
Incidentas įvyko praėjusią savaitę ir paveikė 300 tinklų 70 šalių. Nepaisant šių skaičių, bendrovė teigia, kad poveikis buvo „gana mažas“, o kai kuriose šalyse vartotojai to net nepastebėjo.
Incidento detalės
„Cloudflare“ teigia, kad birželio 27 d. 18:51 UTC Eletronet SA (AS267613) pradėjo skelbti 1.1.1.1/32 IP adresą savo kolegoms ir tiekėjams.
Šį neteisingą pranešimą priėmė keli tinklai, įskaitant 1 lygio teikėją, kuris jį laikė nuotoliniu suaktyvintu juodosios skylės (RTBH) maršrutu.
Užgrobimas įvyko, nes BGP maršruto parinkimas teikia pirmenybę konkretiausiam maršrutui. AS267613 pranešimas apie 1.1.1.1/32 buvo konkretesnis nei Cloudflare 1.1.1.0/24, todėl tinklai neteisingai nukreipia srautą į AS267613.
Dėl šios priežasties srautas, skirtas Cloudflare 1.1.1.1 DNS sprendėjui, buvo užblokuotas / atmestas, todėl paslauga kai kuriems vartotojams tapo nepasiekiama.
Po minutės, 18:52 UTC, Nova Rede de Telecomunicações Ltda (AS262504) per klaidą nutekėjo 1.1.1.0/24 prieš srovę iki AS1031, o tai išplito toliau, paveikdama visuotinį maršrutą.
Šis nutekėjimas pakeitė įprastus BGP maršruto parinkimo kelius, todėl srautas, skirtas 1.1.1.1, buvo nukreiptas netinkamai, o tai apsunkino užgrobimo problemą ir sukėlė papildomų pasiekiamumo ir delsos problemų.
„Cloudflare“ nustatė problemas apie 20:00 UTC ir išsprendė užgrobimą maždaug po dviejų valandų. Maršruto nutekėjimas buvo pašalintas 02:28 UTC.
Ištaisymo pastangos
Pirmoji „Cloudflare“ reakcija buvo susisiekti su incidente dalyvavusiais tinklais, taip pat išjungti bendravimo seansus su visais probleminiais tinklais, kad būtų sumažintas poveikis ir užkirstas kelias tolesniam neteisingų maršrutų plitimui.
Bendrovė aiškina, kad neteisingi pranešimai neturėjo įtakos vidinio tinklo maršrutizavimui, nes buvo priimta resursų viešojo rakto infrastruktūra (RPKI), dėl kurios buvo automatiškai atmetami negaliojantys maršrutai.
Ilgalaikiai sprendimai, kuriuos „Cloudflare“ pristatė savo pomirtiniame rašte, apima:
- Patobulinkite maršruto nuotėkio aptikimo sistemas įtraukdami daugiau duomenų šaltinių ir integruodami realaus laiko duomenų taškus.
- Skatinti resursų viešojo rakto infrastruktūros (RPKI) taikymą maršruto kilmės patvirtinimui (ROV).
- Skatinti abipusiai sutartų maršrutų saugumo normų (MANRS) principų, apimančių netinkamo priešdėlio ilgio atmetimą ir patikimų filtravimo mechanizmų įgyvendinimą, priėmimą.
- Skatinkite tinklus atmesti IPv4 prefiksus, ilgesnius nei /24 numatytojoje nemokamoje zonoje (DFZ).
- Pasisako už ASPA objektų (šiuo metu parengtų IETF), kurie naudojami AS kelio patvirtinimui BGP pranešimuose, diegimą.
- Ištirkite RFC9234 ir išmetimo kilmės autorizavimo (DOA) diegimo galimybes.