BGP路由外洩造成全球网路不稳Cloudflare、脸书、Amazon都遭殃
原标题:BGP路由外洩造成全球网路不稳Cloudflare、脸书、Amazon都遭殃
昨天也许有些人无法连至特定的网站、脸书或Amazon,这是因为在世界协调时间(UTC)6月24日上午10点半(约台北时间下午6点半)时,所有透过Verizon自治系统AS701转运的流量都先被导至美国宾州的一家小ISP,造成流量拥塞甚至是消失,波及Cloudflare全球约15%的流量,造成Cloudflare许多网站客户的流量中断,也影响脸书及Amazon流量。
全球网路是由不同的自治系统(Autonomous System)所组成,它们之间利用边界闸道协定(Border Gateway Protocol,BGP)来互连,BGP负责打造网路地图,规画最快的路径,但有时会因配置错误而产生BGP路由外洩,例如一个AS将违反政策或範围的BGP路由资讯传播给其它的AS,不管是这次或是日前欧洲流量被导至中国电信的事件,都是因BGP路由外洩而造成的意外。
Cloudflare的网路工程师Tom Strickx说明,此次路由外洩的始作俑者为美国宾州的一家小型ISP业者DQE Communications,该公司在自家的AS33154自治系统上使用了BGP优化工具,该工具能提供更具体的路由,例如导航到白金汉宫比导航到伦敦更为具体。
DQE把这些路由传送给客户Allegheny Technologies的自治系统AS396531,AS396531再把路由传送到身为网路转运供应商的Verizon(AS701),Verizon理应要能阻挡此一路由外洩,反之Verizon却接受了这些路由,也让经由AS701的流量都採用了DQE所提供的「更具体」的路由,才造成了网路大塞车。
Strickx说,此次的意外虽是因BGP路由外洩而造成,但带来具体路线的BGP优化则让整个情况更加恶化。
此外,Strickx还指责Verizon未作好基本的防护机制,因为有许多方式可以避免这类的BGP路由外洩,包括在一个BGP期间限制所接收的前缀数量,假设前缀数量超过阀值便可关闭该期间;或者是导入基于网路路由注册( Internet Routing Registry,IRR)的过滤机制,以阻止其它网路接受这些出错的具体路线,但Verizon一项都没做,明显过于草率与怠惰。
至于Cloudflare则推荐各界採用资源公钥基础设施(Resource Public Key Infrastructure,RPKI)框架,该框架可过滤来源网路与前缀数量,同时建议拒绝那些太过具体的路由,假设Verizon採用了RPKI,此事也不会发生。
在上次欧洲流量被导至中国电信的事件中,甲骨文安全分析师Doug Madory曾经批评中国电信并未採取路由保障措施,不但广为传播外洩的路由,也未能在事件发生时即时侦测与修复,导致错误存在超过2小时,不过,这次Verizon不但重蹈覆辙,还让意外延续超过8个小时。
-
无线网为什么卡(为什么一到房间无线网很卡)
2022-06-16 -
AWS发表搭载Nvidia A100 GPU的P4执行个体
2022-06-16 -
怎么开服装店(一个新手怎么开服装店)
2022-06-12 -
路由连路由怎么设置(fast路由器设置)
2022-06-09 -
怎么调网络(如何设置宽带连接)
2022-06-07 -
路由器怎么重置(路由器重置后wifi密码是多少)
2022-05-30 -
直播平台哪个好(适合新人的直播平台)
2022-05-30 -
忘记路由器密码怎么办(路由器wifi密码忘记如何重设)
2022-05-20 -
100兆的网速是多少(100兆光纤网速快吗)
2022-05-12 -
咪咕视频流量怎么用(咪咕视频3g定向流量用不了)
2022-05-11 -
为什么wifi老是掉线(wifi几分钟断一次网)
2022-05-11 -
科技快讯:微信小程序广告产品能力升级同时升级流量主数据报表
2022-05-02 -
Netflix开源用来服务1.25亿会员的云端闸道器Zuul 2
2022-04-28 -
Radware:企业有45%的流量来自机器人
2022-04-27 -
科技快讯:360路由器新品今日发布支持WiFi6
2022-04-20