So beheben Sie Routenlecks

Es ist erwähnenswert, dass die folgende Geschichte weitgehend einzigartig ist.

Und so fing es an. Innerhalb einer Stunde, beginnend um 19.28 UTC gestern, 1. April 2020, begann der größte russische Internetdienstanbieter - Rostelecom (AS12389) - Netzwerkpräfixe der größten Internet-Player bekannt zu geben: Akamai, Cloudflare, Hetzner, Digital Ocean, Amazon AWS und andere berühmte Namen. Bis das Problem behoben war, waren die Wege zwischen den größten Cloud-Anbietern der Welt unterbrochen - das Internet "blinzelte".

Dieses Routenleck wurde recht erfolgreich über den Rascom- Anbieter (AS20764) verteilt, von wo aus über Cogent (AS174) und nach einigen weiteren Minuten über Level3(AS3356) hat sich auf der ganzen Welt verbreitet. Das Leck war so schwerwiegend, dass fast alle Tier-1-Betreiber von der Anomalie betroffen waren.

Es sah so aus:



Darüber hinaus:



Dieses Routenleck berührte 8870 Netzwerkpräfixe von fast 200 autonomen Systemen. Mit vielen falschen Ankündigungen - von denen keine von den Teilnehmern verworfen wurde, die sie erhalten haben. Letztendlich würde das Vorhandensein von Filtern die Tatsache der Routenleckage nicht ändern, aber ihre Verteilung etwas verringern. Um die Dynamik des Geschehens zu beurteilen, können Sie im BGPlay-Beispiel nach einem der Akamai-Präfixe suchen: https://stat.ripe.net/widget/bgplay#w.resource=2.17.123.0/24

Wie wir gestern geschrieben haben, sollten sich alle Netzwerktechniker im Moment der Richtigkeit ihrer eigenen Aktionen voll bewusst sein, mit Ausnahme der Möglichkeit eines kritischen Fehlers. Der Fehler von Rostelecom zeigt perfekt, wie fragil das standardisierte IETF-BGP-Routing ist und insbesondere in solch stressigen Zeiten im Hinblick auf das Verkehrswachstum wie jetzt.

Was diese Situation jedoch wirklich von jeder anderen unterscheidet, ist, dass Rostelecom eine Warnung vom Echtzeitüberwachungssystem Qrator.Radar erhalten hat und sich schnell an uns gewandt hat, um Hilfe bei der Korrektur der Folgen zu erhalten.

Angesichts der Trivialität von Fehlern in BGP ist es extrem einfach, einen Fehler während der aktuellen Coronavirus-Pandemie zu machen. Mit der Verfügbarkeit von Analysedaten können Sie jedoch schnell auf eine sich ändernde Situation reagieren, indem Sie das Leck beenden und das normale Routing wiederherstellen.

Wir empfehlen allen Internetdienstanbietern, die nicht Rostelecom sind, dringend, BGP-Ankündigungen zu überwachen, um größere Zwischenfälle im Keim zu vermeiden. Und natürlich ist RPKI Origin Validation keine Fiktion - es ist das, was Sie jetzt tun müssen.