Como corrigir vazamentos de rota

Vale ressaltar que a história a seguir é amplamente única.

E foi assim que tudo começou. Em cerca de uma hora, a partir das 19.28 UTC de ontem, 1º de abril de 2020, o maior provedor de serviços de Internet da Rússia - Rostelecom (AS12389) - começou a anunciar prefixos de rede dos maiores players da Internet: Akamai, Cloudflare, Hetzner, Digital Ocean, Amazon AWS e outros famosos nomes. Até que o problema fosse resolvido, os caminhos entre os maiores provedores de nuvem do planeta estavam quebrados - a Internet "piscou".

Esse vazamento de rota foi distribuído com êxito pelo provedor Rascom (AS20764), de onde veio por Cogent (AS174) e, depois de mais alguns minutos, pelo Level3(AS3356) se espalhou por todo o mundo. O vazamento foi tão grave que quase todos os operadores de nível 1 foram afetados pela anomalia.

Parecia o seguinte:



Além disso:



Esse vazamento de rota atingiu 8870 prefixos de rede pertencentes a quase 200 sistemas autônomos. Com muitos anúncios incorretos - nenhum dos quais foi descartado pelos participantes que os receberam. Por fim, a presença de filtros não mudaria o fato de vazamento de rota, mas tornaria sua distribuição um pouco menor. Para avaliar a dinâmica do que aconteceu, você pode ver o exemplo do BGPlay para um dos prefixos da Akamai: https://stat.ripe.net/widget/bgplay#w.resource=2.17.123.0/24

Como escrevemos ontem, todos os engenheiros de rede no momento devem estar totalmente conscientes da correção de suas próprias ações, excluindo a possibilidade de um erro crítico. O erro cometido pela Rostelecom ilustra perfeitamente o quão frágil é o roteamento padronizado da IETF BGP e, especialmente, em momentos tão estressantes em termos de crescimento do tráfego como agora.

Mas o que realmente distingue essa situação de qualquer outra é que a Rostelecom recebeu um aviso do sistema de monitoramento em tempo real Qrator.Radar, entrando em contato rapidamente para obter ajuda na correção das consequências.

Dada a trivialidade de erros no BGP, é extremamente fácil cometer um durante a atual pandemia de coronavírus. Mas com a disponibilidade de dados analíticos, você pode responder rapidamente a uma situação em mudança, o que foi feito colocando um fim ao vazamento e restaurando o roteamento normal.

Recomendamos seriamente que todos os ISPs, com exceção da Rostelecom, pensem em monitorar os anúncios do BGP agora para evitar incidentes em grande escala pela raiz. E, é claro, a Validação de Origem RPKI não é ficção - é o que você precisa fazer agora.