BGP 体系赞助自治体系 (AS) 在不合收集间路由数据,这些自治体系经由过程互联网上较小的收集将数据发送到目标地,而此次路由泄漏事宜由不测的策略设备掉误引起,影响 Cloudflare 客户之外的外部收集。
在博客中 Cloudflare 表示:
在 1 月 22 日的路由泄漏事宜中,我们造成类似的路由泄漏,我们从部分同业那边获取路由并将其从新发送到位于美国迈阿密的其他同业和供给商。
根据 RFC7908 中的路由泄漏定义,我们在互联网上造成了 3 型(跨对等体泄漏)和 4 型(向对等体泄漏供给商路由)路由泄漏的混淆情况,问题产生原因则是策略变革,本来这个策略变革是用于阻拦迈阿密宣布波哥大年夜的 IPv6 前缀。
因为删除特定前缀列表使得导出策略变得过于宽松,这许可路由类型内部匹配接收所有内部 (iBGP) 的 IPv6 路由器并将其导出到外部。
是以 Cloudflare 在骨干网内部从新分发所有的 IPv6 前缀都相符这个策略,然后主动化体系就将其公告给位于迈阿密的所有 BGP 邻居 (也就是影响这些同业的路由)。
Cloudflare 的自我检查:
路由泄漏可能带来的影响:
当自治体系违背无谷原则(Valley-free Routing),缺点将一个对等体或供给商进修到的路由公告给另一个对等体或供给商时就会产生 BGP 路由泄漏,也就是流量被发送到本来不该该承载这些流量的收集中。
路由策略本身都是各大年夜供给商精心优化后的成果,将流量发送到本不该承载的收集中就可能导致收集拥塞、丢包或者应用次优路径,而当防火墙过滤器仅许可来自特定供给商的流量经由过程时,异常的流量就会被完全丢弃。
无谷原则描述了路由应当若何根据收集之间的营业关系进行传播,当这些规矩被违背时,流量就会被吸引到无法经由过程更长或者不稳定的路径中承载。
除了导致收集拥塞、丢包和流量被丢弃外,此类事宜还可能存在安然隐患,即导致流量经由未经授权的供给商时可能会被供给商拦截或分析个中的数据包。
此次问题出现后不久就被检测到,随后 Cloudflare 工程师手动撤销设备并暂停主动化流程,在 25 分钟内阻拦问题造成的影响,之后触发问题的代码更改也被直接撤销。
Cloudflare 称这起事宜与 2020 年 7 月产生的另一路 BGP 泄漏类似,Cloudflare 将采取办法避免再次出现类似问题,拟议的办法包含增长严格的基于社区的出口保障办法、对策略缺点进行 CI/CD 检查、改进早期检测、验证 RFC9234 以及促进 RPKI ASPA 的采取等。
发表评论 取消回复