BGP超级失误:Verizon 搞垮 Cloudflare 和 AWS 等巨头,导致“连锁灾难性故障”
“如果某家小型提供商称他们拥有互联网,通常你会把它过滤掉。”
Verizon在错误接受了美国宾夕法尼亚州一家小型ISP(互联网服务提供商)的网络错误配置后,今天早上害得互联网的众多系统如同掉入黑洞,导致Cloudflare、Facebook、AWS及其他公司纷纷遭遇故障。
AWS通告
本该通过互联网上一些大公司传输的互联网流量却意外通过总部位于匹兹堡的一家钢铁巨头改道传输,这种情况整整持续了近三个小时。
这一切起源于区域性的美国ISP DQE Communications错误地公告了20000多个IP地址前缀(约占整个互联网的2%)的新互联网路由:这则公告告知庞大互联网的骨干网设备,通过DQE及其一个客户:钢铁巨擘Allegheny Technologies传输无数网民的流量。让人匪夷所思的是,互联网上备受信赖的知名品牌Verizon接受了这个重定向,并传递到全世界。之所以出现这种情况,是因为Allegheny也是Verizon的客户:它还向Verizon公告了路由更改,Verizon进一步传播了路由更改。
因此,全球各地的系统都自动更新了,本该通向Facebook和Cloudflare及其他公司的连接最后都通过DQE和Allegheny,DQE和Allegheny因不堪重负而倒垮,导致流量消失于黑洞中。
显示路由泄露的示意图(图片来源:Cloudflare)
该图显示了网络路由如何通过DQE和Allegheny错误地向Verizon公告。
互联网工程师们指责问题出在一款自动网络软件上:Noction开发的BGP优化器,DQE使用该软件改善网络连接。尽管每天都会发生这种错误配置,但是像Verizon这样庞大的美国电信公司居然会传递这么多错误的路由信息?6?7?6?7,还是让人感到颇为沮丧,甚至难以置信。突然的错误更改应该能够被过滤系统发现,根本不被接受。
NTT Communications公司的互联网架构师Job Snijders今天在网络运营商邮件列表上的备忘录中抱怨:“虽然很容易指明BGP优化器是根本原因,但我确实认为我们现在已看到流程和技术方面都出现了连锁灾难性故障。”
Cloudflare的首席技术官的谈话中重申了这个担忧。他称“最糟糕的情况是,我们约10%的流量被转移到了Verizon。”
Graham-Cumming称“美国Verizon的一个客户实际上开始公告:互联网的一大部分属于他们。”他补充道:“不知出于什么原因,Verizon决定将此信息向全球其他地方广而告之。”
他还抨击Verizon没有将这一更改过滤掉:他提到BGP泄露和错误配置时说:“这种情况频频发生,但是如果某家小型提供商称他们拥有互联网,像Verizon这样的大型ISP通常会把它过滤掉。”
是时候解决这个问题了
虽然由于全球网络的基本信任方法(你完全信任他人不提供错误的信息)互联网工程师多年来一直在处理这些故障和问题,近年来BGP泄露已经从令人心烦的问题变成了技术人员认为需要解决的重大漏洞。
犯罪分子和政府层面的间谍已经意识到可以利用这种泄露获取大量的互联网流量:大量数据随后可用于各种可疑的用途,包括监视、破坏和金融盗窃。
不过还是有一些技术修复方法。
一个名为“相互约定的路由安全规范”(MANRS)的重要行业组织有四个主要建议来解决这个问题:两个技术层面的建议和两个文化层面的建议。
两种技术层面的方法是过滤和反欺骗,它们基本上检查来自其他网络运营商的公告,查看它们是否合法,删除任何不合理的公告;文化层面的方法是协调和全球验证,鼓励运营商彼此加强交流、齐心协力,标记并删除任何可疑的BGP更改。
Verizon不是MANRS的成员。
Cloudflare的Graham-Cumming 问道:“Verizon要回答的问题是,为什么不把来自这个小网络的路由过滤掉?”
Verizon就今天的BGP故障称:“今天早些时候,一些[Verizon]FiOS客户的互联网服务出现了间歇性中断。我们的工程师在美国东部时间早上9点左右解决了这个问题。”我们认为今天遇到“间歇性中断”的可不仅仅是“FiOS客户”。
与此同时,DQE的发言人称:今天早些时候,DQE收到警告:第三方ISP无意中将来自我们的一个共同客户的路由向下游传播,结果影响了Cloudflare的服务。我们立即分析了问题,并调整了我们的路由策略,改善了Cloudflare的情况,让他们得以恢复正常运行。DQE持续监控其网络流量,并对出现的任何事件迅速做出响应,以确保为客户提供最长的正常运行时间。
BGP超级失误:Verizon 搞垮 Cloudflare 和 AWS 等巨头,导致“连锁灾难性故障”相关推荐
- 计算机故障维修要遵循什么原则,超级实用的六条法则教你快速搞定电脑故障维修!...
超级实用的六条法则教你快速搞定电脑故障维修! 发布时间:2015-06-03 14:31:39 作者:佚名 我要评论 今天小编给大家推荐的电脑故障维修通用法则,是很实用的哦,大家可以收藏起来好 ...
- nginx upstream配置aws alb域名导致timeout报错
目录 问题描述 问题分析 问题结论 解决方法 问题描述 先贴nginx的配置,下面是我的nginx ingress的upstream配置,将流量转发到aws的 alb 上,通过alb的负载均衡策略, ...
- 【慢雾出品】EOS超级节点安全执行指南
目录 架构核心目标 面临的主要问题 架构核心设计 核心防御 推荐总架构 1. 公开节点(对外公开在社区节点列表里) 2. 私密节点(只对其他可信BP节点私密分享的通信节点) 3. VPN 加密节点(各 ...
- TensorFlow与PyTorch模型部署性能比较
TensorFlow与PyTorch模型部署性能比较 前言 2022了,选 PyTorch 还是 TensorFlow?之前有一种说法:TensorFlow 适合业界,PyTorch 适合学界.这种说 ...
- 2022年了,PyTorch和TensorFlow选哪个?
Datawhale推荐 作者:Ryan O'Connor,来源:机器之心 坊间传闻:「TensorFlow 适合业界,PyTorch 适合学界」.都 2022 年了,还是这样吗? 2022年了,你是选 ...
- 电子器件 释放静电_电子设备仍然是静电损坏的大问题吗?
电子器件 释放静电 All of us have heard the warnings to make sure we are properly grounded when working on ou ...
- Erase flash,Erase NVRAM命令与
Erase flash,Erase NVRAM命令与 2010年08月05日 Erase flash,Erase NVRAM命令与CISCO路由器灾难恢复技术 胡 成 (达县师范高等专科学校网管中心, ...
- 2022年了,PyTorch和TensorFlow你选哪个?
选自AssemblyAI博客 作者:Ryan O'Connor 机器之心编译 机器之心编辑部 坊间传闻:「TensorFlow 适合业界,PyTorch 适合学界」.都 2022 年了,还是这样吗? ...
- 03-2 BGP专有命令--BGP命令与配置手册
Technorati 标签: BGP,配置,CCIE,CCNP,实验 该文档涉及的命令有: bgp fast-external-fallover bgp cluster-ID x.x.x.x/xxxx ...
- AWS S3宕机的启发: 云必须分散化
上周,AWS S3云存储服务中断,互联网圈掀起一番波澜,然而AWS将其因归咎于一名技术人员在例行维修中的失误,关闭了S3子系统的少量服务器,由于一条错误的指令输入,被关闭的服务器比预期要多.事情过去了 ...
最新文章
- yolov5转tensorrt c++
- Docker镜像的目录存储讲解
- 前端学习(1751):前端调试值之编辑源并同步到本地文件
- Effective Java~58. for-each 循环优先于传统的for 循环
- mysql数据库进行更新、插入显示中文乱码问题
- SAP License:学习到底学什么?
- MVC如何分离Controller与View在不同的项目?
- Android学习系列(27)--App缓存管理
- MySQL数据表类型及文件结构
- “你”“我”“他”在Unicode表中的位置。
- 高等数学复习之空间解析几何
- 线程的终止的4种方式
- xadsafe做暗刷_XADsafe去广告热心网友共享规则库部分开源(11月13更新)
- 請教阿泰一個有關水晶報表的問題
- 操作系统接口之批处理作业
- 基于51单片机的硬币电子秤的实现
- 短视频去水印微信小程序,免费去除视频水印
- 改变世界的五位程序员
- Android 存储选择
- 准独角兽已出现,火爆的隐私计算赛道谁是头部玩家?
热门文章
- JVM调优浅谈(转)
- asp.net mvc 如何调用微信jssdk接口:分享到微信朋友(圈)| 分享到qq空间
- SmartBusinessDevFramework架构设计-2:结构图示
- DRBD 管理、故障处理部分
- Springmvc与jasperreport结合生成报表的一种方法
- android 学习之URI
- leetcode[541]翻转字符串里的单词/reverse words in a string 综合考察了字符串的多种操作
- Pr 入门教程,如何进行创意调整?
- Magnet :让Mac上的分屏更好用
- ios开发之验证你的服务器ATS是否PASS