Bereits mehrmals in den Berichten über Routing-Vorfälle haben wir über die möglichen Folgen des Fehlens von Filtern für BGP-Ankündigungen an den Kreuzungen mit Kunden gesprochen. Eine ähnliche, falsche Konfiguration funktioniert meistens einwandfrei - bis sie eines Tages einer Netzwerkanomalie auf regionaler oder globaler Ebene schuldig wird. Und vorgestern, am 25. November 2018, geschah dies erneut - diesmal in Russland.
Um 13.00 UTC (16:00 Uhr Moskauer Zeit) begann der kleine russische Betreiber Krek Ltd (
AS57494 ), Präfixe zwischen seinen Anbietern bekannt zu geben, wodurch ein erheblicher Teil des Rostelecom-Verkehrs auf sein Netzwerk umgeleitet wurde. Die Anomalie betraf mehr als 40.000 Präfixe - natürlich konnte das Krek-Netzwerk einer solchen Belastung nicht standhalten. Infolgedessen haben 10 bis 20% der Nutzer in der Russischen Föderation den Zugang zu Tausenden von Diensten verloren, darunter beliebte Dienste wie Amazon, Youtube, Vkontakte und IVI.RU Online-Kino.
Mit mehr als 5.000 Präfixen breitete sich der Vorfall über das russische Internetsegment hinaus aus und zog Verkehr aus anderen Regionen in dieses Schwarze Loch.
Dieses Routenleck ist das Ergebnis zweier miteinander verbundener Fehler - Fehler in der BGP-Konfiguration im Krek-Netzwerk und das Fehlen einer Filterung an den Knotenpunkten im Rostelecom-Netzwerk. Beide Betreiber haben einen hohen Preis für ihre eigenen Fehler gezahlt, aber es ist unwahrscheinlich, dass dies die Eigentümer anderer Dienste, die einen erheblichen Teil der Nutzer verloren haben, vollständig zufriedenstellt.
Rückverkehr um jeden Preis
Es wird allgemein angenommen, dass der Betreiber keine Möglichkeit hat, Datenverkehr von einer solchen Anomalie zurückzugeben - der Router eines anderen ist außerhalb Ihrer Kontrolle. Natürlich können Sie damit beginnen, Briefe an die "Schuldigen" zu schreiben. Dies kann den Wiederherstellungsprozess beschleunigen, führt jedoch nicht sofort zum Datenverkehr in Ihr Netzwerk.
Es gibt jedoch noch eine andere Möglichkeit, die korrekte Konnektivität mithilfe des BGP-Schleifenerkennungsmechanismus wiederherzustellen: Das Netzwerk muss die Route automatisch zurücksetzen, wenn der AS-Pfad eine eigene AS-Nummer enthält. Wenn Sie also wissen, wer die Ursache der Anomalie ist, können Sie den AS am Anfang Ihres Pfades hinzufügen und ihn so zwingen, diese Route zurückzusetzen.
Eine solche AS-Pfad-Manipulation kann die Überwachung von Netzwerkansagen ergänzen und bietet eine garantierte Methode zur aktiven Behandlung von Vorfällen wie Routenlecks. Wenn Sie jedoch eine solche Richtlinie verwenden, sollten Sie darauf achten, immer die Gültigkeit des Ergebnisses in Bezug auf das ROA-Validierungsverfahren zu überprüfen.