Déjà à plusieurs reprises dans les rapports sur les incidents de routage, nous avons évoqué les conséquences possibles du manque de filtres pour les annonces BGP lors des jonctions avec les clients. Une configuration similaire et incorrecte fonctionnera parfaitement la plupart du temps - jusqu'à ce qu'elle devienne un jour coupable d'une anomalie de réseau à l'échelle régionale ou mondiale. Et avant-hier, le 25 novembre 2018, cela s'est reproduit - cette fois en Russie.
A 13h00 UTC (16h00 heure de Moscou), le petit opérateur russe Krek Ltd (
AS57494 ) a commencé à annoncer des préfixes entre ses fournisseurs, ce qui a redirigé une partie importante du trafic de Rostelecom vers son réseau. L'anomalie a affecté plus de 40 000 préfixes - bien sûr, le réseau Krek ne pouvait pas supporter une telle charge. En conséquence, de 10 à 20% des utilisateurs de la Fédération de Russie ont perdu l'accès à des milliers de services, y compris des services populaires comme le cinéma en ligne Amazon, Youtube, Vkontakte et IVI.RU.
Avec plus de 5 000 préfixes, l'incident s'est propagé au-delà du segment Internet russe, attirant du trafic en provenance d'autres régions dans ce trou noir.
Cette fuite de route est le résultat de deux erreurs interconnectées - des erreurs dans la configuration BGP dans le réseau Krek et l'absence de filtrage aux jonctions dans le réseau Rostelecom. Les deux opérateurs ont payé le prix fort de leurs propres erreurs, mais il est peu probable que cela satisfasse pleinement les propriétaires d'autres services qui ont perdu une partie importante des utilisateurs.
Trafic de retour Ă tout prix
Il est largement admis que l'opérateur n'a aucun moyen de renvoyer le trafic d'une telle anomalie - le routeur de quelqu'un d'autre est hors de votre contrôle. Bien sûr, vous pouvez commencer à écrire des lettres aux «coupables» - cela peut accélérer le processus de récupération, mais cela ne restituera toujours pas le trafic sur votre réseau instantanément.
Mais il existe un autre moyen de renvoyer la connectivité correcte en utilisant le mécanisme de détection de boucle BGP: le réseau doit réinitialiser automatiquement la route si le chemin AS comprend son propre numéro AS. Par conséquent, si vous savez qui est à l'origine de l'anomalie, vous pouvez ajouter son AS au début de votre chemin, le forçant ainsi à réinitialiser cet itinéraire.
Cette manipulation AS Path peut compléter la surveillance des annonces du réseau, fournissant une méthode garantie de traiter activement les incidents tels que les fuites de route. Mais lorsque vous utilisez une telle politique, vous devez toujours vérifier soigneusement la validité du résultat par rapport à la procédure de validation du ROA.