Sudah beberapa kali dalam laporan tentang insiden perutean, kami berbicara tentang kemungkinan konsekuensi dari kurangnya filter untuk pengumuman BGP di persimpangan dengan klien. Konfigurasi yang serupa dan salah sebagian besar waktu akan berfungsi dengan baik - sampai suatu hari ia menjadi bersalah atas anomali jaringan skala regional atau global. Dan sehari sebelum kemarin, 25 November 2018, ini terjadi lagi - kali ini di Rusia.
Pada pukul 13.00 UTC (16:00 waktu Moskow), operator kecil Rusia Krek Ltd (
AS57494 ) mulai mengumumkan awalan di antara para penyedia, sebagai akibatnya dialihkan sebagian besar lalu lintas Rostelecom ke jaringannya. Anomali tersebut mempengaruhi lebih dari 40 ribu awalan - tentu saja, jaringan Krek tidak dapat menahan beban seperti itu. Akibatnya, 10 hingga 20% pengguna di Federasi Rusia kehilangan akses ke ribuan layanan, termasuk yang populer seperti Amazon, Youtube, Vkontakte, dan bioskop online IVI.RU.
Dengan lebih dari 5.000 awalan, insiden itu menyebar di luar segmen Internet Rusia, menarik lalu lintas dari daerah lain ke dalam lubang hitam ini.
Bocoran rute ini adalah hasil dari dua kesalahan yang saling berhubungan - kesalahan dalam konfigurasi BGP di jaringan Krek dan tidak adanya penyaringan di persimpangan di jaringan Rostelecom. Kedua operator membayar harga tinggi untuk kesalahan mereka sendiri, tetapi ini tidak mungkin sepenuhnya memuaskan pemilik layanan lain yang telah kehilangan sebagian besar pengguna.
Kembalikan lalu lintas di semua biaya
Dipercaya secara luas bahwa operator tidak memiliki cara untuk mengembalikan lalu lintas dari anomali seperti itu - router orang lain di luar kendali Anda. Tentu saja, Anda dapat mulai menulis surat kepada pihak yang "bersalah" - ini dapat mempercepat proses pemulihan, tetapi masih tidak akan mengembalikan lalu lintas ke jaringan Anda secara instan.
Tetapi ada cara lain untuk mengembalikan konektivitas yang benar dengan menggunakan mekanisme deteksi loop BGP: jaringan harus secara otomatis mengatur ulang rute jika AS Path menyertakan nomor AS sendiri. Karena itu, jika Anda tahu siapa sumber anomali, Anda dapat menambahkan SA-nya ke awal jalur Anda, sehingga memaksanya untuk mengatur ulang rute ini.
Manipulasi AS Path seperti itu dapat melengkapi pemantauan pengumuman jaringan, menyediakan metode yang dijamin untuk secara aktif menangani insiden seperti kebocoran rute. Tetapi ketika menggunakan kebijakan seperti itu, Anda harus berhati-hati selalu memeriksa validitas hasil sehubungan dengan prosedur validasi ROA.