关于路由事件的报告中已经有好几次了,我们谈到了在与客户端的连接处缺少BGP公告过滤器的可能后果。 多数情况下,类似的,不正确的配置通常可以很好地工作-直到有一天,它成为区域或全球范围内的网络异常的罪魁祸首。 而前天,2018年11月25日,这再次发生-这次是在俄罗斯。
在世界标准时间13:00(莫斯科时间16:00),俄罗斯的小型运营商Krek Ltd(
AS57494 )开始宣布其提供商之间的前缀,从而将Rostelecom通信的很大一部分重定向到其网络。 异常影响了4万多个前缀-当然,Krek网络无法承受这样的负载。 结果,俄罗斯联邦有10%到20%的用户无法访问数千种服务,包括诸如Amazon,Youtube,Vkontakte和IVI.RU在线电影院之类的流行服务。
带有5,000多个前缀的事件扩展到了俄罗斯Internet网段,将其他地区的流量吸引到了这个黑洞中。
此路由泄漏是两个相互关联的错误的结果-Krek网络中的BGP配置错误以及Rostelecom网络中的结点没有过滤。 两家运营商都为自己的错误付出了高昂的代价,但这不太可能完全满足失去大量用户的其他服务的所有者的要求。
不惜一切代价返回流量
人们普遍认为,运营商无法从这种异常情况返回流量-别人的路由器不在您的控制范围内。 当然,您可以开始写信给“有罪”的各方,这可以加快恢复过程,但是仍然无法立即将流量返回到您的网络。
但是,还有另一种使用BGP环路检测机制返回正确连接性的方法:如果AS路径包含其自己的AS编号,则网络必须自动重置路由。 因此,如果知道谁是异常源,则可以将其AS添加到路径的开头,从而迫使他重置此路由。
这种AS路径操作可以补充对网络公告的监视,从而提供了一种主动处理诸如路由泄漏之类事件的保证方法。 但是,在使用这种策略时,您应该始终注意检查ROA验证过程结果的有效性。