Вчерашний обвал части интернета, от которого пострадали Cloudflare, Amazon и Facebook, оказался виной локального американского провайдера и сетевой компании Verizon, пишет сетевое издание The Bell со ссылкой на The Register. То, что простая ошибка привела к подобным последствиям, подчеркивает уязвимость магистрального интернета.
Накануне, 24 июня, интернет-провайдер из Пенсильвании DQE Communications некорректно сконфигурировал маршрутизацию порядка 2% мирового интернета через свою сеть и сеть клиента — металлургической компании Allegheny Technologies. Источник ошибки был в настройке оптимизатора BGP — основного протокола динамической маршрутизации современного интернета.
Неверную конфигурацию почему-то принял и передал всему миру владелец шлюза DQE в магистральный интернет — компания Verizon. Allegheny тоже клиент Verizon, и, возможно, это спровоцировало ошибку.
Трафик, предназначенный для гигантов интернета, пошел через маломощную сеть. Это вызвало каскадные отказы в обслуживании, больше всего от которых пострадали клиенты Cloudflare — защищенного облачного хостинга, «держащего» в том числе приложение для подкастов Overcast и мессенджер Discord. Многие сайты на хостинге были недоступны несколько часов, на пике хостинг лишился 10% трафика.
«Сотрудникам Verizon и Noction [разработчик оптимизатора BGP] должно быть очень стыдно за то, что их небрежность затронула Cloudflare и значительную часть интернета. То, что BGP настолько неустойчив, — абсурд. Еще абсурднее то, что Verizon принимает маршрутизацию без простейших фильтров», — заявил Мэтью Принс, руководитель Cloudflare.
Вчерашний инцидент показал, что интернет-протокол, о котором и не подозревают большинство пользователей, способен прямо повлиять на их жизнь — и что использовать BGP в подрывных целях очень легко. Похожая ошибка маршрутизации стала причиной беспрецедентного сбоя WhatsАpp, Instagram и Facebook в марте, а сбой Google в ноябре 2018 года вызвал один небольшой нигерийский провайдер.
Магистральный интернет работает на принципах, отличающихся от «потребительского» интернета, и в эпоху облачных сервисов, использующих его напрямую, IT-командам крупных компаний стоит учитывать эти особенности, отмечает отраслевой ресурс DCD.
Отраслевая группа по разработке стандартов безопасной маршрутизации (MANRS) дает четыре простых рекомендации по предотвращению подобных проблем: фильтрация запросов на маршрутизацию, борьба с подменой BGP, координация между провайдерами и проверка на глобальном уровне. Вопрос, почему этим правилам не следуют все участники рынка.
Фото: pixabay.com
![Газета \](/wp-content/uploads/2019/08/gorod_logo_272x90.png "Газета \"){kind=logo}