Вчерашний обвал части интернета, от которого пострадали Cloudflare, Amazon и Facebook, оказался виной локального американского провайдера и сетевой компании Verizon, пишет The Register. То, что простая ошибка привела к подобным последствиям, подчеркивает уязвимость магистрального интернета.

Что произошло

• Накануне, 24 июня, интернет-провайдер из Пенсильвании DQE Communications некорректно сконфигурировал маршрутизацию порядка 2% мирового интернета через свою сеть и сеть клиента — металлургической компании Allegheny Technologies. Источник ошибки был в настройке оптимизатора BGP — основного протокола динамической маршрутизации современного интернета.
• Неверную конфигурацию почему-то принял и передал всему миру владелец шлюза DQE в магистральный интернет — компания Verizon. Allegheny тоже клиент Verizon, и, возможно, это спровоцировало ошибку.
• Трафик, предназначенный для гигантов интернета, пошел через маломощную сеть. Это вызвало каскадные отказы в обслуживании, больше всего от которых пострадали клиенты Cloudflare — защищенного облачного хостинга, «держащего» в том числе приложение для подкастов Overcast и мессенджер Discord. Многие сайты на хостинге были недоступны несколько часов, на пике хостинг лишился 10% трафика.

Цитата. «Сотрудникам Verizon и Noction [разработчик оптимизатора BGP] должно быть очень стыдно за то, что их небрежность затронула Cloudflare и значительную часть интернета. То, что BGP настолько неустойчив, — абсурд. Еще абсурднее то, что Verizon принимает маршрутизацию без простейших фильтров», — заявил Мэтью Принс, руководитель Cloudflare.

Что делать

Вчерашний инцидент показал, что интернет-протокол, о котором и не подозревают большинство пользователей, способен прямо повлиять на их жизнь — и что использовать BGP в подрывных целях очень легко. Похожая ошибка маршрутизации стала причиной беспрецедентного сбоя WhatsАpp, Instagram и Facebook в марте, а сбой Google в ноябре 2018 года вызвал один небольшой нигерийский провайдер.

• Магистральный интернет работает на принципах, отличающихся от «потребительского» интернета, и в эпоху облачных сервисов, использующих его напрямую, IT-командам крупных компаний стоит учитывать эти особенности, отмечает отраслевой ресурс DCD.
• Отраслевая группа по разработке стандартов безопасной маршрутизации  (MANRS) дает четыре простых рекомендации по предотвращению подобных проблем: фильтрация запросов на маршрутизацию, борьба с подменой BGP, координация между провайдерами и проверка на глобальном уровне. Вопрос, почему этим правилам не следуют все участники рынка.

https://twitter.com/eastdakota/status/1143182575680143361