事故的起因是宾夕法尼亚州的一家小型ISP AS33154 - DQE Communications 使用 Noction 的 BGP 优化器优化其内部网络的路由，它的内部路由优化本不应该通告世界其它网络服务器，然而由于错误配置，它向客户 AS396531 - Allegheny Technologies 宣布了特定的路由信息，然后这些路由信息又发给了转运服务商 Verizon，而 Verizon 又不加甄选的接受了路由公告，于是互联网高速公路的巨大流量被路由经过了一条羊肠小道，导致的结果显而易见。

 

值得一提的是昨天美国网络服务提供商Cloudflare正在庆祝其即将到来的十岁生日，但是在庆祝之际，服务器却跪了，随后在3：44分，Cloudflare 发布声明称“今天早些时候,大范围的BGP路由泄漏影响了许多 Internet 服务和 Cloudflare 的一部分流量。Cloudflare 的所有系统继续正常运行,但我们的一部分域的流量无法到达我们。此时,网络中断已修复,流量级别恢复正常。”

 

“BGP 充当互联网的骨干,通过互联网传输提供商来为流量做路由，比如路由到Cloudflare 等服务。互联网上有超过70万条路由。从本质上讲,路由泄漏是本地的,并且可能由无意错误或恶意行为引起。”

 

“我们撰写了大量关于 BGP 的文章,以及我们如何采用 RPKI 来进一步保护它。”

 

思科所属公司BGPmon 的创始人Andree Toonk 估测，这起事件影响大约2400个网络和2万个 IP 地址。

 

网络公司ThousandEyes 表示，美国、加拿大和英国的用户在试图访问依赖于 Cloudflare 公司的 app 时，遇到“严重的数据包丢失”。另外，这起路由泄漏向Cloudflare 公司通常使用的合法的不太指定的路由引入了更指定的路由。

 

ThousandEyes 公司的 Alex Henthorn-Iwane 表示，“当更加指定的前缀被引入互联网时，它的路由被优先于不太指定的前缀。而向第三方网引入更指定的路由通常是不允许的行为。实际上，故意引入更指定的前缀是一种 BGP 劫持方法，即犯罪分子如何尝试从合法服务主机中嗅探流量以获取网络安全利用。”

 

NTT Communications 公司的工程师 Job Snijders 对 BGP 优化器的看法更是犀利，认为这些产品应该销毁。他在2017年写到，“使用生成虚假 BGP 更指定路由的软件用于流量工程的做法是不负责任的。你无法保证哪些更加指定的路由永远不会逃逸于全局 DFZ中。”

 

Snijders 认为这起事件是“流程和技术方面的灾难性失败”，并再次呼吁“关掉你的 BGP 优化器”。

关键词：Verizon BGP，路由泄漏，网络
Verizon BGP 路由泄漏，让半个美国的网络都瘫痪了为中国U网原创文章，在不经过允许的情况下，禁止用于商业用途或随意转载，转载请注明出处，并加上本页链接地址：
http://www.cuwww.com/news/detail-569.html