Verizon BGP 路由泄漏，讓半個美國的網路都癱瘓了

日前，由於大型轉運服務商 Verizon 錯誤轉發了一則 BGP 路由廣播，致使流量路由經過了一家小型 ISP，導致了包括亞馬遜、Cloudflare 和 Facebook 等公司的服務無法訪問。

事故的起因是賓夕法尼亞州的一家小型ISP AS33154 - DQE Communications 使用 Noction 的 BGP 優化器優化其內部網路的路由，它的內部路由優化本不應該通告世界其它網路伺服器，然而由於錯誤配置，它向客戶 AS396531 - Allegheny Technologies 宣布了特定的路由信息，然後這些路由信息又發給了轉運服務商 Verizon，而 Verizon 又不加甄選的接受了路由公告，於是互聯網高速公路的巨大流量被路由經過了一條羊腸小道，導致的結果顯而易見。

值得一提的是昨天美國網路服務提供商Cloudflare正在慶祝其即將到來的十歲生日，但是在慶祝之際，伺服器卻跪了，隨後在3：44分，Cloudflare 發布聲明稱「今天早些時候,大範圍的BGP路由泄漏影響了許多 Internet 服務和 Cloudflare 的一部分流量。Cloudflare 的所有系統繼續正常運行,但我們的一部分域的流量無法到達我們。此時,網路中斷已修復,流量級別恢復正常。」

「BGP 充當互聯網的骨幹,通過互聯網傳輸提供商來為流量做路由，比如路由到Cloudflare 等服務。互聯網上有超過70萬條路由。從本質上講,路由泄漏是本地的,並且可能由無意錯誤或惡意行為引起。」

「我們撰寫了大量關於 BGP 的文章,以及我們如何採用 RPKI 來進一步保護它。」

思科所屬公司BGPmon 的創始人Andree Toonk 估測，這起事件影響大約2400個網路和2萬個 IP 地址。

網路公司ThousandEyes 表示，美國、加拿大和英國的用戶在試圖訪問依賴於 Cloudflare 公司的 app 時，遇到「嚴重的數據包丟失」。另外，這起路由泄漏向Cloudflare 公司通常使用的合法的不太指定的路由引入了更指定的路由。

ThousandEyes 公司的 Alex Henthorn-Iwane 表示，「當更加指定的前綴被引入互聯網時，它的路由被優先於不太指定的前綴。而向第三方網引入更指定的路由通常是不允許的行為。實際上，故意引入更指定的前綴是一種 BGP 劫持方法，即犯罪分子如何嘗試從合法服務主機中嗅探流量以獲取網路安全利用。」

NTT Communications 公司的工程師 Job Snijders 對 BGP 優化器的看法更是犀利，認為這些產品應該銷毀。他在2017年寫到，「使用生成虛假 BGP 更指定路由的軟體用於流量工程的做法是不負責任的。你無法保證哪些更加指定的路由永遠不會逃逸於全局 DFZ中。」

Snijders 認為這起事件是「流程和技術方面的災難性失敗」，並再次呼籲「關掉你的 BGP 優化器」。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！