短暂停机AWS上月底遭受损失暴露了无数企业应用程序对少数云组件的依赖。Nick Kephart发表了一篇很好的分析在这里这就解释了数据中心提供商Axcelx的路由泄漏是如何导致这次事件的。雷竞技电脑网站这不是一个新问题。错误的BGP广告导致的路由泄漏导致了更大的中断。
例如,2008年,当一家相对较小的运营商巴基斯坦电信公司(PTCL)开始使用YouTube前缀时,YouTube就被关闭了。作为回应,直接同行开始更喜欢ptcl起源的前缀,而不是最初的YouTube广告。这个问题也导致了亚马逊宕机,当一个局外人开始广告属于亚马逊的地址空间,黑洞流量的结果。
这个问题与BGP有关,BGP是一种控制协议,它为互联网提供动力,并使属于不同服务提供商的路由器之间的信息交换成为可能。BGP目前不验证路由的始发人,也不验证该始发人是否是经过授权的始发人。BGP也没有验证所宣传的AS_PATH是否表示了发送者的有效路径。这一缺陷被一种叫做安全来源BGP (soBGP)的新标准解决了,但是在它实现之前,这些类型的事件将继续困扰internet。
与此同时,运营商和云服务提供商可以采取一些措施来防止此类事件的发生。为了把这些放在上下文中,它有助于理解BGP所宣传的是什么类型的信息。三种不同类型的IP地址前缀通常在运营商网络中使用(当然,取决于他们是如何设计的):
- 前缀1型、基础设施:这个ip空间用于为服务提供商的内部基础设施提供寻址;路由器、链接、服务器和其他内部元素。这些资源通常只需要由本地服务提供者访问,因此分配的空间通常不会通知外部各方。它甚至可以使用私有空间(RFC1918)来解决。
- 前缀类型2,客户连接:运营商网络和客户之间的连接也必须有地址。这个空间可以在运营商网络之外进行广告。
- 前缀-3,客户和服务空间:由承运人提供的属于公共服务的客户分配的ip空间或地址。这个空间必须经常为外部Internet连接功能做广告。
因此,运营商为什么不直接屏蔽来自较低层次提供商的非预期ip空间广告,从本质上阻止他们提供传输服务?
运营商没有建立阻止来自其他运营商的意外路由的BGP策略的原因之一是多导航。本质上,当供应商在他们自己的cidr区块外为客户分配空间时,他们会将该路由发布到来自他们自己的自治系统(AS)的BGP中。当他们的一个客户决定多户型时,提供商块的特定于客户的部分也会通过不同的运营商进行广告。旨在阻止此类广告的政策是不可持续的,并将有效地禁用多寻的。
尽管如此,一些简单的策略更改可能有助于避免未来的aws式中断。
- Tier-1运营商应该开始阻止彼此的Type-2区块通过较小的运输提供商交换。例如,除了像Telx或Equinix这样的meet-me交换之外,对于Carrier1和Carrier2来说,除了在多个位置进行对等之外,还经常进行对等。这在两个运营商之间产生了重要的内置冗余。鉴于这个事实,他们真的没有必要接受对方的广告从一个较小的二级运营商。
- 云提供商也需要采取同样的行动。通常,云提供商不是运营商,或者至少从ip空间的角度来看,云运营独立于运营商运营。因此,不同的运营商不需要提供云提供商块的来源,因为它们(云提供商)处理自己的多宿主。在美国,一些主要的网络服务提供商处理了超过95%的互联网流量。与此同时,大多数云流量是由不超过五到七家大型云提供商产生的。因此,如果每个一级运营商和主要的云服务提供商都能阻止来自小型和区域性提供商的非Type-3(客户地址空间)的地址块,那么困扰亚马逊的问题就可以很容易地避免。由于大多数大型运营商使用RPSL来实现策略,这些策略通常可以转换为路由器配置。
- 云提供商和基础设施提供商应该与企业客户合作,以确保用于云服务的地址空间只会泄漏到该企业使用的运营商网络中。这将完全遏制来自第三方无意或非法广告的流量黑洞风险。它还可以防止针对企业使用的特定云资源的ddos攻击。
- 为了补充前面提到的BGP策略,可以对数据平面做同样的工作。单播RFP可以应用于任意已知的直连载波空间的所有节点。这样,就可以避免来自任何大型运营商地址空间的欺骗源地址的DDoS攻击。
尽管BGP很容易受到导致大规模internet中断的路由泄漏的影响,但在使用soBGP或其他机制解决问题之前,我们可以采取一些措施来控制这些事件。