Falha de roteamento Cloudflare
8 de Julho de 2024

O gigante da internet Cloudflare relatou que seu serviço de DNS resolver, o 1.1.1.1, recentemente ficou inacessível ou teve seu desempenho reduzido para alguns de seus clientes devido a uma combinação de hijacking do Border Gateway Protocol (BGP) e um vazamento de rotas.

O incidente ocorreu na última semana e afetou 300 redes em 70 países.

Apesar destes números, a empresa afirma que o impacto foi "bastante baixo" e que, em alguns países, os usuários nem mesmo notaram.

A Cloudflare informa que às 18:51 UTC do dia 27 de junho, a Eletronet S.A.

(AS267613) começou a anunciar o endereço IP 1.1.1.1/32 para seus parceiros e provedores upstream.

Esse anúncio incorreto foi aceito por várias redes, incluindo um provedor Tier 1, que o tratou como uma rota Remote Triggered Blackhole (RTBH).

O hijack ocorreu porque o roteamento BGP favorece a rota mais específica.

O anúncio de 1.1.1.1/32 feito pela AS267613 foi mais específico do que o 1.1.1.0/24 da Cloudflare, levando as redes a encaminhar o tráfego incorretamente para a AS267613.

Consequentemente, o tráfego destinado ao resolver DNS 1.1.1.1 da Cloudflare foi blackholed/rejeitado, e, portanto, o serviço ficou indisponível para alguns usuários.

Um minuto depois, às 18:52 UTC, a Nova Rede de Telecomunicações Ltda (AS262504) vazou erroneamente 1.1.1.0/24 upstream para a AS1031, que propagou isso ainda mais, afetando o roteamento global.

Este vazamento alterou os caminhos normais de roteamento BGP, fazendo com que o tráfego destinado ao 1.1.1.1 fosse mal direcionado, agravando o problema de hijacking e causando problemas adicionais de acessibilidade e latência.

A Cloudflare identificou os problemas por volta das 20:00 UTC e resolveu o hijacking aproximadamente duas horas depois.

O vazamento de rotas foi resolvido às 02:28 UTC.

A primeira linha de resposta da Cloudflare foi interagir com as redes envolvidas no incidente, além de desabilitar as sessões de peering com todas as redes problemáticas para mitigar o impacto e prevenir a propagação futura de rotas incorretas.

A empresa explica que os anúncios incorretos não afetaram o roteamento da rede interna devido à adoção da Resource Public Key Infrastructure (RPKI), o que levou à rejeição automática das rotas inválidas.

Soluções de longo prazo apresentadas pela Cloudflare em seu relatório incluem:

- Aperfeiçoar sistemas de detecção de vazamento de rotas, incorporando mais fontes de dados e integrando pontos de dados em tempo real.
- Promover a adoção da Resource Public Key Infrastructure (RPKI) para a Validação de Origem de Rotas (ROV).
- Promover a adoção dos princípios de Mutually Agreed Norms for Routing Security (MANRS), que incluem rejeitar comprimentos de prefixo inválidos e implementar mecanismos de filtragem robustos.
- Incentivar as redes a rejeitar prefixos IPv4 maiores que /24 na Default-Free Zone (DFZ).
- Defender a implementação de objetos ASPA (atualmente em rascunho pelo IETF), que são utilizados para validar o caminho AS em anúncios BGP.
- Explorar o potencial de implementação do RFC9234 e do Discard Origin Authorization (DOA).

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...