Raksasa internet Cloudflare melaporkan bahwa layanan resolver DNS-nya, 1.1.1.1, baru-baru ini tidak dapat dijangkau atau menurun bagi beberapa pelanggannya karena kombinasi pembajakan Border Gateway Protocol (BGP) dan kebocoran rute.
Insiden tersebut terjadi minggu lalu dan memengaruhi 300 jaringan di 70 negara. Meskipun demikian, perusahaan tersebut mengatakan bahwa dampaknya “cukup rendah” dan di beberapa negara pengguna bahkan tidak menyadarinya.
Detail insiden
Cloudflare mengatakan bahwa pada pukul 18:51 UTC tanggal 27 Juni, Eletronet SA (AS267613) mulai mengumumkan alamat IP 1.1.1.1/32 kepada rekan-rekannya dan penyedia hulu.
Pengumuman yang salah ini diterima oleh beberapa jaringan, termasuk penyedia Tier 1, yang memperlakukannya sebagai rute Remote Triggered Blackhole (RTBH).
Pembajakan terjadi karena perutean BGP mengutamakan rute yang paling spesifik. Pengumuman AS267613 tentang 1.1.1.1/32 lebih spesifik daripada Cloudflare 1.1.1.0/24, yang menyebabkan jaringan salah merutekan lalu lintas ke AS267613.
Akibatnya, lalu lintas yang ditujukan untuk resolver DNS Cloudflare 1.1.1.1 dimasukkan ke lubang hitam/ditolak, dan oleh karena itu, layanan menjadi tidak tersedia bagi beberapa pengguna.
Satu menit kemudian, pada pukul 18:52 UTC, Nova Rede de Telecomunicações Ltda (AS262504) secara keliru membocorkan 1.1.1.0/24 ke hulu ke AS1031, yang menyebarkannya lebih jauh, yang memengaruhi perutean global.
Kebocoran ini mengubah jalur perutean BGP normal, yang menyebabkan lalu lintas yang ditujukan ke 1.1.1.1 menjadi salah rute, memperparah masalah pembajakan dan menyebabkan masalah keterjangkauan dan latensi tambahan.
Cloudflare mengidentifikasi masalah tersebut sekitar pukul 20:00 UTC dan menyelesaikan pembajakan sekitar dua jam kemudian. Kebocoran rute diselesaikan pada pukul 02:28 UTC.
Upaya perbaikan
Baris respons pertama Cloudflare adalah melibatkan jaringan yang terlibat dalam insiden tersebut sekaligus menonaktifkan sesi peering dengan semua jaringan yang bermasalah untuk mengurangi dampak dan mencegah penyebaran rute yang salah lebih lanjut.
Perusahaan menjelaskan bahwa pengumuman yang salah tidak memengaruhi perutean jaringan internal karena mengadopsi Infrastruktur Kunci Publik Sumber Daya (RPKI), yang menyebabkan penolakan otomatis terhadap rute yang tidak valid.
Solusi jangka panjang yang disajikan Cloudflare dalam tulisan postmortemnya meliputi:
- Tingkatkan sistem deteksi kebocoran rute dengan menggabungkan lebih banyak sumber data dan mengintegrasikan titik data waktu nyata.
- Promosikan adopsi Infrastruktur Kunci Publik Sumber Daya (RPKI) untuk Validasi Asal Rute (ROV).
- Mempromosikan penerapan prinsip-prinsip Norma yang Disetujui Bersama untuk Keamanan Routing (MANRS), yang mencakup penolakan panjang awalan yang tidak valid dan penerapan mekanisme penyaringan yang kuat.
- Dorong jaringan untuk menolak awalan IPv4 yang lebih panjang dari /24 di Zona Bebas Default (DFZ).
- Menganjurkan penyebaran objek ASPA (saat ini dirancang oleh IETF), yang digunakan untuk memvalidasi jalur AS dalam pengumuman BGP.
- Jelajahi potensi penerapan RFC9234 dan Discard Origin Authorization (DOA).
