Отчего упал Интернет

Функционирование множества веб-сайтов было нарушено в понедельник днем, после того как маршрутизаторы Juniper Network, использующие ОС JunOS версий 10.2 и 10.3, обресетили Border Gateway Protocol (BGP) соединение.

Проблема затронула нескольких интернет-провайдеров и фирм, среди которых Level3. Она подтвердила, что проблема была вызвана маршрутизаторами в ее сети.

«Утром в начале десятого по восточному времени, в связи с ошибкой некоторых маршрутизаторов, сеть Level 3 претерпела несколько сбоев на территории Северной Америки и Европы«, — сообщила компания.

«Наши технические специалисты быстро работали, чтобы вернуть системы онлайн. На этот раз все проблемы с соединением были решены, и мы упорно работаем с поставщиками нашего оборудования, чтобы определить точную причину сбоя и убедиться в стабильности всех систем».

В понедельник вечером компания начала уведомлять клиентов, что проблема была решена.

«Теперь мы можем подтвердить, что проблемы с соединением, с которыми мы столкнулись днем, были решены примерно к 16:00», — сообщила компания. «Мы можем также подтвердить, что ключевой причиной инцидента стал сбой в транзитной сети Level 3, вызвавший перебои в соединении в определенных направлениях».

Для справки: Level 3 Communications, Inc. — американская компания, работающая в сфере телекоммуникаций и являющаяся одним из крупнейших в мире оператором сетей передачи данных. Владеет одной из самых больших сетей магистральных каналов передачи данных — около 75 тыс. км. Штаб-квартира в Брумфилде, Колорадо, США.

Компания обеспечивала основной транспорт, IP, передачу голоса, видео и контента для средних и крупных интернет-операторов в Северной Америке, Латинской Америке, Европе и некоторых городах Азии. Уровень 3 также был крупнейшим конкурентоспособным поставщиком услуг местной телефонной связи (CLEC) и третьим по величине поставщиком оптоволоконного доступа в Интернет (в зависимости от покрытия) в США.

31 октября 2016 года CenturyLink объявила о приобретении Level 3 Communications, так что с 2017 года это подразделение CenturyLink. CenturyLink, Inc. — американская телекоммуникационная компания, предоставляющая широкий спектр услуг связи. Занимает третье место в США в этой отрасли после AT&T и Verizon.

А теперь зацените — эта новость от 08.11.2011 года. Проблемы с маршрутизаторами Juniper Networks были давно. И сейчас снова произошло то же самое. Никогда такого не было, и вот опять! (с) Черномырдин

Juniper Networks выпустила семь «советов» (на самом деле — заплаток, закрывающих дыры в системе) по безопасности для своих продуктов, включая исправление для неприятной ошибки, которая может быть использована для сбоя роутеров компании.

Интересно, что этот «поставщик маршрутизаторов номер два в мире» не выпускает общедоступную информацию о безопасности для любой из ошибок своих продуктов — эта информация доступна только для зарегистрированных клиентов. Но в этот раз дерьмо таки вытекло на всеобщее обозрение, и мир узнал, что:

«Все маршрутизаторы, использующие операционную систему JunOS, подвержены этой атаке, но любая версия ОС, построенная после 28 января 2009 года, включает в себя патч против неё», говорится в рекомендациях Juniper.

Насколько этот патч эффективен — мы все увидели на днях, когда сети упали.

Маршрутизаторы JUNIPER (установленные в России) в 9 часов по Гринвичу получили BGP–анонс (маршрутный протокол) с префиксом от провайдера Telia Company. Анонс не смогли обработать только джуниперы с версией прошивки 16.7, в Ростелекоме и у некоторых других операторов вышли из строя ряд маршрутизаторов этой марки.

А потому что понабрали сисадминов по объявлениям, а они вместо расово правильного Хуавея накупили дерьма.

Драть, прошивка уже версии 16.7 — а дыры как были еще во времена 10.2 и 10.3, так и остались.

Многие пишут, что маршрутизаторы JUNIPER американские. Увы, но американские они чисто номинально, реально они — ИНДИЙСКИЕ. Да-да. Это такая забавная панама — внутренняя ОС слеплена из FreeBSD, заказные в Китае микрухи Junos Trio, чтобы никто не мог впрямую это копировать, и всё такое. Бангалор такой Бангалор.

Вот товарищи пишут:

Компания Juniper Networks, при условии того, что платим колоссальные деньги на сервисный контракт («Next business day”), условие которого подразумевает замену оборудования производителем на следующий рабочий день — не делает ничего. Сдох роутер — и две недели ждали замены. Всё это время региональная сеть лежала.

По бумагам роутеры якобы очень быстрые. На самом деле это, разумеется, индийское нахлебалово. Фактически эти «роутеры» не роутеры, а коммутаторы пакетов. Идея состоит в том, что вместо анализа и маршрутизации каждого пакета анализируется TCP соединение в момент его установления, соединению присваивается номер, этот номер цепляется ко всем последующим пакетам, и дальше вся куча пакетов этого соединения льется по фиксированному маршруту, соответствующему номеру.

Это развитие идеи так называемых Network Switches Level 3 (сетевых коммутаторов, умеющих динамически формировать правила коммутации за счет анализа TCP соединений). И еще со времен этих коммутаторов известны потенциальные дыры такого подхода. Но индусы же, им же надо как-то конкурировать с Циской и Хуавеем — вот они и конкурируют, показывают рекордные цифры полосы пропускания. А то, что при этом наблюдается неполная изоляция пакетов — то есть в чужую сеть могут пролетать пакеты из другой сети, возможно, содержащие критические для безопасности данные — индусам и дела нету. Равно как и коммерческим провайдерам. Главное, чтобы работало подешевле и побыстрее, тяп-ляп и в продакшен, пипл хавает.

Основных производителей магистральных маршрутизаторов сейчас три:

Cisco: Основатель — Леонард Боскак, ​​Сэнди Лернер (Соединенные Штаты Америки).
Juniper: Основатель — Прадип Синдху (Индия).
Huawei: Основатель — REN Zhengfei (Китай).
Alcatel-Lucent сошел с гонки, продался Nokia и не представляет интереса.

Там, где Хуавей обещает относительно честные 6.4 Тбит/с пропускной способности внутренней магистрали маршрутизатора, Джунипер бестрепетно обещает 80 Тбит/с. Ничего похожего там, конечно, нет и близко — но идиоты, которых всякие телекомы понабрали по объявлениям, вместо реальных стресс-тестов оборудования выбирают его по рекламным проспектам.

Ну а потом начинается — «ой, маршрутизаторы упали».

PS. Вы спросите — есть ли в России свои собственные маршрутизаторы? Есть, как не быть — вот вам ростеховский ММСН:

Это тот самый «Маршрутизатор мультипротокольный специального назначения» (ММСН), который гендиректор компании Павел Смирнов охарактеризовал как первый серийный «честно отечественный» российский маршрутизатор. Ценник — 435 тысяч рублей. Что несколько дешевле ближайшего аналога от Cisco, но дороже Хуавея.

На ступень ниже стоит изделие от компании NSG. Это российский разработчик и производитель телекоммуникационного оборудования, который приступил к серийному производству маршрутизаторов серии NSG-3000 на основе процессора Байкал-Т1 (BE-T1000) российской компании «Байкал Электроникс».

Понятно, что это оборудование не того класса, как старшие линейки Циско, Хуавей и Джунипер, прости Господи. Но строить работоспособные сети полностью на отечественном оборудовании Россия может, и, кстати, делает это — но пока не в коммерческом сегменте. В коммерческом сегменте у нас сидят сисадминами нанятые по объявлениям белорусы и хохлы, а оборудование закупается то, с которого дадут наибольший откат.

Но на самом деле и на Западе ситуация точно такая же. Так что сети будут продолжать падать.

Материал: Proper