Cloudflare

Resolviendo el "PMTUD Black Hole" con Path MTU Discovery activo en el cliente Cloudflare One

network-partition

causa raíz

Timeline del incidente

· Usuario final

Usuarios experimentan interrupciones o lentitud en conexiones (ej. subidas de archivos grandes, videollamadas, SSH) debido a paquetes demasiado grandes para la ruta de red.

· Infraestructura de red legada (routers, firewalls)

Routers o middleboxes intermedios con MTU más bajas silenciosamente descartan paquetes grandes, sin enviar mensajes ICMP de 'Destination Unreachable'.

· Cliente de red

El remitente (cliente) continúa enviando paquetes grandes, esperando una respuesta que nunca llega, llevando a timeouts y conexiones 'zombie'.

· Cloudflare Engineering

Implementación de Path MTU Discovery (PMTUD) activo en el cliente Cloudflare One, utilizando el protocolo MASQUE sobre QUIC.

· Cloudflare One Client

El cliente Cloudflare One envía proactivamente paquetes cifrados de varios tamaños al edge de Cloudflare para sondear la MTU de la ruta.

· Cloudflare One Client

El cliente ajusta dinámicamente su MTU de interfaz virtual basándose en las respuestas (o falta de ellas) de los sondeos, optimizando el tamaño del paquete.

· Cloudflare One Client

Restauración de la estabilidad y rendimiento de la conexión para los usuarios, incluso en redes restrictivas o cambiantes.

Análisis técnico

El incidente descrito, conocido como "PMTUD Black Hole", surge de una incompatibilidad fundamental entre los protocolos de seguridad modernos con mayor overhead de paquetes y la infraestructura de red legada. Los protocolos modernos, como los utilizados por el cliente Cloudflare One, encapsulan datos con metadatos y cifrado adicionales, lo que aumenta el tamaño efectivo de los paquetes. La infraestructura de red antigua, especialmente routers y firewalls, a menudo tiene una expectativa rígida de un Maximum Transmission Unit (MTU) de 1500 bytes y puede no manejar correctamente paquetes más grandes.

La causa raíz de la "agujero negro" es el fallo de los dispositivos de red intermedios en adherirse al comportamiento esperado del Path MTU Discovery (PMTUD). Cuando un paquete excede la MTU de un segmento de red, el router debería enviar un mensaje ICMP "Destination Unreachable" (Tipo 3, Código 4) de vuelta al remitente, indicando la MTU máxima permitida. Sin embargo, muchos firewalls y middleboxes están configurados para descartar silenciosamente estos mensajes ICMP por razones de seguridad o por una configuración incorrecta, creando un "black hole" para el feedback crítico. Sin esta retroalimentación, el remitente continúa enviando paquetes de tamaño excesivo que son descartados, lo que lleva a timeouts de conexión y una experiencia de usuario degradada.

Las salvaguardas existentes, como el PMTUD pasivo basado en ICMP, fallaron porque dependían de un comportamiento cooperativo de la red que no siempre se cumple en el mundo real. La solución de Cloudflare aborda esto con un PMTUD activo y end-to-end, aprovechando el protocolo MASQUE sobre QUIC. Al sondear proactivamente la ruta con paquetes de diferentes tamaños y observar las respuestas (o la falta de ellas) desde el edge de Cloudflare, el cliente puede determinar la MTU efectiva de la ruta sin depender de los mensajes ICMP que pueden ser bloqueados. Esto permite una adaptación dinámica y resiliente al tamaño de paquete óptimo, mitigando el impacto de la infraestructura de red no cooperativa.

Remediaciones y action items

✓ Implementación de Path MTU Discovery (PMTUD) activo en el cliente Cloudflare One utilizando el protocolo MASQUE sobre QUIC.
✓ Sondeo proactivo de la ruta de red con paquetes cifrados de tamaños variables para determinar la MTU efectiva.
✓ Ajuste dinámico de la MTU de la interfaz virtual del cliente en función de los resultados del sondeo para optimizar el flujo de paquetes.

Lecciones para arquitectos

→ No confiar en el comportamiento ideal de la red; diseñar para fallos silenciosos y no cooperativos.
→ Implementar mecanismos de descubrimiento de capacidad de ruta activos y end-to-end en lugar de depender de protocolos de señalización pasivos.
→ Considerar el overhead de los protocolos de seguridad modernos al diseñar la interacción con infraestructura de red legada.
→ Priorizar la resiliencia de la conexión a nivel de aplicación frente a la volatilidad de la red subyacente.
→ Utilizar protocolos de transporte modernos (ej. QUIC) que permitan una mayor flexibilidad y control sobre la gestión de paquetes.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp