Abo
  • Services:
Anzeige
Update legte alle Router auf einmal lahm.
Update legte alle Router auf einmal lahm. (Bild: Cloudflare)

Cloudflare: Router-Update fegt 785.000 Websites aus dem Netz

Update legte alle Router auf einmal lahm.
Update legte alle Router auf einmal lahm. (Bild: Cloudflare)

Cloudflare will Webseiten schneller machen und vor Angriffen schützen, doch das Update einer Filterregel auf Cloudflares Routern führte am Wochenende dazu, dass rund 785.000 Websites vorübergehend nicht mehr erreichbar waren.

Rund 785.000 Websites waren am Wochenende für rund eine Stunde offline. Schuld daran war eine neue Filterregel, die Cloudflare auf seinen Routern verteilte. Eigentlich nichts Ungewöhnliches, nimmt Cloudflare doch ständig solche Änderungen an seinen Routern vor. Doch diesmal lief einiges schief.

Anzeige

Cloudflare bietet eine Art Proxy-Dienst an, der vor eine Website geschaltet werden kann. Dazu wird der DNS-Eintrag so geändert, dass Nutzer, die die eigene Website aufrufen, fortan auf den Servern von Cloudflare landen, die dann die Daten von dem eigentlichen Server laden. Zum einen schützt Cloudflare Websites so vor Angriffen, zum anderen werden die Daten optimiert, um die Ladezeiten der Websites zu verkürzen.

Der große Nachteil an diesem Konstrukt: Sind die Server von Cloudflare nicht erreichbar, sind alle Websites offline, die den Dienst benutzen. Damit das nicht passiert, setzt Cloudflare auf eine verteilte Infrastruktur. Die Systeme sind weltweit in 23 Rechenzentren in 14 Ländern verteilt, DNS-Anfragen werden mit Anycast verteilt, so dass es keinen Single-Point-of-Failure gibt. Fällt ein Rechenzentrum aus, gehen die Anfragen an das nächstgelegene.

Doch all das half an diesem Wochenende nichts, denn sämtliche Systeme von Cloudflare waren auf einen Schlag nicht mehr erreichbar, einschließlich Cloudflares DNS-Server und somit auch die Websites aller Cloudflare-Kunden.

Ausgangspunkt war die Änderung einer Filterregel auf Juniper-Routern von Cloudflare. Diese sollte eigentlich dafür sorgen, dass keine Pakete mehr durchgelassen werden, die zwischen 99.971 und 99.985 Byte groß sind. Cloudflares Analysesysteme hatten zuvor festgestellt, dass solche ungewöhnlichen großen Pakete für Angriffe auf die eigenen Systeme genutzt werden.

Für die Verteilung solcher Filterregeln auf seine weltweit verstreuten Router nutzt Cloudflare das von Juniper unterstützte Protokoll Flowspec. So auch in diesem Fall: Flowspec akzeptierte die neue Filterregel und verteilte sie an alle Router von Cloudflare. Statt aber die Regel zu aktivieren, lief der Speicher auf allen Routern voll, bis sie abstürzten.

Kommt es zu einem solchen Router-Absturz, sorgt ein Monitoring-Prozess dafür, dass der jeweilige Router neu gestartet wird. Allerdings stürzten viele der Router in diesem Fall so ab, dass sie eben nicht automatisch neu starteten. Bei einigen klappte das zwar, doch der hereinkommende Traffic war für diese wenigen Systeme, die nun wieder erreichbar waren, zu viel, so dass sie unter der Last zusammenbrachen.

Erst nachdem die Regel auf allen Systemen entfernt und die nicht startenden Router per Hand vor Ort neu gestartet wurden, war Cloudflare und damit auch die Websites der Kunden wieder erreichbar. Der Ausfall dauerte insgesamt 62 Minuten, in einigen Fällen waren Websites aber länger nicht erreichbar, da anfragende Systeme die DNS-Antworten, die sie während des Ausfalls erhielten, gecacht haben.

Cloudflare hat sich mit dem Problem an Juniper gewandt, um herauszufinden, ob die Ursache für den Absturz der Router ein genereller Bug ist oder mit der Konfiguration der eigenen Infrastruktur zu tun hat. Zudem will Cloudflare neue Filterregeln in Zukunft ausgiebiger testen, bevor sie per Flowspec verteilt werden. Und wenn möglich, sollen Filterregeln nur dort eingespielt werden, wo sie benötigt werden.


eye home zur Startseite
nf1n1ty 05. Mär 2013

Nutze einfach Frankfurt für deine Website! Die Dächer da sind auch ziemlich hoch...

fratze123 05. Mär 2013

Ist das sowas wie dieser Opera-Dienst zur "Optimierung" von Websites für Mobilgeräte? Die...

dernurbs 05. Mär 2013

Ja, indem er sich die Werbung anschaut..

holminger 04. Mär 2013

Als ich noch als Teilzeit-Admin gearbeitet habe, habe ich solche Arbeiten zweimal am...

amp amp nico 04. Mär 2013

Und was steht als erstes unter "Verwandte Artikel"? Verwandte Artikel UGNazi...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Braunschweig
  2. Robert Bosch GmbH, Leonberg
  3. über OPTARES GmbH & Co. KG, Großraum München
  4. T-Systems International GmbH, Berlin


Anzeige
Hardware-Angebote
  1. 1.299,00€
  2. (u. a. Asus GTX 1070 Strix OC, MSI GTX 1070 Gaming X 8G und Aero 8G OC)
  3. (Core i5-6500 + Geforce GTX 1060)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Tipps für IT-Engagement in Fernost
  2. Hosting-Modell für flexible On Demand-Services
  3. Kriterien, Vorteile und Kosten/Nutzen von Cloud Services


  1. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  2. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  3. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie

  4. Gigabit-Breitband

    Google Fiber soll Alphabet zu teuer sein

  5. Google-Steuer

    EU-Kommission plädiert für europäisches Leistungsschutzrecht

  6. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"

  7. Pegasus

    Ausgeklügelte Spyware attackiert gezielt iPhones

  8. Fenix Chronos

    Garmins neue Sport-Smartwatch kostet ab 1.000 Euro

  9. C-94

    Cratoni baut vernetzten Fahrradhelm mit Crash-Sensor

  10. Hybridluftschiff

    Airlander 10 streifte Überlandleitung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
­Cybersyn: Chiles Traum von der computergesteuerten Planwirtschaft
­Cybersyn
Chiles Traum von der computergesteuerten Planwirtschaft
  1. Princeton Piton Open-Source-Chip soll System mit 200.000 Kernen ermöglichen
  2. Programmiersprache Go 1.7 läuft schneller und auf IBM-Mainframes
  3. Adecco IBM will Helpdesk-Geschäft in Erfurt und Leipzig loswerden

Thinkpad X1 Carbon 2013 vs 2016: Drei Jahre, zwei Ultrabooks, eine Erkenntnis
Thinkpad X1 Carbon 2013 vs 2016
Drei Jahre, zwei Ultrabooks, eine Erkenntnis
  1. Huawei Matebook im Test Guter Laptop-Ersatz mit zu starker Konkurrenz
  2. iPad Pro Case Razer zeigt flache mechanische Switches
  3. Thinkpwn Lenovo warnt vor mysteriöser Bios-Schwachstelle

Asus PG248Q im Test: 180 Hertz erkannt, 180 Hertz gebannt
Asus PG248Q im Test
180 Hertz erkannt, 180 Hertz gebannt
  1. Raspberry Pi 3 Booten über USB oder per Ethernet
  2. Autonomes Fahren Mercedes stoppt Werbespot wegen überzogener Versprechen
  3. Radeon RX 480 Dank DX12 und Vulkan reicht auch eine Mittelklasse-CPU

  1. Re: Ich empfehle an dieser Stelle: The Truth...

    Proctrap | 01:56

  2. Re: Und der Rest ist Zuckerwatte

    johnsonmonsen | 01:47

  3. Re: iOS, na klar!

    plutoniumsulfat | 01:17

  4. Re: Diebstahl leicht gemacht

    plutoniumsulfat | 01:12

  5. Re: Oder einfach USB kabel

    plutoniumsulfat | 01:08


  1. 15:33

  2. 15:17

  3. 14:29

  4. 12:57

  5. 12:30

  6. 12:01

  7. 11:57

  8. 10:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel