Anzeige
Update legte alle Router auf einmal lahm.
Update legte alle Router auf einmal lahm. (Bild: Cloudflare)

Cloudflare: Router-Update fegt 785.000 Websites aus dem Netz

Update legte alle Router auf einmal lahm.
Update legte alle Router auf einmal lahm. (Bild: Cloudflare)

Cloudflare will Webseiten schneller machen und vor Angriffen schützen, doch das Update einer Filterregel auf Cloudflares Routern führte am Wochenende dazu, dass rund 785.000 Websites vorübergehend nicht mehr erreichbar waren.

Rund 785.000 Websites waren am Wochenende für rund eine Stunde offline. Schuld daran war eine neue Filterregel, die Cloudflare auf seinen Routern verteilte. Eigentlich nichts Ungewöhnliches, nimmt Cloudflare doch ständig solche Änderungen an seinen Routern vor. Doch diesmal lief einiges schief.

Anzeige

Cloudflare bietet eine Art Proxy-Dienst an, der vor eine Website geschaltet werden kann. Dazu wird der DNS-Eintrag so geändert, dass Nutzer, die die eigene Website aufrufen, fortan auf den Servern von Cloudflare landen, die dann die Daten von dem eigentlichen Server laden. Zum einen schützt Cloudflare Websites so vor Angriffen, zum anderen werden die Daten optimiert, um die Ladezeiten der Websites zu verkürzen.

Der große Nachteil an diesem Konstrukt: Sind die Server von Cloudflare nicht erreichbar, sind alle Websites offline, die den Dienst benutzen. Damit das nicht passiert, setzt Cloudflare auf eine verteilte Infrastruktur. Die Systeme sind weltweit in 23 Rechenzentren in 14 Ländern verteilt, DNS-Anfragen werden mit Anycast verteilt, so dass es keinen Single-Point-of-Failure gibt. Fällt ein Rechenzentrum aus, gehen die Anfragen an das nächstgelegene.

Doch all das half an diesem Wochenende nichts, denn sämtliche Systeme von Cloudflare waren auf einen Schlag nicht mehr erreichbar, einschließlich Cloudflares DNS-Server und somit auch die Websites aller Cloudflare-Kunden.

Ausgangspunkt war die Änderung einer Filterregel auf Juniper-Routern von Cloudflare. Diese sollte eigentlich dafür sorgen, dass keine Pakete mehr durchgelassen werden, die zwischen 99.971 und 99.985 Byte groß sind. Cloudflares Analysesysteme hatten zuvor festgestellt, dass solche ungewöhnlichen großen Pakete für Angriffe auf die eigenen Systeme genutzt werden.

Für die Verteilung solcher Filterregeln auf seine weltweit verstreuten Router nutzt Cloudflare das von Juniper unterstützte Protokoll Flowspec. So auch in diesem Fall: Flowspec akzeptierte die neue Filterregel und verteilte sie an alle Router von Cloudflare. Statt aber die Regel zu aktivieren, lief der Speicher auf allen Routern voll, bis sie abstürzten.

Kommt es zu einem solchen Router-Absturz, sorgt ein Monitoring-Prozess dafür, dass der jeweilige Router neu gestartet wird. Allerdings stürzten viele der Router in diesem Fall so ab, dass sie eben nicht automatisch neu starteten. Bei einigen klappte das zwar, doch der hereinkommende Traffic war für diese wenigen Systeme, die nun wieder erreichbar waren, zu viel, so dass sie unter der Last zusammenbrachen.

Erst nachdem die Regel auf allen Systemen entfernt und die nicht startenden Router per Hand vor Ort neu gestartet wurden, war Cloudflare und damit auch die Websites der Kunden wieder erreichbar. Der Ausfall dauerte insgesamt 62 Minuten, in einigen Fällen waren Websites aber länger nicht erreichbar, da anfragende Systeme die DNS-Antworten, die sie während des Ausfalls erhielten, gecacht haben.

Cloudflare hat sich mit dem Problem an Juniper gewandt, um herauszufinden, ob die Ursache für den Absturz der Router ein genereller Bug ist oder mit der Konfiguration der eigenen Infrastruktur zu tun hat. Zudem will Cloudflare neue Filterregeln in Zukunft ausgiebiger testen, bevor sie per Flowspec verteilt werden. Und wenn möglich, sollen Filterregeln nur dort eingespielt werden, wo sie benötigt werden.


eye home zur Startseite
nf1n1ty 05. Mär 2013

Nutze einfach Frankfurt für deine Website! Die Dächer da sind auch ziemlich hoch...

fratze123 05. Mär 2013

Ist das sowas wie dieser Opera-Dienst zur "Optimierung" von Websites für Mobilgeräte? Die...

dernurbs 05. Mär 2013

Ja, indem er sich die Werbung anschaut..

holminger 04. Mär 2013

Als ich noch als Teilzeit-Admin gearbeitet habe, habe ich solche Arbeiten zweimal am...

amp amp nico 04. Mär 2013

Und was steht als erstes unter "Verwandte Artikel"? Verwandte Artikel UGNazi...



Anzeige

Stellenmarkt
  1. über Robert Half Technology, Großraum Frankfurt
  2. Daimler AG, Kamenz
  3. redcoon Logistics GmbH, Erfurt
  4. HELUKABEL GmbH, Hemmingen


Anzeige
Spiele-Angebote
  1. 199,99€
  2. 134,98€
  3. 49,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Netzausbau

    Telekom will ihre Mobilfunkmasten verkaufen

  2. Bruno Kahl

    Neuer BND-Chef soll den Dienst reformieren

  3. Onlinehandel

    Amazon sperrt Konten angeblich nur in seltenen Fällen

  4. The Assembly angespielt

    Verschwörung im Labor

  5. Kreditkarten

    Number26 wird Betrug mit Standortdaten verhindern

  6. Dobrindt

    1,3 Milliarden Euro mehr für Breitbandausbau in Deutschland

  7. Mini ITX OC

    Gigabyte bringt eine 17 cm kurze Geforce GTX 1070

  8. Autonomes Fahren

    Teslas Autopilot war an tödlichem Unfall beteiligt

  9. Tolino Page

    Günstiger Kindle-Konkurrent hat eine bessere Ausstattung

  10. Nexus

    Erste Nougat-Smartphones sollen von HTC kommen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Geforce GTX 1080/1070 im Test: Zotac kann Geforce besser als Nvidia
Geforce GTX 1080/1070 im Test
Zotac kann Geforce besser als Nvidia
  1. Die Woche im Video Superschnelle Rechner, smarte Zähler und sicherer Spam
  2. Geforce GTX 1080/1070 Asus und MSI schummeln mit Golden Samples
  3. Geforce GTX 1070 Nvidia nennt Spezifikationen der kleinen Pascal-Karte

IT und Energiewende: Fragen und Antworten zu intelligenten Stromzählern
IT und Energiewende
Fragen und Antworten zu intelligenten Stromzählern
  1. Smart Meter Bundestag verordnet allen Haushalten moderne Stromzähler
  2. Intelligente Stromzähler Besitzern von Solaranlagen droht ebenfalls Zwangsanschluss
  3. Smart-Meter-Gateway-Anhörung Stromsparen geht auch anders

Telefonabzocke: Dirty Harry erklärt mein Windows für kaputt
Telefonabzocke
Dirty Harry erklärt mein Windows für kaputt
  1. Darknet-Handel Nutzerdaten von Telekom-Kunden werden verkauft
  2. Security Ransomware-Bosse verdienen 90.000 US-Dollar pro Jahr
  3. Festnahme und Razzien Koordinierte Aktion gegen Cybercrime

  1. Re: ist ja wunderbar

    Eheran | 20:40

  2. Re: Die Nvidia wahrheit schmerzt!!!

    ygrello | 20:39

  3. Kurzfristig! Jetzt! Geld!

    Eheran | 20:32

  4. Re: Glasfaser in unterversorgten Gebieten

    brainDotExe | 20:32

  5. Re: Wo ist eigentlich das Problem?

    PaBa | 20:32


  1. 20:04

  2. 17:04

  3. 16:53

  4. 16:22

  5. 14:58

  6. 14:33

  7. 14:22

  8. 13:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel