• IT-Karriere:
  • Services:

BGP-Routing: Verizon verursacht Internet-Schluckauf

Viele Internetseiten waren gestern aufgrund eines BGP-Routingproblems nicht erreichbar. Cloudflare wirft dem US-Provider Verizon Inkompetenz vor und schreibt, dass sie acht Stunden niemanden erreicht hätten, um das Problem zu beheben.

Artikel veröffentlicht am ,
Mindestens acht Stunden war niemand bei Verizon erreichbar, um ein Routingproblem zu lösen.
Mindestens acht Stunden war niemand bei Verizon erreichbar, um ein Routingproblem zu lösen. (Bild: HelloAnnyong/Wikimedia Commons)

In großen Teilen des Internets kam es gestern zu Verbindungsproblemen. Schuld daran waren fehlerhafte BGP-Routen, die von einem kleinen Provider über Verizon verteilt wurden. Cloudflare erläutert das Problem in einem Blogpost und kritisiert dabei Verizon ungewöhnlich deutlich. Cloudflare schreibt von "Schlamperei oder Faulheit" bei Verizon, außerdem habe man dort über acht Stunden niemanden erreicht, um das Problem zu beheben.

Stellenmarkt
  1. GEMA Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte, München
  2. Berliner Beauftragte für Datenschutz und Informationsfreiheit, Berlin

BGP ist das Protokoll, das den Datenverkehr im Internet zwischen den großen Providern weiterleitet. Aufgrund fehlerhafter Routinginformationen wurden gestern große Mengen an Datenverkehr zu einem kleinen Provider namens DQE weitergeleitet, dessen Netze kamen mit den Datenmengen jedoch nicht klar.

BGP-Optimizer sorgt für falsche Routinginformationen

Der Ursprung des Problems war ein sogenannter BGP-Optimizer der Firma Noction. Der BGP-Optimizer sollte eigentlich nur dazu dienen, im internen Netz von DQE das Routing anzupassen. Hierfür wurden einige BGP-Routen in kleinere Teilrouten aufgespaltet und über interne Router von DQE geleitet. Diese Routinginformationen wurden dann jedoch nicht nur intern verwendet, sondern an den übergeordneten Provider weitergeleitet, die Firma Allegheny. Diese wiederum leitete die falschen Routinginformationen an Verizon weiter. Verizon wiederum verteilte die fehlerhaften BGP-Routen im gesamten BGP-Netz.

BGP funktioniert so, dass spezifischere Routinginformationen immer Vorrang vor allgemeineren Routen haben. Die aufgespalteten Routinginformationen von DQE wurden also von allen Netzbetreibern, die diese erhielten, als relevanter angesehen als die korrekten Informationen für die größeren Netze.

Das Weiterleiten der Routen durch Verizon hätte laut Cloudflare niemals passieren dürfen. So gebe es mehrere Schutzmechanismen, die ein solches Weiterverteilen fehlerhafter Routinginformationen blockieren können. Laut Cloudflare ist es üblich, bei BGP-Verbindungen ein festes Limit zu setzen, wie viele Routinginformationen in einer BGP-Session empfangen werden können und die Verbindung abzubrechen, wenn ungewöhnlich viele Routing-Prefixes empfangen werden.

"Schlampigkeit oder Faulheit" bei Verizon

"Wenn Verizon ein solches Prefix-Limit gehabt hätte, wäre dies nicht passiert", schreibt Cloudflare dazu. "Es kostet einen Provider wie Verizon nichts, solche Limitierungen zu haben. Und es gibt keinen guten Grund, außer Schlamperei oder Faulheit, dass sie keine derartigen Limitierungen haben."

Eine weitere Möglichkeit, derartige Vorfälle zu verhindern, ist eine Filterung auf Basis der Internet Routing Registry. Dabei handelt es sich um eine Datenbank mit Netzwerkinformationen, die zur Filterung von fehlerhaften Routinginformationen genutzt werden kann. Auch hier spart Cloudflare nicht mit Kritik und schreibt, dass es "schockierend" sei, dass Verizon diese Methode offenbar nicht nutzt. Die entsprechende Technologie gibt es demnach seit 24 Jahren.

Als eigentliche Lösung sieht Cloudflare jedoch eine neuere Technik: das Signieren von BGP-Routinginformationen über die Resource Public Key Infrastructure (RPKI). Dabei werden Routinginformationen von den jeweiligen Providern mit Zertifikaten kryptographisch signiert. Cloudflare empfiehlt in seinem Blogpost allen Providern, RPKI zu implementieren. RPKI würde nicht nur solche Vorfälle vermeiden, sondern auch gezielte Angriffe auf das BGP-Routing verhindern.

Acht Stunden niemanden bei Verizon erreicht

Nachdem Cloudflare das Problem analysiert hatte, hat man versucht, die betroffenen Provider zu erreichen. Letztendlich erreichte Cloudflare DQE telefonisch und dort sorgte man dafür, dass die falschen Routen nicht mehr verteilt wurden. Bei Verizon hatte Cloudflare selbst acht Stunden nach dem Vorfall weder telefonisch noch per E-Mail jemanden erreicht, mit dem sie das Problem hätten diskutieren können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. gratis (bis 02. April, 17 Uhr)
  2. (-15%) 42,49€
  3. 6,60€
  4. 27,99€

FoxCore 26. Jun 2019

So eine künstliche Limitierung ist doch nur ein Hack, um ein kaputtes Protokoll nicht aus...

phade 25. Jun 2019

Exakt. Dann probiert man Kontakte aus dem whois, der peering-db etc, bekommt ein Ticket...

makki99 25. Jun 2019

Das hat man schon vor gut 15J diskutiert, jedem Techniker bei RIPE und Co geht (zurecht...

Hotohori 25. Jun 2019

Es ist völlig wurscht wer da kritisiert. Die Kritik ist korrekt und das man 8 Std. lang...


Folgen Sie uns
       


Patrick Schlegels Visitenkarte spielt Musik und würfelt

Eine Visitenkarte muss nicht immer aus langweiligem Papier sein. Patrick Schlegels Visitenkarte hat einen USB-Speicher, spielt Musik und kann würfeln.

Patrick Schlegels Visitenkarte spielt Musik und würfelt Video aufrufen
Microsoft Teams im Alltag: Perfektes Werkzeug, um Effizienz zu vernichten
Microsoft Teams im Alltag
Perfektes Werkzeug, um Effizienz zu vernichten

Wir verwenden Microsofts Chat-Dienst Teams seit vielen Monaten in der Redaktion. Im Alltag zeigen sich so viele Probleme, dass es eigentlich eine Belohnung für alle geben müsste, die das Produkt verwenden.
Von Ingo Pakalski

  1. Coronavirus Microsoft muss einige Azure-Dienste und Teams einschränken
  2. Microsoft Investition in Entwickler von Gesichtserkennung soll enden
  3. Adobe-Fontbibliothek Font-Sicherheitslücke in Windows ohne Fix

Coronavirus: Spiele statt Schule
Coronavirus
Spiele statt Schule

Wer wegen des Coronavirus mit Kindern zu Hause ist, braucht einen spannenden Zeitvertreib. Unser Autor - selbst Vater - findet: Computerspiele können ein sinnvolles Angebot sein. Vorausgesetzt, man wählt die richtigen.
Von Rainer Sigl

  1. Corona Besitzer von Media Markt Saturn beantragt Staatshilfe
  2. Coronakrise EU wertet Kontaktsperren mit Mobilfunkdaten aus
  3. China Bei Huawei füllen sich die Büros nach Corona wieder

IT-Chefs aus Indien: Mehr als nur ein Klischee
IT-Chefs aus Indien
Mehr als nur ein Klischee

In den Vorstandsetagen großer Tech-Unternehmen sind Inder allgegenwärtig. Der Stereotyp des IT-Experten aus Südasien prägt die US-Popkultur. Doch hinter dem Erfolg indischstämmiger Digitalunternehmer steckt viel mehr.
Ein Bericht von Jörg Wimalasena

  1. Container, DevOps, Agilität Runter von der Insel!
  2. Generationenübergreifend arbeiten Bloß nicht streiten
  3. Frauen in der Technik Von wegen keine Vorbilder!

    •  /