Abo
  • IT-Karriere:

BGP-Routing: Verizon verursacht Internet-Schluckauf

Viele Internetseiten waren gestern aufgrund eines BGP-Routingproblems nicht erreichbar. Cloudflare wirft dem US-Provider Verizon Inkompetenz vor und schreibt, dass sie acht Stunden niemanden erreicht hätten, um das Problem zu beheben.

Artikel veröffentlicht am ,
Mindestens acht Stunden war niemand bei Verizon erreichbar, um ein Routingproblem zu lösen.
Mindestens acht Stunden war niemand bei Verizon erreichbar, um ein Routingproblem zu lösen. (Bild: HelloAnnyong/Wikimedia Commons)

In großen Teilen des Internets kam es gestern zu Verbindungsproblemen. Schuld daran waren fehlerhafte BGP-Routen, die von einem kleinen Provider über Verizon verteilt wurden. Cloudflare erläutert das Problem in einem Blogpost und kritisiert dabei Verizon ungewöhnlich deutlich. Cloudflare schreibt von "Schlamperei oder Faulheit" bei Verizon, außerdem habe man dort über acht Stunden niemanden erreicht, um das Problem zu beheben.

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. ESWE Versorgungs AG, Wiesbaden

BGP ist das Protokoll, das den Datenverkehr im Internet zwischen den großen Providern weiterleitet. Aufgrund fehlerhafter Routinginformationen wurden gestern große Mengen an Datenverkehr zu einem kleinen Provider namens DQE weitergeleitet, dessen Netze kamen mit den Datenmengen jedoch nicht klar.

BGP-Optimizer sorgt für falsche Routinginformationen

Der Ursprung des Problems war ein sogenannter BGP-Optimizer der Firma Noction. Der BGP-Optimizer sollte eigentlich nur dazu dienen, im internen Netz von DQE das Routing anzupassen. Hierfür wurden einige BGP-Routen in kleinere Teilrouten aufgespaltet und über interne Router von DQE geleitet. Diese Routinginformationen wurden dann jedoch nicht nur intern verwendet, sondern an den übergeordneten Provider weitergeleitet, die Firma Allegheny. Diese wiederum leitete die falschen Routinginformationen an Verizon weiter. Verizon wiederum verteilte die fehlerhaften BGP-Routen im gesamten BGP-Netz.

BGP funktioniert so, dass spezifischere Routinginformationen immer Vorrang vor allgemeineren Routen haben. Die aufgespalteten Routinginformationen von DQE wurden also von allen Netzbetreibern, die diese erhielten, als relevanter angesehen als die korrekten Informationen für die größeren Netze.

Das Weiterleiten der Routen durch Verizon hätte laut Cloudflare niemals passieren dürfen. So gebe es mehrere Schutzmechanismen, die ein solches Weiterverteilen fehlerhafter Routinginformationen blockieren können. Laut Cloudflare ist es üblich, bei BGP-Verbindungen ein festes Limit zu setzen, wie viele Routinginformationen in einer BGP-Session empfangen werden können und die Verbindung abzubrechen, wenn ungewöhnlich viele Routing-Prefixes empfangen werden.

"Schlampigkeit oder Faulheit" bei Verizon

"Wenn Verizon ein solches Prefix-Limit gehabt hätte, wäre dies nicht passiert", schreibt Cloudflare dazu. "Es kostet einen Provider wie Verizon nichts, solche Limitierungen zu haben. Und es gibt keinen guten Grund, außer Schlamperei oder Faulheit, dass sie keine derartigen Limitierungen haben."

Eine weitere Möglichkeit, derartige Vorfälle zu verhindern, ist eine Filterung auf Basis der Internet Routing Registry. Dabei handelt es sich um eine Datenbank mit Netzwerkinformationen, die zur Filterung von fehlerhaften Routinginformationen genutzt werden kann. Auch hier spart Cloudflare nicht mit Kritik und schreibt, dass es "schockierend" sei, dass Verizon diese Methode offenbar nicht nutzt. Die entsprechende Technologie gibt es demnach seit 24 Jahren.

Als eigentliche Lösung sieht Cloudflare jedoch eine neuere Technik: das Signieren von BGP-Routinginformationen über die Resource Public Key Infrastructure (RPKI). Dabei werden Routinginformationen von den jeweiligen Providern mit Zertifikaten kryptographisch signiert. Cloudflare empfiehlt in seinem Blogpost allen Providern, RPKI zu implementieren. RPKI würde nicht nur solche Vorfälle vermeiden, sondern auch gezielte Angriffe auf das BGP-Routing verhindern.

Acht Stunden niemanden bei Verizon erreicht

Nachdem Cloudflare das Problem analysiert hatte, hat man versucht, die betroffenen Provider zu erreichen. Letztendlich erreichte Cloudflare DQE telefonisch und dort sorgte man dafür, dass die falschen Routen nicht mehr verteilt wurden. Bei Verizon hatte Cloudflare selbst acht Stunden nach dem Vorfall weder telefonisch noch per E-Mail jemanden erreicht, mit dem sie das Problem hätten diskutieren können.



Anzeige
Top-Angebote
  1. 228,85€
  2. 199,00€
  3. 61,90€
  4. 51,90€

FoxCore 26. Jun 2019

So eine künstliche Limitierung ist doch nur ein Hack, um ein kaputtes Protokoll nicht aus...

phade 25. Jun 2019

Exakt. Dann probiert man Kontakte aus dem whois, der peering-db etc, bekommt ein Ticket...

makki99 25. Jun 2019

Das hat man schon vor gut 15J diskutiert, jedem Techniker bei RIPE und Co geht (zurecht...

Hotohori 25. Jun 2019

Es ist völlig wurscht wer da kritisiert. Die Kritik ist korrekt und das man 8 Std. lang...


Folgen Sie uns
       


Gears of War 5 - Fazit

Spektakulär inszenierte Action ist die Spezialität von Gears of War, und natürlich setzt auch Gears 5 auf Bombast und krachende Effekte.

Gears of War 5 - Fazit Video aufrufen
Sonos Move im Test: Der vielseitigste Lautsprecher von Sonos
Sonos Move im Test
Der vielseitigste Lautsprecher von Sonos

Der Move von Sonos überzeugt durch Bluetooth und ist dank Akku und stabilem Gehäuse vorzüglich für den Außeneinsatz geeignet. Bei den Funktionen ist der Lautsprecher leider nicht so smart wie er sein könnte.
Ein Test von Ingo Pakalski

  1. Update für Multiroom-Lautsprecher Sonos-App spielt keine lokalen Inhalte mehr vom iPhone ab
  2. Smarter Lautsprecher Erster Sonos-Lautsprecher mit Akku und Bluetooth
  3. Soundbars Audiohersteller Teufel investiert in eigene Ladenkette

Kryptomining: Wie Bitcoin die Klimakrise anheizt
Kryptomining
Wie Bitcoin die Klimakrise anheizt

Die Kryptowährung Bitcoin baut darauf, dass Miner darum konkurrieren, wer Rechenaufgaben am schnellsten löst. Das braucht viel Strom - und führt dazu, dass Bitcoin mindestens so viel Kohlendioxid produziert wie ein kleines Land. Besserung ist derzeit nicht in Sicht.
Von Hanno Böck

  1. Kryptowährungen China will Bitcoin, Ethereum und Co. komplett verbieten
  2. Quadrigacx 137 Millionen US-Dollar in Bitcoins verschwunden
  3. Landkreis Zwickau Krypto-Mining illegal am Stromzähler vorbei

Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

    •  /