BGP-Routing: Verizon verursacht Internet-Schluckauf

Viele Internetseiten waren gestern aufgrund eines BGP-Routingproblems nicht erreichbar. Cloudflare wirft dem US-Provider Verizon Inkompetenz vor und schreibt, dass sie acht Stunden niemanden erreicht hätten, um das Problem zu beheben.

Artikel veröffentlicht am ,
Mindestens acht Stunden war niemand bei Verizon erreichbar, um ein Routingproblem zu lösen.
Mindestens acht Stunden war niemand bei Verizon erreichbar, um ein Routingproblem zu lösen. (Bild: HelloAnnyong/Wikimedia Commons)

In großen Teilen des Internets kam es gestern zu Verbindungsproblemen. Schuld daran waren fehlerhafte BGP-Routen, die von einem kleinen Provider über Verizon verteilt wurden. Cloudflare erläutert das Problem in einem Blogpost und kritisiert dabei Verizon ungewöhnlich deutlich. Cloudflare schreibt von "Schlamperei oder Faulheit" bei Verizon, außerdem habe man dort über acht Stunden niemanden erreicht, um das Problem zu beheben.

Stellenmarkt
  1. Entwickler (m/w/d) für Systemkonzepte und Software im Automatisierungsumfeld
    Jetter AG, Ludwigsburg
  2. Mitarbeit im Stabsbereich Qualitätsmanagement (m/w/d) - Schwerpunkt Prüfung
    Hochschule Worms, Worms
Detailsuche

BGP ist das Protokoll, das den Datenverkehr im Internet zwischen den großen Providern weiterleitet. Aufgrund fehlerhafter Routinginformationen wurden gestern große Mengen an Datenverkehr zu einem kleinen Provider namens DQE weitergeleitet, dessen Netze kamen mit den Datenmengen jedoch nicht klar.

BGP-Optimizer sorgt für falsche Routinginformationen

Der Ursprung des Problems war ein sogenannter BGP-Optimizer der Firma Noction. Der BGP-Optimizer sollte eigentlich nur dazu dienen, im internen Netz von DQE das Routing anzupassen. Hierfür wurden einige BGP-Routen in kleinere Teilrouten aufgespaltet und über interne Router von DQE geleitet. Diese Routinginformationen wurden dann jedoch nicht nur intern verwendet, sondern an den übergeordneten Provider weitergeleitet, die Firma Allegheny. Diese wiederum leitete die falschen Routinginformationen an Verizon weiter. Verizon wiederum verteilte die fehlerhaften BGP-Routen im gesamten BGP-Netz.

BGP funktioniert so, dass spezifischere Routinginformationen immer Vorrang vor allgemeineren Routen haben. Die aufgespalteten Routinginformationen von DQE wurden also von allen Netzbetreibern, die diese erhielten, als relevanter angesehen als die korrekten Informationen für die größeren Netze.

Golem Akademie
  1. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    25./26.07.2022, Virtuell
  2. Webentwicklung mit React and Typescript: virtueller Drei-Tage-Workshop
    13.-15.06.2022, virtuell
Weitere IT-Trainings

Das Weiterleiten der Routen durch Verizon hätte laut Cloudflare niemals passieren dürfen. So gebe es mehrere Schutzmechanismen, die ein solches Weiterverteilen fehlerhafter Routinginformationen blockieren können. Laut Cloudflare ist es üblich, bei BGP-Verbindungen ein festes Limit zu setzen, wie viele Routinginformationen in einer BGP-Session empfangen werden können und die Verbindung abzubrechen, wenn ungewöhnlich viele Routing-Prefixes empfangen werden.

"Schlampigkeit oder Faulheit" bei Verizon

"Wenn Verizon ein solches Prefix-Limit gehabt hätte, wäre dies nicht passiert", schreibt Cloudflare dazu. "Es kostet einen Provider wie Verizon nichts, solche Limitierungen zu haben. Und es gibt keinen guten Grund, außer Schlamperei oder Faulheit, dass sie keine derartigen Limitierungen haben."

Eine weitere Möglichkeit, derartige Vorfälle zu verhindern, ist eine Filterung auf Basis der Internet Routing Registry. Dabei handelt es sich um eine Datenbank mit Netzwerkinformationen, die zur Filterung von fehlerhaften Routinginformationen genutzt werden kann. Auch hier spart Cloudflare nicht mit Kritik und schreibt, dass es "schockierend" sei, dass Verizon diese Methode offenbar nicht nutzt. Die entsprechende Technologie gibt es demnach seit 24 Jahren.

Als eigentliche Lösung sieht Cloudflare jedoch eine neuere Technik: das Signieren von BGP-Routinginformationen über die Resource Public Key Infrastructure (RPKI). Dabei werden Routinginformationen von den jeweiligen Providern mit Zertifikaten kryptographisch signiert. Cloudflare empfiehlt in seinem Blogpost allen Providern, RPKI zu implementieren. RPKI würde nicht nur solche Vorfälle vermeiden, sondern auch gezielte Angriffe auf das BGP-Routing verhindern.

Acht Stunden niemanden bei Verizon erreicht

Nachdem Cloudflare das Problem analysiert hatte, hat man versucht, die betroffenen Provider zu erreichen. Letztendlich erreichte Cloudflare DQE telefonisch und dort sorgte man dafür, dass die falschen Routen nicht mehr verteilt wurden. Bei Verizon hatte Cloudflare selbst acht Stunden nach dem Vorfall weder telefonisch noch per E-Mail jemanden erreicht, mit dem sie das Problem hätten diskutieren können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu den aktuellen Blitzangeboten bei Amazon
Verwandte Artikel
artikel-bild
Prozessor
Intel, Qualcomm und Xilinx wollen Huawei wieder beliefern
artikel-bild
TLS
Google und Cloudflare testen Post-Quanten-Kryptographie
artikel-bild
Europa
Mobilfunk zwei Stunden lang über China Telecom geleitet
Meistgelesen
artikel-bild
Vertrauen in die Cloud
Atlassian und Hetzner zeigen, wie es nicht geht
artikel-bild
Studie
Ciscos Webex telefoniert auch stummgeschaltet nach Hause
artikel-bild
Suchmaschine
Duckduckgo und Bing entfernen The Pirate Bay und Youtube-dl
Kommentarübersicht
Hacky
FoxCore 26. Jun 2019

So eine künstliche Limitierung ist doch nur ein Hack, um ein kaputtes Protokoll nicht aus...

Re: Die konnten Verizon nicht erreichen
phade 25. Jun 2019

Exakt. Dann probiert man Kontakte aus dem whois, der peering-db etc, bekommt ein Ticket...

Altbekannte Probleme
makki99 25. Jun 2019

Das hat man schon vor gut 15J diskutiert, jedem Techniker bei RIPE und Co geht (zurecht...

Re: Ein Lob: Problem sehr gut erklärt, Schöner...
Hotohori 25. Jun 2019

+1

Aktuell auf der Startseite von Golem.de
Studie
Ciscos Webex telefoniert auch stummgeschaltet nach Hause

Bei einer Untersuchung der Stummschaltefunktion von Videokonferenzsoftware fiel Ciscos Webex negativ auf.

Studie: Ciscos Webex telefoniert auch stummgeschaltet nach Hause
Artikel
  1. Vertrauen in die Cloud: Atlassian und Hetzner zeigen, wie es nicht geht
    Vertrauen in die Cloud
    Atlassian und Hetzner zeigen, wie es nicht geht

    Die Cloud ist wohl doch nicht so ausfallsicher, wie Unternehmen gern suggerieren. Das zeigen Atlassian und Hetzner eindrucksvoll.
    Ein IMHO von Oliver Nickel

  2. Suchmaschine: Duckduckgo und Bing entfernen The Pirate Bay und Youtube-dl
    Suchmaschine  
    Duckduckgo und Bing entfernen The Pirate Bay und Youtube-dl

    Die Suchmaschinen Duckduckgo und Bing zeigen Suchergebnisse zu Tools oder Webseiten, mit denen Urheberrechtsverletzungen begangen werden könnten, nicht mehr an.

  3. Tiangong: Chinas bisher längste Raumfahrtmission erfolgreich beendet
    Tiangong
    Chinas bisher längste Raumfahrtmission erfolgreich beendet

    Drei Taikonauten waren sechs Monate im All und haben an der chinesischen Raumstation Tiangong gearbeitet. Die nächste Mission ist schon geplant.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt: Breaking Outlet Deals (u. a. SanDisk Ultra 3D 2TB 139€) • Lian Li Odyssey X 355,89€ statt 455€ • be quiet! MC1 Pro 7,99€ • HyperX Cloud II 49€ • Logitech MX Anywhere 2S 35€ • Cooler Master MB500 41,99€ • EVGA CLC 360 71,83€ • Prime Video: Filme leihen für je 0,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /