• IT-Karriere:
  • Services:

BGP-Routing: Verizon verursacht Internet-Schluckauf

Viele Internetseiten waren gestern aufgrund eines BGP-Routingproblems nicht erreichbar. Cloudflare wirft dem US-Provider Verizon Inkompetenz vor und schreibt, dass sie acht Stunden niemanden erreicht hätten, um das Problem zu beheben.

Artikel veröffentlicht am ,
Mindestens acht Stunden war niemand bei Verizon erreichbar, um ein Routingproblem zu lösen.
Mindestens acht Stunden war niemand bei Verizon erreichbar, um ein Routingproblem zu lösen. (Bild: HelloAnnyong/Wikimedia Commons)

In großen Teilen des Internets kam es gestern zu Verbindungsproblemen. Schuld daran waren fehlerhafte BGP-Routen, die von einem kleinen Provider über Verizon verteilt wurden. Cloudflare erläutert das Problem in einem Blogpost und kritisiert dabei Verizon ungewöhnlich deutlich. Cloudflare schreibt von "Schlamperei oder Faulheit" bei Verizon, außerdem habe man dort über acht Stunden niemanden erreicht, um das Problem zu beheben.

Stellenmarkt
  1. SV Informatik GmbH, Stuttgart
  2. NÜRNBERGER Versicherung, Nürnberg

BGP ist das Protokoll, das den Datenverkehr im Internet zwischen den großen Providern weiterleitet. Aufgrund fehlerhafter Routinginformationen wurden gestern große Mengen an Datenverkehr zu einem kleinen Provider namens DQE weitergeleitet, dessen Netze kamen mit den Datenmengen jedoch nicht klar.

BGP-Optimizer sorgt für falsche Routinginformationen

Der Ursprung des Problems war ein sogenannter BGP-Optimizer der Firma Noction. Der BGP-Optimizer sollte eigentlich nur dazu dienen, im internen Netz von DQE das Routing anzupassen. Hierfür wurden einige BGP-Routen in kleinere Teilrouten aufgespaltet und über interne Router von DQE geleitet. Diese Routinginformationen wurden dann jedoch nicht nur intern verwendet, sondern an den übergeordneten Provider weitergeleitet, die Firma Allegheny. Diese wiederum leitete die falschen Routinginformationen an Verizon weiter. Verizon wiederum verteilte die fehlerhaften BGP-Routen im gesamten BGP-Netz.

BGP funktioniert so, dass spezifischere Routinginformationen immer Vorrang vor allgemeineren Routen haben. Die aufgespalteten Routinginformationen von DQE wurden also von allen Netzbetreibern, die diese erhielten, als relevanter angesehen als die korrekten Informationen für die größeren Netze.

Das Weiterleiten der Routen durch Verizon hätte laut Cloudflare niemals passieren dürfen. So gebe es mehrere Schutzmechanismen, die ein solches Weiterverteilen fehlerhafter Routinginformationen blockieren können. Laut Cloudflare ist es üblich, bei BGP-Verbindungen ein festes Limit zu setzen, wie viele Routinginformationen in einer BGP-Session empfangen werden können und die Verbindung abzubrechen, wenn ungewöhnlich viele Routing-Prefixes empfangen werden.

"Schlampigkeit oder Faulheit" bei Verizon

"Wenn Verizon ein solches Prefix-Limit gehabt hätte, wäre dies nicht passiert", schreibt Cloudflare dazu. "Es kostet einen Provider wie Verizon nichts, solche Limitierungen zu haben. Und es gibt keinen guten Grund, außer Schlamperei oder Faulheit, dass sie keine derartigen Limitierungen haben."

Eine weitere Möglichkeit, derartige Vorfälle zu verhindern, ist eine Filterung auf Basis der Internet Routing Registry. Dabei handelt es sich um eine Datenbank mit Netzwerkinformationen, die zur Filterung von fehlerhaften Routinginformationen genutzt werden kann. Auch hier spart Cloudflare nicht mit Kritik und schreibt, dass es "schockierend" sei, dass Verizon diese Methode offenbar nicht nutzt. Die entsprechende Technologie gibt es demnach seit 24 Jahren.

Als eigentliche Lösung sieht Cloudflare jedoch eine neuere Technik: das Signieren von BGP-Routinginformationen über die Resource Public Key Infrastructure (RPKI). Dabei werden Routinginformationen von den jeweiligen Providern mit Zertifikaten kryptographisch signiert. Cloudflare empfiehlt in seinem Blogpost allen Providern, RPKI zu implementieren. RPKI würde nicht nur solche Vorfälle vermeiden, sondern auch gezielte Angriffe auf das BGP-Routing verhindern.

Acht Stunden niemanden bei Verizon erreicht

Nachdem Cloudflare das Problem analysiert hatte, hat man versucht, die betroffenen Provider zu erreichen. Letztendlich erreichte Cloudflare DQE telefonisch und dort sorgte man dafür, dass die falschen Routen nicht mehr verteilt wurden. Bei Verizon hatte Cloudflare selbst acht Stunden nach dem Vorfall weder telefonisch noch per E-Mail jemanden erreicht, mit dem sie das Problem hätten diskutieren können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 299,00€ (Bestpreis! zzgl. Versand)
  2. 555,55€ (zzgl. Versandkosten)

FoxCore 26. Jun 2019

So eine künstliche Limitierung ist doch nur ein Hack, um ein kaputtes Protokoll nicht aus...

phade 25. Jun 2019

Exakt. Dann probiert man Kontakte aus dem whois, der peering-db etc, bekommt ein Ticket...

makki99 25. Jun 2019

Das hat man schon vor gut 15J diskutiert, jedem Techniker bei RIPE und Co geht (zurecht...

Hotohori 25. Jun 2019

Es ist völlig wurscht wer da kritisiert. Die Kritik ist korrekt und das man 8 Std. lang...


Folgen Sie uns
       


Amazons FireTV Cube mit Sprachsteuerung - Test

Der Fire TV Cube ist mehr als ein Fire-TV-Modell. Er kann auf Zuruf gesteuert werden und wir zeigen im Video, wie gut das gelöst ist.

Amazons FireTV Cube mit Sprachsteuerung - Test Video aufrufen
Deep Fakes: Hello, Adele - bist du's wirklich?
Deep Fakes
Hello, Adele - bist du's wirklich?

Mit Deep Fakes wird geblödelt, gehetzt und geputscht. Bedrohen Videos, die vorgaukeln, Stars und Politiker zu zeigen, die Demokratie? Möglich, nur anders, als wir denken.
Eine Analyse von Meike Laaff

  1. Machine Learning Kalifornien will gegen Deep-Fake-Pornografie vorgehen
  2. Machine Learning Tensorflow 2.0 macht Keras-API zum zentralen Bestandteil
  3. Neural Structured Learning Tensorflow lernt auf Graphen und strukturierten Daten

Männer und Frauen in der IT: Gibt es wirklich Chancengleichheit in Deutschland?
Männer und Frauen in der IT
Gibt es wirklich Chancengleichheit in Deutschland?

Der Mann arbeitet, die Frau macht den Haushalt und zieht die Kinder groß - ein Bild aus längst vergangenen westdeutschen Zeiten? Nein, zeigen uns die aktuellen Zahlen. Nach wie vor sind die Rollenbilder stark, und das hat auch Auswirkungen auf den Anteil von Frauen in der IT-Branche.
Von Valerie Lux

  1. HR-Analytics Weshalb Mitarbeiter kündigen
  2. Frauen in der IT Ist Logik von Natur aus Männersache?
  3. IT-Jobs Gibt es den Fachkräftemangel wirklich?

Radeon RX 5500 (4GB) im Test: AMDs beste 200-Euro-Karte seit Jahren
Radeon RX 5500 (4GB) im Test
AMDs beste 200-Euro-Karte seit Jahren

Mit der Radeon RX 5500 hat AMD endlich wieder eine sparsame und moderne Mittelklasse-Grafikkarte im Angebot. Verglichen mit Nvidias Geforce GTX 1650 Super reicht es zum Patt - aber nicht in allen Bereichen.
Ein Test von Marc Sauter

  1. Workstation-Grafikkarte AMDs Radeon Pro W5700 hat USB-C-Anschluss
  2. Navi-Grafikeinheit Apple bekommt Vollausbau und AMD bringt RX 5300M
  3. Navi-14-Grafikkarte AMD stellt Radeon RX 5500 vor

    •  /