Original-URL des Artikels: https://www.golem.de/news/bgp-routing-verizon-verursacht-internet-schluckauf-1906-142122.html    Veröffentlicht: 25.06.2019 10:18    Kurz-URL: https://glm.io/142122

BGP-Routing

Verizon verursacht Internet-Schluckauf

Viele Internetseiten waren gestern aufgrund eines BGP-Routingproblems nicht erreichbar. Cloudflare wirft dem US-Provider Verizon Inkompetenz vor und schreibt, dass sie acht Stunden niemanden erreicht hätten, um das Problem zu beheben.

In großen Teilen des Internets kam es gestern zu Verbindungsproblemen. Schuld daran waren fehlerhafte BGP-Routen, die von einem kleinen Provider über Verizon verteilt wurden. Cloudflare erläutert das Problem in einem Blogpost und kritisiert dabei Verizon ungewöhnlich deutlich. Cloudflare schreibt von "Schlamperei oder Faulheit" bei Verizon, außerdem habe man dort über acht Stunden niemanden erreicht, um das Problem zu beheben.

BGP ist das Protokoll, das den Datenverkehr im Internet zwischen den großen Providern weiterleitet. Aufgrund fehlerhafter Routinginformationen wurden gestern große Mengen an Datenverkehr zu einem kleinen Provider namens DQE weitergeleitet, dessen Netze kamen mit den Datenmengen jedoch nicht klar.

BGP-Optimizer sorgt für falsche Routinginformationen

Der Ursprung des Problems war ein sogenannter BGP-Optimizer der Firma Noction. Der BGP-Optimizer sollte eigentlich nur dazu dienen, im internen Netz von DQE das Routing anzupassen. Hierfür wurden einige BGP-Routen in kleinere Teilrouten aufgespaltet und über interne Router von DQE geleitet. Diese Routinginformationen wurden dann jedoch nicht nur intern verwendet, sondern an den übergeordneten Provider weitergeleitet, die Firma Allegheny. Diese wiederum leitete die falschen Routinginformationen an Verizon weiter. Verizon wiederum verteilte die fehlerhaften BGP-Routen im gesamten BGP-Netz.

BGP funktioniert so, dass spezifischere Routinginformationen immer Vorrang vor allgemeineren Routen haben. Die aufgespalteten Routinginformationen von DQE wurden also von allen Netzbetreibern, die diese erhielten, als relevanter angesehen als die korrekten Informationen für die größeren Netze.

Das Weiterleiten der Routen durch Verizon hätte laut Cloudflare niemals passieren dürfen. So gebe es mehrere Schutzmechanismen, die ein solches Weiterverteilen fehlerhafter Routinginformationen blockieren können. Laut Cloudflare ist es üblich, bei BGP-Verbindungen ein festes Limit zu setzen, wie viele Routinginformationen in einer BGP-Session empfangen werden können und die Verbindung abzubrechen, wenn ungewöhnlich viele Routing-Prefixes empfangen werden.

"Schlampigkeit oder Faulheit" bei Verizon

"Wenn Verizon ein solches Prefix-Limit gehabt hätte, wäre dies nicht passiert", schreibt Cloudflare dazu. "Es kostet einen Provider wie Verizon nichts, solche Limitierungen zu haben. Und es gibt keinen guten Grund, außer Schlamperei oder Faulheit, dass sie keine derartigen Limitierungen haben."

Eine weitere Möglichkeit, derartige Vorfälle zu verhindern, ist eine Filterung auf Basis der Internet Routing Registry. Dabei handelt es sich um eine Datenbank mit Netzwerkinformationen, die zur Filterung von fehlerhaften Routinginformationen genutzt werden kann. Auch hier spart Cloudflare nicht mit Kritik und schreibt, dass es "schockierend" sei, dass Verizon diese Methode offenbar nicht nutzt. Die entsprechende Technologie gibt es demnach seit 24 Jahren.

Als eigentliche Lösung sieht Cloudflare jedoch eine neuere Technik: das Signieren von BGP-Routinginformationen über die Resource Public Key Infrastructure (RPKI). Dabei werden Routinginformationen von den jeweiligen Providern mit Zertifikaten kryptographisch signiert. Cloudflare empfiehlt in seinem Blogpost allen Providern, RPKI zu implementieren. RPKI würde nicht nur solche Vorfälle vermeiden, sondern auch gezielte Angriffe auf das BGP-Routing verhindern.

Acht Stunden niemanden bei Verizon erreicht

Nachdem Cloudflare das Problem analysiert hatte, hat man versucht, die betroffenen Provider zu erreichen. Letztendlich erreichte Cloudflare DQE telefonisch und dort sorgte man dafür, dass die falschen Routen nicht mehr verteilt wurden. Bei Verizon hatte Cloudflare selbst acht Stunden nach dem Vorfall weder telefonisch noch per E-Mail jemanden erreicht, mit dem sie das Problem hätten diskutieren können.  (hab)


Verwandte Artikel:
Prozessor: Intel, Qualcomm und Xilinx wollen Huawei wieder beliefern   
(17.06.2019, https://glm.io/141946 )
TLS: Google und Cloudflare testen Post-Quanten-Kryptographie   
(21.06.2019, https://glm.io/142053 )
Europa: Mobilfunk zwei Stunden lang über China Telecom geleitet   
(09.06.2019, https://glm.io/141778 )
Internet-Infrastruktur: Fehlerhafte Router stoppen BGP-Experiment   
(05.02.2019, https://glm.io/139186 )
Internet im Flugzeug: Norwegian ermöglicht Gate-to-Gate-Wi-Fi   
(25.06.2019, https://glm.io/142119 )

© 1997–2019 Golem.de, https://www.golem.de/