Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Cloudflare-Schluckauf: Nicht erreichbare Webseiten sorgen für Aufregung

Ein kurzer Aussetzer der Cloud-Dienste von Cloudflare am Dienstagmorgen sorgt für Verunsicherung. Inzwischen laufen die Dienste offenbar wieder störungsfrei.

In Pocket speichern vorlesen Druckansicht 70 Kommentare lesen
Aufmacher Kurzzeitige Cloudflare-Störung sorgt für Aufregung

(Bild: Photon photo/Shutterstock.com)

Update
Lesezeit: 2 Min.
Security
Von

Zwischen 6:34 Uhr und 8:06 Uhr UTC (8:34 bis 10:06 Uhr MEZ) am Dienstagmorgen waren die Dienste des Internetdienstleisters Cloudflare gestört. Durch den Fehler waren viele Webseiten teilweise für etwas länger als eine Stunde nicht erreichbar. Cloudflare bietet unter anderem Dienste zum Schutz von Webseiten vor Distributed-Denial-of-Service-Angriffe (DDoS) an.

Bei solchen DDoS-Angriffen versuchen Cyberkriminelle oftmals, Webseitenbetreiber damit zu erpressen, ihre Online-Angebote lahmzulegen. Dazu lassen sie in der Regel viele Botnet-infizierte Geräte, sogenannte Drohnen, Anfragen an die Webserver stellen, ohne jedoch Antworten abzuwarten oder auszuwerten. Durch den massiven Internetverkehr bricht das Angebot zusammen, reguläre Nutzer können es für die Dauer des Angriffs nicht mehr nutzen. Anbieter wie Cloudflare bieten effektive Gegenmittel an.

Aufgrund des Schluckaufs des Dienstes lieferten Angebote wie Discord oder Feedly sowie populäre News-Seiten wie The Intercept keine Rückmeldungen an die Webbrowser der Nutzer. Diese bekamen lediglich eine HTTP-Error-500-Seite zu sehen, wie Cloudflare meldet. Das führte zu Verunsicherungen, das Hashtag #Cloudflare trendet gar auf Twitter.

Inzwischen sind alle Dienste jedoch offenbar wieder ohne Probleme zu erreichen. Zu den Hintergründen ist derzeit noch nichts bekannt. Auf der Cloudcare-Systemstatus-Webseite hat der Anbieter die Meldung als behoben deklariert.

Ausfälle traten Anfang des Jahres bereits bei Cloudflares DNS-Dienst auf. Nutzer dieser Dienste etwa für verschlüsseltes DNS hatten dadurch ebenfalls mit Zugriffsproblemen im Netzwerk zu kämpfen.

Cloudflare-Ausfall: Diese Seiten waren unter anderem betroffen

  • 2K Games
  • League of Legends
  • Minecraft
  • Steam
  • Amazon Web Services
  • Discord
  • DoorDash
  • Gitlab
  • Shopify
  • Skype
  • UPS
  • Cloudflare
  • DigitalOcean
  • Udemy
  • Notion
  • Coinbase
  • Valorant
  • Crunchyroll
  • Patreon
  • Zerodha
  • Upstox
Update

Cloudflare hat inzwischen eine Stellungnahme zu den Ursachen des Ausfalls veröffentlicht. Demnach war kein Cyber-Angriff dafür verantwortlich, sondern Umstellungen im Rahmen von geplanten Stabilitätsverbesserungen. 19 der am meisten ausgelasteten Rechenzentren sollen dabei mit einem zusätzlichen Routing-Layer mehr Verbindungen untereinander ausbilden (ein Mesh bilden). Dadurch sollen sich Netzwerkteile etwa zu Wartungszwecken gezielter deaktivieren und wieder aktivieren lassen.

Zur Verwaltung des Routings setzt Cloudflare auf das Border Gateway Protocol (BGP). Administratoren definieren Richtlinien, welche Prefixes (also eine Sammlung von aufeinanderfolgenden IP-Adressen) an die BGP-Peers verteilt und von ihnen akzeptiert werden. Die einzelnen Elemente in den Richtlinien werden sequenziell ausgewertet; am Ende wird jeder Prefix entweder verteilt und akzeptiert oder eben nicht. Eine Änderung an der Richtlinie kann bedeuten, dass ein zuvor verteilter Prefix nicht länger verteilt wird. Dies nennt sich "zurückziehen" und die IP-Adressen sind nicht länger aus dem Internet erreichbar, erläutert Cloudflare.

Eine Umsortierung der Ausdrücke in den BGP-Richtlinien führte beim Ausrollen dazu, dass ein kritisches Bündel an IP-Adressen zurückgezogen wurde. Durch die zurückgezogenen Prefixe hatten die Cloudflare-Ingenieure zusätzliche Probleme, die betroffenen Orte zu erreichen und die problematischen Änderungen rückgängig zu machen. Cloudflare verfüge über Backup-Prozeduren zum Umgang mit solchen Ereignissen und konnte damit die Kontrolle über betroffene Rechenzentren wiedererlangen.

Die Korrekturen verzögerten sich schließlich noch etwas, da die Netzwerkingenieure die Änderungen der jeweils anderen durchgegangen und teils auf vorherige Stände zurückgesprungen sind – dadurch trat das Problem sporadisch wieder auf.

In der Stellungnahme vertieft Cloudflare zudem noch die Details zu den Fehlerursachen. Die Änderung, die zu dem Ausfall führte, betrifft einen Konfigurationseintrag "REJECT-THE-REST", der vor zwei weiteren wichtigen "SITE-LOCAL"-Einträgen von zu routenden Adressen landete. Dahinter verbargen sich die lokalen Adressen, die mit dem Verteilen der Regeln nicht mehr verteilt und akzeptiert wurden.

Lesen Sie auch

(dmk)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten