Amazon, Microsoft, Twitter… Aucun n’a échappé aux conséquences de la panne survenue ce dimanche chez Level3/CenturyLink.
Cloudflare en a également subi les effets… et a livré son analyse post-incident, à l’appui des quelques informations techniques qu’a fournies le FAI américain. Qrator Labs a fait de même.
À la racine, il y a le protocole BGP, destiné à l’échange d’informations de routage. Et plus précisément l’un de ses extensions : Flowspec. Conçue pour optimiser la diffusion de règles de trafic, elle s’emploie notamment à des fins de filtrage, face à des événements de sécurité.
La machine semble s’être enrayée dans le datacenter CA3 de CenturyLink, situé à Mississauga (Canada). La transmission d’un message Flowspec incorrect aurait empêché la bonne application de règles BGP*… et mis le réseau dans une boucle sans fin.
Par « effet domino », les messages ont fini par se propager chez les opérateurs de niveau 1 liés à CenturyLink par des accords de peering. Le problème a surtout affecté IPv4, relève Stéphane Bortzmeyer.
Il était environ midi à Paris lorsque les systèmes de surveillance de Cloudflare ont commencé à détecter une nombre croissant d’erreurs de connexion.
Le basculement s’est alors fait automatiquement vers des FAI alternatifs. Mais la situation n’est pas rentrée dans l’ordre pour tous les utilisateurs. À commencer par ceux dont l’hébergeur n’était connecté qu’à CenturyLink.
Même situation du côté des utilisateurs finaux abonnés chez le FAI américain. Conséquence, affirme Cloudflare : le trafic internet mondial a baissé de 3,5 % pendant l’incident.
Pour limiter l’impact, de nombreux opérateurs ont coupé leur session BGP avec CenturyLink.
Il aura fallu près de sept heures pour rétablir pleinement la situation. Le scénario de la « boucle infinie » peut l’expliquer : la file d’attente BGP a pu croître jusqu’à saturer les routeurs. Et avec eux, les interfaces d’administration, compliquant l’intervention.
* Cloudflare lui-même avait subi un incident lié à Flowspec, en 2013.
Photo d’illustration © nikkytok – shutterstock.com
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.