CenturyLink : les raisons supposées d'une panne qui a secoué Internet

Le FAI américain Level3 (racheté par CenturyLink) a connu, ce week-end, une panne qui a perturbé nombre de services Internet. Quelle en est l’origine ?

Amazon, Microsoft, Twitter… Aucun n’a échappé aux conséquences de la panne survenue ce dimanche chez Level3/CenturyLink.

Cloudflare en a également subi les effets… et a livré son analyse post-incident, à l’appui des quelques informations techniques qu’a fournies le FAI américain. Qrator Labs a fait de même.

À la racine, il y a le protocole BGP, destiné à l’échange d’informations de routage. Et plus précisément l’un de ses extensions : Flowspec. Conçue pour optimiser la diffusion de règles de trafic, elle s’emploie notamment à des fins de filtrage, face à des événements de sécurité.

La machine semble s’être enrayée dans le datacenter CA3 de CenturyLink, situé à Mississauga (Canada). La transmission d’un message Flowspec incorrect aurait empêché la bonne application de règles BGP*… et mis le réseau dans une boucle sans fin.

Par « effet domino », les messages ont fini par se propager chez les opérateurs de niveau 1 liés à CenturyLink par des accords de peering. Le problème a surtout affecté IPv4, relève Stéphane Bortzmeyer.

Looks like Level3/CenturyLink has broken IPv4 in a significant part of Europe (or possibly the world).

Packets are just looping around. pic.twitter.com/elmeLFKmv4

— Giorgio Bonfiglio (@g_bonfiglio) August 30, 2020
Lire aussi : Des services de Level 3 interrompus : une nouvelle attaque DDoS Mirai ?

La piste Flowspec

Il était environ midi à Paris lorsque les systèmes de surveillance de Cloudflare ont commencé à détecter une nombre croissant d'erreurs de connexion.

Le basculement s'est alors fait automatiquement vers des FAI alternatifs. Mais la situation n'est pas rentrée dans l'ordre pour tous les utilisateurs. À commencer par ceux dont l'hébergeur n'était connecté qu'à CenturyLink.

Même situation du côté des utilisateurs finaux abonnés chez le FAI américain. Conséquence, affirme Cloudflare : le trafic internet mondial a baissé de 3,5 % pendant l'incident.

Pour limiter l'impact, de nombreux opérateurs ont coupé leur session BGP avec CenturyLink.
Il aura fallu près de sept heures pour rétablir pleinement la situation. Le scénario de la « boucle infinie » peut l'expliquer : la file d'attente BGP a pu croître jusqu'à saturer les routeurs. Et avec eux, les interfaces d'administration, compliquant l'intervention.

* Cloudflare lui-même avait subi un incident lié à Flowspec, en 2013.

Lire aussi : CenturyLink rachète Level 3 pour 34 milliards de dollars