Wie auch beim Angriff auf YouTube 2008 durch einen pakistanischen ISP, wird deutlich, dass im eBGP grundlegende Probleme liegen.
Diese werden aufgrund der Vertrauensstellungen der „Autonomen Systeme“ (AS) deutlich. Im Fall Facebook handelt es sich um ein a) Mangelhaftes Changemanagement und einen simplen Konfigurationsfehler einer gepushten Route im eBGP oder b) um einen Innentäter Angriff in Kombination mit Variante a.
Am 04.10.2021 um ca. 17:51 deutscher Zeit war Facebook nicht mehr im Internet zu finden. Um genau zu sein gaben die DNS-Server einen Fehler zurück.
Cloudflare hat dies analysiert und bestätigte die Meldungen in den Sozialen Medien, dass Facebook und die zugehörigen Dienste nicht mehr erreichbar waren.
Das BGP ist ein Routing Protokoll, dass in den großen Routern läuft, die das Internet zum Internet machen. Es übermittelt die Informationen der Autonomen Systeme wie zum Beispiel Facebook, Telekom und Google, die eine oder mehrere AS Nummern haben, an andere BGP Router, damit die wissen wie die Systeme zu erreichen sind.
Eine Schematische Darstellung wie es funktionieren kann.
Nach Außen hat Facebook die Routen nicht mehr an ihre DNS Einträge angehangen. Das bedeutet, dass mindestens die Facebook DNS Server nicht mehr erreichbar waren.
Cloudflare speichert alle BGP Updates die sie bekommen und um 17:40 Uhr kamen sehr viele Routenupdates von Facebook.
Die Zeiten in dem Bild sind UTC. Cloudflare kann Zwischen hinzufügen und entfernen von Routen unterscheiden und hier die Grafik dazu:
Man sieht sehr gut, dass sehr viele Routen entfernt wurden. Durch die Änderungen hat sich Facebook selbst von Netz genommen. Die Konsequenz daraus war, dass die DNS Server Facebook und seine Dienste nicht mehr auflösen konnten.
Dadurch dass die Dienste nicht mehr erreichbar waren, stiegen die DNS Anfragen exponentiell, weil man nicht glauben konnte, dass Facebook offline war. Bei vielen Apps gab es auch keine Fehlermeldungen, also hat man es nochmal versucht. Die DNS Anfragen waren ca. 30 mal so hoch wie normal. Da Facebook nicht erreichbar war, gab es einen Anstieg der Anfragen an die anderen sozialen Netze.
Um ca 23:20 deutscher Zeit kamen neue BGP Updates und Facebook kam langsam wieder online. Die Dienste selbst brauchten vermutlich etwas länger, aber haben es dann auch geschafft.
Der Ausfall durch den eventuellen Konfigurationsfehler, oder eventuellen Angriff, wird auf BGP Play von Ripe nochmals visuell deutlich. Hier sieht man, dass kurz vor dem Ausfall eine eBGP Nachricht vom AS 32934 dazu führte, dass das gesamte AS 32934 gekappt wurde. Die AS-Nummern findet man in der Peering Info der Facebook inc. unter: https://www.facebook.com/peering/.
In einer Mitteilung wurde bekanntgegeben, dass es sich bei dem Ausfall um einen fehlerhaften Change im Facebook eigenen Backend handelte.
