Retour à la liste

Perturbation du Ripe

jeudi 02 septembre 2010 00:00:00

Voici quelques explications à propos des perturbations du RIPE du vendredi 27 août 2010. Le 27 août 2010 à 08:41 UTC, l'envoi d'annonces de routage BGP utilisant un attribut inutilisé jusqu'à présent, le numéro 99, a révélé un bogue dans certaines versions du logiciel distribué par Cisco avec ses routeurs. Ce bogue entraînait la corruption de l'annonce BGP et la fermeture de la session BGP par le routeur suivant, qui recevait cette annonce corrompue. Cette fermeture entraînait le retrait des routes annoncées et, dans certains cas, l'inaccessibilité de certains réseaux. Le fait d'être inaccessible ou pas dépendait donc... [...]

Le fait d'être inaccessible ou pas dépendait donc du logiciel utilisé par les voisins (la chance ou la malchance jouaient donc un grand rôle) et de la redondance de la connectivité réseau. Les serveurs DNS, comme tous les serveurs de l'Internet, dépendent de BGP pour annoncer les routes. La panne BGP a donc affecté les serveurs DNS comme les autres. Le meilleur article publié sur cette panne mentionne explicitement .fr comme ayant été un des domaines les plus affectés. Mais c'est très relatif. Le problème est illustré par un graphique de DNSMON, très bon service de surveillance des serveurs DNS, dont l'AFNIC est cliente. On peut voir le moment exact de la panne sur ce graphique. Un serveur, a.nic.fr, est très touché, un deuxième, d.nic.fr, l'est moins. Le plus important est ce que ne montre pas le graphe : à aucun moment, même pendant une milliseconde, le service de résolution de .fr n'a été interrompu. Pour les utilisateurs, il y a donc eu zéro conséquence pratique. La fiabilité du DNS dépend en effet sur l'existence de plusieurs serveurs faisant autorité pour une zone, sept dans le cas de .fr, dont on peut rappeler que quatre sont composés de plusieurs machines physiques sur plusieurs sites. Qu'un seul serveur fonctionne encore et la résolution de noms se poursuit sans que l'utilisateur ne s'aperçoive de rien. D'innombrables petites pannes sont ainsi vues par un outil comme DNSMON, sans qu'elles se traduisent par des problèmes perçus. L'architecture DNS de l'AFNIC a donc réagi de la manière attendue : la multiplicité de serveurs, situés dans des emplacements géographiques différents, connectés par des fournisseurs différents, via des marques de routeurs différentes, a permis que la majorité des serveurs DNS de .fr continuent comme si de rien n'était. À noter qu'aucun des routeurs BGP de l'AFNIC n'est un Cisco et que cette panne n'a donc pas affecté directement nos routeurs. Outre l'article du RIPE-NCC déjà cité, on peut recommander la lecture de l'alerte de sécurité de Cisco et ce très bon (mais très technique) billet.
Haut de page

A propos de l'AFNIC

L’Afnic (Association française pour le nommage Internet en coopération) est une association française à but non lucratif. Depuis 20 ans, nous sommes l'office d'enregistrement pour la gestion des adresses internet sous l’extension .fr. Nous gérons également les extensions ultramarines .re (Ile de la Réunion), .pm (Saint-Pierre et Miquelon), .tf (Terres australes et antarctiques françaises), .wf (Wallis et Futuna), .yt (Mayotte). Ce qui représente plus de 3,2 millions de noms de domaine et sommes l’opérateur technique de 14 entreprises et collectivités ayant choisi d’avoir leur propre extension dont .paris, .bzh, .alsace, .corsica, .mma, .ovh, .leclerc ou encore .sncf. Nous sommes engagés à accompagner la transformation numérique des TPE/PME grâce à notre dispositif Réussir en .fr (www.reussir-en.fr) et proposons une offre gratuite d’accompagnement à la présence en ligne allant des outils de diagnostic aux formations sur le terrain dans toute la France. En tant qu’association, nous fédérons une communauté de plus d’une centaine de membres aux profils variés mais tous acteurs du web : bureaux d’enregistrement, entreprises, fédérations, utilisateurs, institutionnels, etc. Notre rôle s’inscrit dans une mission d’intérêt général plus large, qui consiste à contribuer au quotidien à un internet sûr et stable, ouvert aux innovations où la communauté internet française joue un rôle de premier plan. Par ailleurs, nous reversons 90% des bénéfices de la gestion du .fr à notre Fondation Afnic pour la solidarité numérique (www.fondation-afnic.fr) qui finance chaque année une trentaine de projets visant à réduire la fracture numérique sur tout le territoire français.