Retour à la liste

Perturbation du Ripe

jeudi 02 septembre 2010 00:00:00

Voici quelques explications à propos des perturbations du RIPE du vendredi 27 août 2010. Le 27 août 2010 à 08:41 UTC, l'envoi d'annonces de routage BGP utilisant un attribut inutilisé jusqu'à présent, le numéro 99, a révélé un bogue dans certaines versions du logiciel distribué par Cisco avec ses routeurs. Ce bogue entraînait la corruption de l'annonce BGP et la fermeture de la session BGP par le routeur suivant, qui recevait cette annonce corrompue. Cette fermeture entraînait le retrait des routes annoncées et, dans certains cas, l'inaccessibilité de certains réseaux. Le fait d'être inaccessible ou pas dépendait donc... [...]

Le fait d'être inaccessible ou pas dépendait donc du logiciel utilisé par les voisins (la chance ou la malchance jouaient donc un grand rôle) et de la redondance de la connectivité réseau. Les serveurs DNS, comme tous les serveurs de l'Internet, dépendent de BGP pour annoncer les routes. La panne BGP a donc affecté les serveurs DNS comme les autres. Le meilleur article publié sur cette panne mentionne explicitement .fr comme ayant été un des domaines les plus affectés. Mais c'est très relatif. Le problème est illustré par un graphique de DNSMON, très bon service de surveillance des serveurs DNS, dont l'AFNIC est cliente. On peut voir le moment exact de la panne sur ce graphique. Un serveur, a.nic.fr, est très touché, un deuxième, d.nic.fr, l'est moins. Le plus important est ce que ne montre pas le graphe : à aucun moment, même pendant une milliseconde, le service de résolution de .fr n'a été interrompu. Pour les utilisateurs, il y a donc eu zéro conséquence pratique. La fiabilité du DNS dépend en effet sur l'existence de plusieurs serveurs faisant autorité pour une zone, sept dans le cas de .fr, dont on peut rappeler que quatre sont composés de plusieurs machines physiques sur plusieurs sites. Qu'un seul serveur fonctionne encore et la résolution de noms se poursuit sans que l'utilisateur ne s'aperçoive de rien. D'innombrables petites pannes sont ainsi vues par un outil comme DNSMON, sans qu'elles se traduisent par des problèmes perçus. L'architecture DNS de l'AFNIC a donc réagi de la manière attendue : la multiplicité de serveurs, situés dans des emplacements géographiques différents, connectés par des fournisseurs différents, via des marques de routeurs différentes, a permis que la majorité des serveurs DNS de .fr continuent comme si de rien n'était. À noter qu'aucun des routeurs BGP de l'AFNIC n'est un Cisco et que cette panne n'a donc pas affecté directement nos routeurs. Outre l'article du RIPE-NCC déjà cité, on peut recommander la lecture de l'alerte de sécurité de Cisco et ce très bon (mais très technique) billet.
Haut de page

A propos de l'AFNIC

Créée en 1997, l’Afnic - Association Française pour le Nommage Internet en Coopération - est une association à but non lucratif. Désignée par l'État pour gérer les noms de domaine en .fr, elle en assure la promotion auprès des entrepreneurs et des particuliers. Gestionnaire historique du .fr avec plus de 3,2 millions de noms de domaine à ce jour, elle se positionne également comme fournisseur de solutions techniques et de services de registre : elle accompagne ainsi 14 projets de nouveaux domaines Internet de premier niveau dont le .paris et le .bzh. L’Afnic est implantée à Saint-Quentin en Yvelines : 80 personnes travaillent ainsi à ce bien commun qu’est l’Internet français. L’Afnic reverse 90% des bénéfices du .fr à la Fondation Afnic pour la solidarité numérique, qui finance des projets internet solidaire sur l’ensemble du territoire français. www.afnic.fr.