Was ist BGP und wie führte dessen Ausfall zum Facebook-Absturz?
Inhaltsverzeichnis:
Am 4. Oktober 2021 fiel Facebook zusammen mit allen großen Diensten, die Facebook besitzt, für ungefähr sechs Stunden aus. Der soziale Medien-„Blackout“ begann um 11:40 Uhr Eastern Time (ET), direkt nachdem die DNS-Einträge (Domain Name System) von Facebook nicht mehr verfügbar waren.
Die Vorfall Analyse von Cloudflare erklärt, dass die DNS-Namen von Facebook einfach aufhörten, aufgelöst zu werden, und die Infrastruktur-IP-Adressen des sozialen Medienriesen unerreichbar wurden. Allerdings scheinen die DNS-Probleme nur eine Folge und nicht die Ursache des Problems zu sein. Der anfängliche Ausfall trat im Border Gateway Protocol (BGP)-Routing zu den Facebook-Webressourcen auf.
Was ist BGP?
Das Border Gateway Protocol (BGP) ist ein standardisierter Mechanismus, der den Austausch von Routing-Informationen zwischen autonomen Systemen (AS) im Internet ermöglicht. Da separate Netzwerke mit einander interagieren müssen, um ein globales Web zu bilden, fördern sie ihre Präsenz, indem sie die Routinginformationen kommunizieren. Diese Daten werden weiter in einer Routing-Informationsbasis (RIB) gespeichert.
RIB fungiert als eine riesige, sich ständig aktualisierende Karte, die existiert, um den Weg zu einer Vielzahl von Zielen zu ebnen. BGP kann auf die RIB-Datenbank zugreifen, jede mögliche Route auflisten, um Daten zu liefern, und die effizienteste auswählen. Wenn BGP ausfällt, kann ein Netzwerk (in diesem Fall Facebook) seine Präsenz nicht ankündigen, daher können andere Netzwerke es nicht mehr erreichen. Infolgedessen scheint das betroffene Netzwerk vom Internet abgeschnitten zu sein.
Warum Facebook nicht erreichbar war
Laut dem erklärenden Blog-Post von Facebook trat das Problem nach einer großen Konfigurationsänderung auf. Es betraf das System, das die globale Backbone-Netzwerkkapazität von Facebook verwaltet und für die Verbindung aller Rechenzentren des Anbieters verantwortlich ist. Darüber hinaus führte diese Konfigurationsänderung dazu, dass die Routen von Facebook zurückgezogen wurden und die Server des sozialen Medienriesen offline gingen.
Mit diesen Konfigurationsänderungen und Routenrückzügen hat sich Facebook buchstäblich selbst vom Internet abgeschnitten, zusammen mit seinen beliebten Diensten Instagram, WhatsApp und Oculus VR. Abgesehen davon, dass es aus dem Internet verschwand, ließ Facebook seine Mitarbeiter ohne die Möglichkeit zurück, die Bürogebäude zu betreten, da die Smart Cards ebenfalls von dem Ausfall betroffen waren. Zudem wurde die interne Arbeitsplattform Workplace von Facebook auch blockiert, wodurch die Mitarbeiter nicht in der Lage waren, die täglichen Aufgaben fortzusetzen.
Da das Problem anscheinend durch das inkorrekte Konfigurationsupdate der Facebook-Netzwerkingenieure verursacht wurde, kam die Lösung auch von Technikern, die lokal auf die Router zugriffen, um die Probleme zu beheben. Sechs Stunden nach Beginn des Ausfalls wurden die Facebook-Ressourcen wiederhergestellt, und verwirrte Benutzer konnten auf ihre sozialen Medienkonten zugreifen. Seit dem 8. Oktober 2021 sind die Facebook-Systeme voll funktionsfähig.
BGP-Ausfälle erkennen
Da selbst geringfügige BGP-Routingprobleme erhebliche Probleme in Ihrer Infrastruktur verursachen können, ist es wichtig, alle Änderungen im Zusammenhang mit seiner Konfiguration zu verfolgen. Um BGP-Ausfälle und -Fehler zu überwachen, entwickelte Massimo Candela, ein Senior Software Engineer bei NTT Global Networks, ein spezielles Tool namens BGPalerter. Es ist ein selbstkonfigurierendes Tool, das die Analyse von BGP-Datenströmen aus verschiedenen Quellen in Echtzeit durchführt. Es ermöglicht die Echtzeiterkennung von Sichtbarkeitsverlusten, ungültigen RPKI-Ankündigungen, Hijacks und mehr.
Um die Nachverfolgung von BGP-Ausfällen noch einfacher zu gestalten, hat das SOC Prime Team eine Sigma-Regel veröffentlicht, die hohe und kritische Ereignisse erkennt, die von BGPalerter generiert werden. Die Regel steht auf der SOC Prime Plattform nach Registrierung zum kostenlosen Download bereit.
BGP Verdächtige Änderungen (über das BGPalerter-Tool)
Die Erkennung hat Übersetzungen für die folgenden SIEM SECURITY ANALYTICS Plattformen: Azure Sentinel, ELK Stack, Chronicle Security, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB.
Die Regel ist auf die MITRE ATT&CK Methodik abgebildet, die sich mit den Auswirkungen von Taktiken und der Network Denial of Service-Technik (t1498) befasst.
Registrieren Sie sich auf der SOC Prime Plattform, um die Bedrohungserkennung einfacher, schneller und einfacher zu machen. Jagen Sie sofort nach den neuesten Bedrohungen in über 20 unterstützten SIEM & XDR-Technologien, automatisieren Sie die Bedrohungsuntersuchung und erhalten Sie Feedback und Begutachtung von über 20.000 Sicherheitsfachleuten, um Ihre Sicherheitsoperationen zu verbessern. Möchten Sie Ihre eigenen Erkennungsinhalte erstellen? Treten Sie unserem Threat Bounty-Programm bei, teilen Sie Ihre Sigma- und Yara-Regeln im Threat Detection Marketplace-Repository und erhalten Sie regelmäßige Belohnungen für Ihren individuellen Beitrag! Begeistert, Ihre Threat-Hunting-Fähigkeiten zu verbessern? Lernen Sie was Sigma-Regeln sind und wie Sie mit unserem Anfängerleitfaden mit der Erstellung beginnen können.
