Cloudflare: Storing in DNS-resolver 1.1.1.1 kwam door wijziging in servicetopologie
Cloudflare kreeg eerder deze maand te maken met een storing. In een update over deze storing meldt het bedrijf dat de problemen zijn veroorzaakt door een wijziging in zijn servicetopologie.
1.1.1.1 is een gratis, openbare DNS-resolver van Cloudflare. De wijziging in de servicetopologie van Cloudflare zorgde voor een wereldwijde storing. Dit leidde tot 62 minuten downtime voor gebruikers van de 1.1.1.1 DNS-resolver en problemen met de Gateway DNS van het bedrijf.
Het merendeel van de gebruikers van de 1.1.1.1 DNS-resolver zijn door de storing op 14 juli getroffen, meldt Cloudflare. Dit betekend in de praktijk dat nagenoeg alle internetdiensten voor deze gebruikers onbereikbaar waren. De storing begon om 23:52 uur op 14 juli, en was op 00:54 op 15 juli opgelost.
Even pingen en je bent er zo achter, trouwens ik gebruik er ook maar een. Dat er een storing is komt ook bijna nooit voor. Het gros van alle Nederlanders weet niet eens op een DNS-resolver is denk ik.
Zet eens een onbereikbare resolver als eerste en ontdek hoe ontzettend RUK resolver failover werkt.
Beter dan niks - maar je "internet" is echt slecht geworden.
Ik! Pihole grijpt naar 1.1.1.1 en 1.0.0.1. Verder is alles blocked naar 53. En ik heb inderdaad een drama gehad hier. Nou weet ik dus waar het aan lag. "1.1.1.1 kan niet down" zeg ik nooit meer... Uren ook nog. Dus je spit je hele netwerk uit waar de fout zit. En dat is dus gewoon 1.1.1.1. achteraf. Een hele dag van mijn leven verprutst.
Door deze groeiende afhankelijkheid word de impact van storingen die daar gebeuren ook steeds groter.
DDoS bescherming, Captcha's, AI doolhoven, loadbalancing en WA-Firewalling, ze bieden een hele laag aan.
Dit is natuurlijk aantrekkelijk voor bedrijven, maar het brengt wel een afhankelijkheid mee.
Ik zie het zelfs nog wel eens kunnen gebeuren dat je enkel via Cloudflare nog DDoS aanvallen kan overleven.
(Dus dat je infrastructuur op Cloudflare-schaal nodig hebt om DDoS aanvallen af te kunnen slaan.)
Ik! Pihole grijpt naar 1.1.1.1 en 1.0.0.1. Verder is alles blocked naar 53. En ik heb inderdaad een drama gehad hier. Nou weet ik dus waar het aan lag. "1.1.1.1 kan niet down" zeg ik nooit meer... Uren ook nog. Dus je spit je hele netwerk uit waar de fout zit. En dat is dus gewoon 1.1.1.1. achteraf. Een hele dag van mijn leven verprutst.
Ongeveer 1 uur down.
Je hebt nu een dag lang oefening troubleshooten - pech dat je het blijkbaar niet gevonden hebt .
Meer oefenen - van "het werkt niet" naar " mijn client krijgt geen DNS antwoord" moet echt niet zo moeilijk zijn als onderzoeksstap.
En dan is je volgende stap zoeken op die pihole , waarom die geen antwoord geeft .
En dan is "laat ik eens op de cli direct 1.1.1.1 proberen" toch ook niet vergezocht ?
Ik! Pihole grijpt naar 1.1.1.1 en 1.0.0.1. Verder is alles blocked naar 53. En ik heb inderdaad een drama gehad hier. Nou weet ik dus waar het aan lag. "1.1.1.1 kan niet down" zeg ik nooit meer... Uren ook nog. Dus je spit je hele netwerk uit waar de fout zit. En dat is dus gewoon 1.1.1.1. achteraf. Een hele dag van mijn leven verprutst.
Ongeveer 1 uur down.
Je hebt nu een dag lang oefening troubleshooten - pech dat je het blijkbaar niet gevonden hebt .
Meer oefenen - van "het werkt niet" naar " mijn client krijgt geen DNS antwoord" moet echt niet zo moeilijk zijn als onderzoeksstap.
En dan is je volgende stap zoeken op die pihole , waarom die geen antwoord geeft .
En dan is "laat ik eens op de cli direct 1.1.1.1 proberen" toch ook niet vergezocht ?
Ik ging er vanuit dat 1.1.1.1 niet down kon. Dat is de belangrijkste server op deze aardkloot. Dus het kwam zelfs niet in me op dat dat ding down zou zijn. Aangezien ik bezig was een Proxmox server op te zetten, kon de fout overal zitten. Ik heb dan ook overal gezocht, behalve bij 1.1.1.1. tot het "spontaan ende vanzelf weer werkte" ineens.
Ik! Pihole grijpt naar 1.1.1.1 en 1.0.0.1. Verder is alles blocked naar 53. En ik heb inderdaad een drama gehad hier. Nou weet ik dus waar het aan lag. "1.1.1.1 kan niet down" zeg ik nooit meer... Uren ook nog. Dus je spit je hele netwerk uit waar de fout zit. En dat is dus gewoon 1.1.1.1. achteraf. Een hele dag van mijn leven verprutst.
Ongeveer 1 uur down.
Je hebt nu een dag lang oefening troubleshooten - pech dat je het blijkbaar niet gevonden hebt .
Meer oefenen - van "het werkt niet" naar " mijn client krijgt geen DNS antwoord" moet echt niet zo moeilijk zijn als onderzoeksstap.
En dan is je volgende stap zoeken op die pihole , waarom die geen antwoord geeft .
En dan is "laat ik eens op de cli direct 1.1.1.1 proberen" toch ook niet vergezocht ?
Ik ging er vanuit dat 1.1.1.1 niet down kon. Dat is de belangrijkste server op deze aardkloot. Dus het kwam zelfs niet in me op dat dat ding down zou zijn. Aangezien ik bezig was een Proxmox server op te zetten, kon de fout overal zitten. Ik heb dan ook overal gezocht, behalve bij 1.1.1.1. tot het "spontaan ende vanzelf weer werkte" ineens.
Hoe de fout zich liet zien bij jou weet ik niet - maar als een paar 'standaard dingen die wel eens fout gaan' en je eerst even controleert , het niet zijn moet je meer systematisch gaan werken -
_wat_ mist de server of applicatie, en waar moet die informatie vandaan komen.
Uberhaupt is 'gewoon zoeken of 1.1.1.1 werkt' niet wat je moet doen - je zou op die stap moeten komen vanuit een conclusie (uit logs of foutmeldingen ofzo) dat "de server krijgt geen DNS antwoord" een probleem is .
En dan kijk je of de query naar/door je PiHole gaat, en daarna of die naar "het Internet" gaat - en of er antwoord komt.
Net zoals testen van "je internet uplink" - werkt ook (haast) altijd - maar als daar kom je ook op als je downloads (of misschien DNS lookups) ziet time-outen .
Ik zie het zelfs nog wel eens kunnen gebeuren dat je enkel via Cloudflare nog DDoS aanvallen kan overleven.
(Dus dat je infrastructuur op Cloudflare-schaal nodig hebt om DDoS aanvallen af te kunnen slaan.)
Dat is al zo .
Er zijn nog enkele partijen met vergelijkbare diensten, maar inderdaad , als TBit+ afslaan een requirement is heb je maar een handvol partijen wereldwijd die dat kunnen.
Waarom denk je dat Cloudflare, een Amerikaans bedrijf, daar goed meer zal omgaan?
Cloudflare blokkeert iedereen die niet gevolgd wil worden. Fijn bedrijf hoor.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Netwerkbeheerder Netwerk Services
Ministerie van Binnenlandse Zaken
Betrouwbaarheid, optimale beveiliging en innovatie: eisen die we stellen aan onze infrastructuur die het belangrijke werk van de AIVD en de MIVD mogelijk maakt. Zorg jij ervoor dat gebruikers altijd op de systemen kunnen rekenen en dat er geen staatsgeheim ontsnapt?
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?