Re : le hollandais volant sur la panne facebook
mardi 5 octobre 2021 à 18:07Et les conséquences, sont que les gens (et les applis) essayent et réessayent de joindre FB sans arrêt.
Du coup, les DNS de Google (8.8.8.8) et de Cloudflare (1.1.1.1) sont aussi en PLS...
Non, pas du tout.
Comme expliqué dans le billet de cloudflare qui revient sur l'évènement. le nombre de requêtes DNS vers 1.1.1.1 a été multiplié par 30 et ça n'a presque pas eu d'effet sur le service. le temps de réponse pour 90% des demandes sur 1.1.1.1 était de 8.86ms en moyenne (22ms max). 5% étaient à 287ms en moyenne (1.07s max). et une petite portion des 1% les plus lent ont dû attendre 4 à 10 secondes ce qui correspond au timeout des demandes DNS vers les services facebook parce que le serveur de nom de facebook n'était pas joignable.
A tsunami of additional DNS traffic follows.
So now, because Facebook and their sites are so big, we have DNS resolvers worldwide handling 30x more queries than usual and potentially causing latency and timeout issues to other platforms.
Fortunately, 1.1.1.1 was built to be Free, Private, Fast (as the independent DNS monitor DNSPerf can attest), and scalable, and we were able to keep servicing our users with minimal impact.
The vast majority of our DNS requests kept resolving in under 10ms. At the same time, a minimal fraction of p95 and p99 percentiles saw increased response times, probably due to expired TTLs having to resort to the Facebook nameservers and timeout.
https://blog.cloudflare.com/october-2021-facebook-outage/
une augmentation de 30x le nb de requetes DNS c'est marginal par rapport à des attaques DDOS comme les attaques par amplification DNS (https://www.cloudflare.com/learning/ddos/dns-amplification-ddos-attack/) ou d'inondation DNS (https://www.cloudflare.com/ddos/dns-flood/) dont la protection fait partie des services de bases que cloudflare propose. Si leur 1.1.1.1 tombait chaque fois que le nombre de requête est multiplié par 30, comment ferait ils face à des attaques d'amplification DNS dont le facteur d'amplification est couramment de 50x mais peut aller au delà de 150x (https://research.utwente.nl/en/publications/dnssec-and-its-potential-for-ddos-attacks-a-comprehensive-measure)