Det var inte en attack mot Cloudflare: Hur en felaktig konfigurationsfil förlamade en del av internet
På tisdagen kan många användare ha sett det nu berömda Cloudflare-felet 500 när de surfade på webben. Mellan 11:30 och 14:30 UTC var otaliga sidor och tjänster onåbara. Bland dem fanns Ikea, PayPal, ChatGPT, X (tidigare Twitter) och andra. Notebookcheck påverkades också.
Cloudflare erbjuder olika tjänster för webbplatsoperatörer
När man talar om de största aktörerna på internet är Amazon, Google, Microsoft och Meta (Facebook) oftast de första som nämns. Om något går fel med dem slutar stora delar av internet att fungera. Cloudflare, som främst arbetar med att skydda webbplatser från attacker och snabba upp dem, har oftast förbisetts. Många webbplatser och tjänster förlitar sig på Cloudflares tjänster för att förkorta laddningstiderna och skydda sina servrar.
Genom att cachelagra data från webbplatser och tjänster och fungera som en proxy hjälper Cloudflare till att göra anslutningen mellan klienter och servrar smidigare. Dessutom filtrerar Cloudflare skadliga förfrågningar och ser till att toppar i belastningen fångas upp. Det är kanske mest känt för sitt skydd mot DDoS-attacker. För webbplatsoperatörer är optimering av laddningstider genom att cachelagra sidor på olika servrar över hela världen ofta den viktigaste aspekten. Många webbplatser är beroende av Cloudflares tjänster för att avlasta sina egna servrar och samtidigt minska besökarnas latens.
Den 18 november inträffade ett omfattande avbrott hos Cloudflare
På tisdagen drabbades Cloudflares nätverk av ett allvarligt fel, vilket ledde till att webbplatser och tjänster från dess kunder blev otillgängliga. I ett blogginlägg på https://blog.cloudflare.com/18-november-2025-outage/beskriver Matthew Prince, VD för Cloudflare, händelserna som ledde fram till det största avbrottet i Cloudflares nätverk sedan 2019.
Omkring 11:30 UTC började ett extremt stort antal fel 5xx-koder översvämma Cloudflare på grund av ett konfigurationsfel. Antalet fel fluktuerade dock betydligt fram till 13:00 UTC, vilket inledningsvis ledde till att Cloudflare trodde att de stod inför en extern attack. Detta antagande stöddes ytterligare av det faktum att statussidan från Cloudflare själv blev otillgänglig vid denna tidpunkt. Efter en tid återgick felfrekvensen till förväntat låga nivåer inom deras nätverk. Tidigare diskussioner i interna chattar spekulerade i att ett botnet skulle vara ansvarigt för avbrottet.
Det faktiska problemet hade sitt ursprung i Cloudflares nätverk. En ändring av behörigheterna i ett databassystem ledde till olika fel. Detta implementerades redan runt 11:05 UTC. Som ett resultat var storleken på en funktionsfil från bothanteringssystemet artificiellt uppblåst och nästan fördubblade sin ursprungliga storlek. Cloudflare-program har dock en fast storlek för den här filen, som också är reserverad i minnet. De överdimensionerade filerna överfyllde det reserverade minnet, vilket resulterade i en systemkrasch. Eftersom funktionsfilen uppdaterades var femte minut och inte alla Cloudflare-kluster körde med den nya konfigurationen, var det möjligt att antingen en fullt fungerande eller en icke-fungerande fil kunde distribueras i nätverket vid varje given tidpunkt. Detta förklarar fluktuationerna i felfrekvensen. Omkring 13:37 insåg Cloudflares incidenthanteringsteam att justeringar av bothanteringssystemet orsakade avbrottet. En timme senare lyckades de äntligen lösa problemet.
Effekterna av Cloudflare-utfallet visar tydligt att Internet är beroende av få aktörer. Ett enskilt konfigurationsfel i en central slutpunkt har här visat att olikartade webbplatser och tjänster inte längre var tillgängliga. Därmed ställer sig frågan, hur anfällig Internet är, så som vi känner det, verkligen är.
