» »

Krhkost interneta

Krhkost interneta

Slo-Tech - Danes ponoči po slovenskem času (med 3.24 in 4.00 uro zjutraj) je bil v delu sveta Google nedosegljiv. Vsi Googlovi strežniki so bili nedostopni v Indoneziji, težave z dostopom pa so imeli tudi v Kaliforniji. Pri nas smo tačas večinoma spali, na drugih kontinentih pa ne. Izkazalo se je, da razlog za nedosegljivost ni imel nobene povezave z Googlom, ampak so težave nehote zakrivili 15.000 kilometrov stran v Indoneziji. Fantje pri CloudFare so raziskali vzrok težav in spisali odličen članek, ki jih pojasni tudi za laike.

Internet sestoji iz kopice omrežij, ki se imenujejo avtonomni sistemi (AS). Gre za skupine IP-naslovov, ki imajo skupnega skrbnika in enotno politiko routinga. Vsak AS ima svojo številko in seznam IP-naslovov, ki mu pripadajo, medtem ko vez med različnimi AS predstavlja BGP (Border Gateway Protocol). Sistem temelji na zaupanju, saj vsako omrežje oglašuje, kateri IP-naslovi so v njihovem delu. Routing potem ni nič drugega kot iskanje najkrajše povezave med dvema avtonomnima sistemoma, ki vsebujeta virni in ciljni IP.

Danes zjutraj pa se je del prometa na Googlove strežnike poizkusil preusmerjati prek indonezijskega ISP-ja Moratel. To se je zgodilo, ker je njihovo omrežje oglaševalo IP-naslove, ki v resnici niso bili njihov del. Tako imenovan slab routing se je razširil, saj je temu oglaševanju verjel tudi PCCW, ki zagotavlja povezavo Moratela do interneta (pojavu se pravi route leakage).CloudFlare, ki je zmedo opazil, je hitro kontaktiral Moratel, ki je napačno objavljanje popravil. V nekaj minutah je bil routing spet pravilen in Googlovi strežniki dostopni. Prizadetih je bilo od 3-5 odstotka uporabnikov interneta.

Opisani problem ni izolirani incident, ampak se tovrstne težave zaradi ustroja interneta pojavljajo večkrat. Spomnimo na težave leta 2008, ko je Pakistan poizkusil blokirati YouTube v svoji države in ga s pokvarjenim routingom blokiral kar po celem svetu (v resnici so ves internetni promet, ki bi moral iti na YouTube, speljali v slepo ulico v Pakistan). Podobno je Kitajska predlani za 18 minut kar 15 odstotkov vsega internetnega prometa poslala čez svoje usmerjevalnike - domnevno po pomoti. S trenutno izvedbo interneta se bodo tudi ponavljali in to je problem. Za nedostopnost storitev je namreč dovolj, da nekdo na drugem koncu sveta v svoje tabele vnese nekaj številk narobe, pa si pri tem ne morete nič pomagati.

15 komentarjev

...:TOMI:... ::

Je to možno tudi na IPv6?
Tomi

lukaz ::

Kitajska to naredi "domnevno po pomoti", ampak pri Indoneziji je bila pa to sigurno pomota? :D

PaX_MaN ::

Verjetn je kdo knjigo spisu na to tematiko in tm not piše da je bla pomota.

Nejk0 ::

Mogoče bi bilo smiselno v članku nakazati tudi rešitev tega problema, ki se že kar nekaj časa razvija: BGPsec (http://tools.ietf.org/html/draft-ietf-s....
--
A life without music is a life in error.

Relanium ::

Internet je vedno bil krhek.

Problem je, ker se mu vse preveč zaupa.

Glugy ::

S čim pa bi preprečl take zlorabe sploh?

Nejk0 ::

Glugy je izjavil:

S čim pa bi preprečl take zlorabe sploh?


http://tools.ietf.org/html/draft-ietf-s...
--
A life without music is a life in error.

Looooooka ::

Predn se bojo za tole zmenil in vsi implementiral bo verjetno se kr lep cajt minil.
Za ta problem vejo ze leta pa se se nic ni naredilo :)

Kamran ::

Oj,

priprave na cenzuro svetovnega spleta. ;)

_Dormage_ ::

Kamran je izjavil:

Oj,

priprave na cenzuro svetovnega spleta. ;)

Kaj ma zdaj to veze?

Afo ::

Relanium je izjavil:

Internet je vedno bil krhek.

Problem je, ker se mu vse preveč zaupa.

Prosim ne nabijaj. Kaj pol sploh bereš novice in pišeš po forumih, sej ne verjameš tej novici ane?
Če je internet problem, potem je problem tudi ker so se ljudje naučili brat in vse preveč verjamejo tistemu kar preberejo ...

Glugy je izjavil:

S čim pa bi preprečl take zlorabe sploh?

S tem da so vsa omrežja strogo potrjena, vsi IP-ji točno določeni v dololčenih omrežjih itd... Drugače povedano to se lahko uredi le z bolj striknimi standardi.
Internet je nastal svoboden, nedokončan, ranljiv (kot pravi avtor) in standardi niso nikoli zaključeni. To mora po mojem tako tudi ostati. Internet je s svojo čudno naravo (tudi z illegalnimi vsebinami) zadnji rasnično demokratični prostor za vse ljudi. Tudi če smo nekajkrat na leto brez yutuba, wikipedie in googla, raje vidim to, kot da ga kontrolirajo strikni standardi, korporacije in vlade.
Bolje biti mlad in neumen, kot samo neumen!

Looooooka ::

No vse lepo in prav ampak BGP morajo popravit.
Ker trenutno bi lahko katerakoli drzava pac zacela broadcastat, da je odgovorna za nek range ipjev in lepo filtrirara/snifala cel promet.
Potem pa pac recejo, da je slo za tehnicno napako al pa da se je nekemu tehniku strgalo in da je ze odpuscen :)
Kaznoval jih pa itak ne bo nihce, ker bo takoj incident(dokaz...kitajska "napaka").

sergejv ::

Kaj pa route filtering na strani SP?
http://ccie-in-3-months.blogspot.com/20...

enadvatri ::

Looooooka je izjavil:

No vse lepo in prav ampak BGP morajo popravit.
Ker trenutno bi lahko katerakoli drzava pac zacela broadcastat, da je odgovorna za nek range ipjev in lepo filtrirara/snifala cel promet.
Potem pa pac recejo, da je slo za tehnicno napako al pa da se je nekemu tehniku strgalo in da je ze odpuscen :)
Kaznoval jih pa itak ne bo nihce, ker bo takoj incident(dokaz...kitajska "napaka").



Davno nazaj so varnostni strokovnjaki javno predstavili MITIM napad poslušanja prometa z vektorjem napada, kjer so izkoriščali to - niti ne ranljivost - temveč lastnost BGP. Še celo v prazgodovini internetsov - t. j. 80. letih - so opozarjali na (ne)varnostno tega protokola.

In v veliko primerih so tovrstni napadi postali praksa nekaterih držav in tisti, ki jim je to omogočeno, tako se domneva. Indicev pa je kar nekaj.

Če do sedaj niso popravili, ne vidim potrebe, da bi sedaj. :))

masterpsi ::

Problem ni v Moraltelu oz. jaz nebi obtoževal Moraltela ampak vsaj enega od njihovih uplink ponudnikov (8 jih je). Če bi oni nastavili filtre tega problema nebi bilo. Ker pa gre za ISP z veliko strankami bi se morali tej filtri pogosto popravljati. Preprosteje je pač odstranitev filtrov. Zakaj bi zaklepal vhodna vrata, ker v 99.999% imaš samo težave s iskenjem/uporabljanjem ključev.

@Tomi: Na IPv6 ta problem ostaja.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Sporni videoposnetek na YouTubu blokiran v čedalje več državah (strani: 1 2 3 )

Oddelek: Novice / Omrežja / internet
10016764 (13071) para!
»

Siol Youtube capping (strani: 1 2 )

Oddelek: Omrežja in internet
949194 (4985) Pesimist
»

Kitajska je za 18 minut na skrivaj čez svoje ozemlje preusmerila 15% svetovnega inter

Oddelek: Novice / Zasebnost
175718 (3286) Lonsarg
»

Napad na Border Gateway Protocol

Oddelek: Novice / Varnost
277784 (5962) AndraZK
»

SIOL tujina down? (strani: 1 2 3 4 5 )

Oddelek: Omrežja in internet
22015120 (7451) PaJo

Več podobnih tem