Das Routing im Internet ist gar nicht so einfach. Zumindest in der Praxis. In der Theorie funktioniert das so, dass jeder Provider und jedes Unternehmen das providerunabhängige IP-Adressen hat über ein Autonomes System (AS) verfügt und mittels Border Gateway Protocol (BGP) anderen bekannten Routern die eigenen Netze und das eigene Autonome System mitteilt.
Für diesen Webserver mit der aktuellen IP-Adresse 88.217.143.204 kann man den Eigentümer (meist der Provider) und das Autonome System bei RIPE anfragen. Man findet dann schnell heraus, die IP-Adresse gehört M“Net (meinem Provider) und befindet sich im AS8767. Und natürlich darf ein Provider mittels BGP nur die Routen verteilen die entweder zu seinem Autonomen System gehören oder die er von anderen Autonomen Systemen gelernt und deshalb weiter verteilt.
Theoretisch kann man Filter einsetzen, die regeln welche Routen man von anderen AS lernen will. In so einer ACL kann man dann festlegen, dass man vom AS8767 nur das Netz 88.217/16 lernen will, nicht aber das Netz 88.220/16 (weil das nicht zu diesem AS gehören kann). Das dumme ist, solche Listen zu pflegen und aktuell zu halten erfordert eine Menge Arbeit und deshalb lassen die meisten Provider das einfach sein. Man vertraut sich gegenseitig, dass kein Provider Routen ankündigt, die ihm nicht gehören. Meistens geht das auch gut.
Meistens. Es gibt ein paar recht bekannte Beispiele wo das schief ging. Beispielsweise hat 2008 der pakistanische Provider Pakistan Telecom mit dem AS17557 IP-Adresse angekündigt und verteilt, die eigentlich YouTube mit dem AS36561 gehören. Pakistan Telecom wollte für diese IP-Adressen ein Null-Routing erreichen (d.h. Pakete an diese Netze einfach wegwerfen), damit deren Kunden nicht mehr auf YouTube zugreifen können. Eine klassische Zensurmaßnahme also. Dummerweise (ein kleiner Konfigurationsfehler, kann ja mal vorkommen) hat Pakistan Telecom die Null-Route nicht nur auf dem eigenen Router eingetragen sondern auch anderen Netzwerken bekanntgegeben und der Upstream-Provider PCCW Global (AS3491) hat sie in der ganzen Welt verteilt.
Wenn ein Router jetzt von verschiedenen Seiten IP-Adressen angekündigt bekommt, schaut er erstmal, wo die längste (d.h. am besten passende) Netzmaske verwendet wird. YouTube hat die eigenen Netze mit einer /22-Maske verteilt, Pakistan Telecom hat eine /24-Maske verwendet. Der meiste YouTube-Datenverkehr wird deshalb nach Pakistan geroutet und dort verworfen.
RIPE hat die Ereignisse mit einer Zeitachse detailliert zusammengefasst. Interessanterweise tritt das Problem gar nicht so selten auf.
Womit wir beim Anlass für diesen Beitrag sind. Heise hat schon vor einiger Zeit die Verläßlichkeit von ermittelten IP-Adressen als Beweismittel in Zweifel gezogen. Was ist, wenn die eigene IP-Adresse in Teilen des Internets gerade von einem fremden Provider „entführt“ wurde und deshalb falsche Beweisdaten erhoben werden?
Klar, das taugt erstmal nicht als Ausrede für illegales Filesharing aber man könnte sich überlegen mit einem guten Anwalt ein Verfahren anzufechten, das diesen Umstand nicht geprüft hat.
„Haste ma’n netblock?“
Layer 8 based IP Address hijacking in the end of the days of IPv4
http://events.ccc.de/congress/2009/Fahrplan/events/3688.en.html
Comment by rel b bin — 12. Juni 2010 @ 21:16
Guter Hinweis, ja. Da habe ich gar nicht mehr dran gedacht. Auch wenn davon eher Endkunden und weniger die Provider betroffen sein werden.
Comment by Christian — 12. Juni 2010 @ 21:52
Voller BGP Export an einen anderen Upstream – Partner ist mir auch schon ein paar Mal passiert und gehört einfach als Berufserfahrung dazu ;-).
Comment by Yeti — 14. Juni 2010 @ 22:29
Hmm ja vielleicht. Aber gibt’s keine Möglichkeit, beim Import von Routen automatisch zu prüfen, ob ein bestimmtes Netz in dem AS das announced wird auch zugelassen ist? So eine Echtzeitanfrage an RIPE & Co. beim Routenimport wäre doch hilfreich, oder?
Comment by Christian — 14. Juni 2010 @ 22:33
Kommentare gesperrt wegen Spam
Comment by Christian — 15. Juli 2010 @ 20:59