Vor ein paar Tagen (genauer am 24. Februar) beschloss die pakistanische Regierung alle nationalen Internet-Provider anzuweisen, YouTube zu blockieren. Regierungszensur in arabischen oder asiatischen Ländern ist nun eigentlich kein Thema für dieses Blog, da würde ich mit den vielen Einträgen nicht mehr mitkommen. Egal ob Burma, Thailand, Singapur, China oder jetzt Pakistan. Gut, Deutschland ist da nicht viel besser aber egal.
Normalerweise kann man Webseiten auf verschiedene Arten blockieren:
- Man erzeugt falsche DNS-Einträge, die sich jedoch trivial umgehen lassen
- Man erzeugt eine ACL auf dem Router, der die IP-Adressen blockiert. Der Betreiber kann jedoch oft schnell seine IP-Adressen wechseln
- Man erzeugt ein Null-Routing, d.h. die IP-Adressen werden ins Nirwana geroutet. Der Betreiber kann hier ebenfalls die IP-Adressen wechseln.
Interessant ist jedoch die Art die die Pakistanische Telecom vorgegangen ist. Sie haben dort eigene Server mit den IP-Adressen (208.65.153.238, 208.65.153.251 und 208.65.153.253) von YouTube aufgesetzt, vermutlich um Nutzern die auf diese Seiten gelangen einen Hinweis auf die Sperrung zu geben. Der Fehler von Pakistan Telecom war jedoch, diese Adressen auch auf den zentralen Routern einzutragen und global zu propagieren.
Aus dem Routing-Grundkurs wissen wir jetzt, dass bekanntlich die Route zieht, die mit der spezifischeren Netzmaske vorliegt. Da die Pakistani ihr Netz mit einer Class C Netzmaske (255.255.255.0) propagierten, eine Netzmaske die im globalen BGP-Netz eigentlich nicht vorkommt, weil bei so kleinen Netzen sonst die Routingtabellen gesprengt würden, hatte dieses Netz plötzlich global die höchste Priorität. Die globalen Router der großen Provider änderten auch prompt ihr Routing und YouTube war global für etwa eine Stunde aus dem Internet verschwunden. Natürlich versehentlich.
Ich stelle mir das jetzt gerade als „Large Scale“ Angriff auf die Internet-Infrastruktur vor. Nicht so schimmlige DoS-Angriffe gegen die DNS Root-Server. Eine Cisco IOS-Lücke und Übernahme zentraler Core-Router im Internet. Und dann falsche Routingtabellen propagieren. Auf diese Weise könnte man locker den Komplettzusammenbruch des Internets herbeiführen.
Ganz neu ist die Gefahr nicht. Ein paar Leute aus der älteren Generation erinnern sich noch an den Vorfall mit dem AS7007, das Routingeinträge von Kunden nicht korrekt ausfilterte und im Internet propagiert hat. Das war 1997. Die Regeln der Provider sagen inzwischen, dass man auf den Routern Filter hat und nur die eigenen Netzwerke propagieren darf aber wenn sich ein Provider wie hier die Pakistani nicht dran halten oder ein Router übernommen wird, dann kracht es halt.
In einem Bericht zum aktuellen Ausfall habe ich den Vorschlag gelesen, dringend Secure BGP (S-BGP) zu implementieren. Nur, das nützt gar nichts wenn die Core-Router der großen Provider den Fehler verursachen. Die haben ja korrekte Keys und können daher korrekt Routen austauschen. Ich habe ganz im Gegenteil den Eindruck, so richtig haben die großen Provider auch keine Vorstellung wie ein solcher Angriff in Zukunft verhindert werden kann.
Mal sehen, wann wir den nächsten Vorfall erleben.
Hallo,
die meisten Provider sperren Netze kleiner /24 und lassen meist nur die Netze ihrer Partner zu. Wenn sich daran jeder halten würde hätten man ein recht stabiles Netz.
Kleine ISP`s haben aber in der Regel any any von ihren upstreams und diese sind bei traceroute.org zu finden
lg
Comment by Death Dealer — 4. März 2008 @ 11:02
Soweit ich weiß, ist die kleinste Netzgröße für die man noch ein eigenes Autonomes System bekommt inzwischen /22, ein /24 dürfte deshalb auch nie angenommen werden. Im Grunde könnte jeder Provider Ingress und Egress alle Routen filtern, es macht halt Arbeit und gerade die kleineren „vergessen“ das gerne.
Die Liste bei traceroute.org enthält alle Provider die any any annehmen? Dann wären das quasi interessante Angriffsziele, oder?
Comment by Christian — 4. März 2008 @ 16:38
Kommentare gesperrt wegen Spam
Comment by Christian — 29. Juli 2010 @ 15:23