Das Routing im Internet ist gar nicht so einfach. Zumindest in der Praxis. In der Theorie funktioniert das so, dass jeder Provider und jedes Unternehmen das providerunabh\u00e4ngige IP-Adressen hat \u00fcber ein Autonomes System (AS) verf\u00fcgt und mittels Border Gateway Protocol (BGP) anderen bekannten Routern die eigenen Netze und das eigene Autonome System mitteilt.<\/p>\n
F\u00fcr diesen Webserver mit der aktuellen IP-Adresse 88.217.143.204 kann man den Eigent\u00fcmer (meist der Provider) und das Autonome System bei RIPE anfragen. Man findet dann schnell heraus, die IP-Adresse geh\u00f6rt M“Net<\/a> (meinem Provider) und befindet sich im AS8767<\/a>. Und nat\u00fcrlich darf ein Provider mittels BGP nur die Routen verteilen die entweder zu seinem Autonomen System geh\u00f6ren oder die er von anderen Autonomen Systemen gelernt und deshalb weiter verteilt.<\/p>\n Theoretisch kann man Filter einsetzen, die regeln welche Routen man von anderen AS lernen will. In so einer ACL kann man dann festlegen, dass man vom AS8767 nur das Netz 88.217\/16 lernen will, nicht aber das Netz 88.220\/16 (weil das nicht zu diesem AS geh\u00f6ren kann). Das dumme ist, solche Listen zu pflegen und aktuell zu halten erfordert eine Menge Arbeit und deshalb lassen die meisten Provider das einfach sein. Man vertraut sich gegenseitig, dass kein Provider Routen ank\u00fcndigt, die ihm nicht geh\u00f6ren. Meistens geht das auch gut.<\/p>\n Meistens. Es gibt ein paar recht bekannte Beispiele wo das schief ging. Beispielsweise hat 2008 der pakistanische Provider Pakistan Telecom mit dem AS17557 IP-Adresse angek\u00fcndigt und verteilt, die eigentlich YouTube mit dem AS36561 geh\u00f6ren. Pakistan Telecom wollte f\u00fcr diese IP-Adressen ein Null-Routing erreichen (d.h. Pakete an diese Netze einfach wegwerfen), damit deren Kunden nicht mehr auf YouTube zugreifen k\u00f6nnen. Eine klassische Zensurma\u00dfnahme also. Dummerweise (ein kleiner Konfigurationsfehler, kann ja mal vorkommen) hat Pakistan Telecom die Null-Route nicht nur auf dem eigenen Router eingetragen sondern auch anderen Netzwerken bekanntgegeben und der Upstream-Provider PCCW Global (AS3491) hat sie in der ganzen Welt verteilt.<\/p>\n Wenn ein Router jetzt von verschiedenen Seiten IP-Adressen angek\u00fcndigt bekommt, schaut er erstmal, wo die l\u00e4ngste (d.h. am besten passende) Netzmaske verwendet wird. YouTube hat die eigenen Netze mit einer \/22-Maske verteilt, Pakistan Telecom hat eine \/24-Maske verwendet. Der meiste YouTube-Datenverkehr wird deshalb nach Pakistan geroutet und dort verworfen.<\/p>\n RIPE hat die Ereignisse mit einer Zeitachse detailliert<\/a> zusammengefasst. Interessanterweise tritt das Problem gar nicht so selten<\/a> auf.<\/p>\n Womit wir beim Anlass f\u00fcr diesen Beitrag sind. Heise hat schon vor einiger Zeit die Verl\u00e4\u00dflichkeit von ermittelten IP-Adressen als Beweismittel in Zweifel<\/a> gezogen. Was ist, wenn die eigene IP-Adresse in Teilen des Internets gerade von einem fremden Provider „entf\u00fchrt“ wurde und deshalb falsche Beweisdaten erhoben werden?<\/p>\n