{"id":543,"date":"2008-03-03T18:02:04","date_gmt":"2008-03-03T16:02:04","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/543-isp-hijacking-gefahrdet-das-ganze-internet"},"modified":"2018-05-31T16:17:00","modified_gmt":"2018-05-31T15:17:00","slug":"isp-hijacking-gefahrdet-das-ganze-internet","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/543-isp-hijacking-gefahrdet-das-ganze-internet","title":{"rendered":"ISP Hijacking gef\u00e4hrdet das ganze Internet"},"content":{"rendered":"

Vor ein paar Tagen (genauer am 24. Februar<\/a>) beschloss die pakistanische Regierung alle nationalen Internet-Provider anzuweisen, YouTube zu blockieren. Regierungszensur in arabischen oder asiatischen L\u00e4ndern ist nun eigentlich kein Thema f\u00fcr dieses Blog, da w\u00fcrde ich mit den vielen Eintr\u00e4gen nicht mehr mitkommen. Egal ob Burma, Thailand, Singapur, China oder jetzt Pakistan. Gut, Deutschland ist da nicht viel besser<\/a> aber egal.<\/p>\n

Normalerweise kann man Webseiten auf verschiedene Arten blockieren:<\/p>\n

    \n
  1. Man erzeugt falsche DNS-Eintr\u00e4ge, die sich jedoch trivial umgehen lassen<\/li>\n
  2. Man erzeugt eine ACL auf dem Router, der die IP-Adressen blockiert. Der Betreiber kann jedoch oft schnell seine IP-Adressen wechseln<\/li>\n
  3. Man erzeugt ein Null-Routing, d.h. die IP-Adressen werden ins Nirwana geroutet. Der Betreiber kann hier ebenfalls die IP-Adressen wechseln.<\/li>\n<\/ol>\n

    Interessant ist jedoch die Art die die Pakistanische Telecom vorgegangen ist. Sie haben dort eigene Server mit den IP-Adressen (208.65.153.238, 208.65.153.251 und 208.65.153.253) von YouTube aufgesetzt, vermutlich um Nutzern die auf diese Seiten gelangen einen Hinweis auf die Sperrung zu geben. Der Fehler von Pakistan Telecom war jedoch, diese Adressen auch auf den zentralen Routern einzutragen und global zu propagieren.<\/p>\n

    Aus dem Routing-Grundkurs wissen wir jetzt, dass bekanntlich die Route zieht, die mit der spezifischeren Netzmaske vorliegt. Da die Pakistani ihr Netz mit einer Class C Netzmaske (255.255.255.0) propagierten, eine Netzmaske die im globalen BGP-Netz eigentlich nicht vorkommt, weil bei so kleinen Netzen sonst die Routingtabellen gesprengt w\u00fcrden, hatte dieses Netz pl\u00f6tzlich global die h\u00f6chste Priorit\u00e4t. Die globalen Router der gro\u00dfen Provider \u00e4nderten auch prompt ihr Routing und YouTube war global f\u00fcr etwa eine Stunde aus dem Internet verschwunden<\/a>. Nat\u00fcrlich versehentlich.<\/p>\n

    Ich stelle mir das jetzt gerade als „Large Scale“ Angriff auf die Internet-Infrastruktur vor. Nicht so schimmlige DoS-Angriffe gegen die DNS Root-Server<\/a>. Eine Cisco IOS-L\u00fccke und \u00dcbernahme zentraler Core-Router im Internet. Und dann falsche Routingtabellen propagieren. Auf diese Weise k\u00f6nnte man locker den Komplettzusammenbruch des Internets herbeif\u00fchren.<\/p>\n

    Ganz neu ist die Gefahr nicht. Ein paar Leute aus der \u00e4lteren Generation erinnern sich noch an den Vorfall mit dem AS7007<\/a>, das Routingeintr\u00e4ge von Kunden nicht korrekt ausfilterte und im Internet propagiert hat. Das war 1997. Die Regeln der Provider sagen inzwischen, dass man auf den Routern Filter hat und nur die eigenen Netzwerke propagieren darf aber wenn sich ein Provider wie hier die Pakistani nicht dran halten oder ein Router \u00fcbernommen wird, dann kracht es halt.<\/p>\n

    In einem Bericht zum aktuellen Ausfall habe ich den Vorschlag gelesen, dringend Secure BGP (S-BGP)<\/a> zu implementieren. Nur, das n\u00fctzt gar nichts wenn die Core-Router der gro\u00dfen Provider den Fehler verursachen. Die haben ja korrekte Keys und k\u00f6nnen daher korrekt Routen austauschen. Ich habe ganz im Gegenteil den Eindruck, so richtig haben die gro\u00dfen Provider auch keine Vorstellung wie ein solcher Angriff in Zukunft verhindert werden kann.<\/p>\n

    Mal sehen, wann wir den n\u00e4chsten Vorfall erleben.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Vor ein paar Tagen (genauer am 24. Februar) beschloss die pakistanische Regierung alle nationalen Internet-Provider anzuweisen, YouTube zu blockieren. Regierungszensur in arabischen oder asiatischen L\u00e4ndern ist nun eigentlich kein Thema f\u00fcr dieses Blog, da w\u00fcrde ich mit den vielen Eintr\u00e4gen nicht mehr mitkommen. Egal ob Burma, Thailand, Singapur, China oder jetzt Pakistan. Gut, Deutschland ist […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8,10],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/543"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=543"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/543\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=543"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=543"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=543"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}