Bron: Automatisering Gids, 2010-08-30
http://www.automatiseringgids.nl/technologie/telecom/2010/35/experiment-legt-internet-bijna-plat.aspx
Experiment legt internet bijna plat
30 augustus 2010
door: Jelle Wijkstra
Een experiment met een nieuwe variant van het Border Gateway Protocol zorgde vrijdag op verschillende plaatsen voor problemen met internet. De gevolgen bleven beperkt omdat het experiment meteen werd afgeblazen. Volgens experts toont het incident echter nog eens aan hoe fragiel een van de centrale protocollen van het internet is.
Het Border Gateway Protocol speelt een cruciale rol bij het vaststellen van de bereikbaarheid van verschillende segmenten van het internet. De kwetsbaarheid ervan was al eerder gebleken. Een bekend incident was het afsluiten van YouTube door een fout in Pakistan in 2008. De overheid besloot de videodienst te censureren en paste daarvoor de lokale BGP-tabellen aan; door een fout bij de implementatie van die aanpassing werd die afsluiting vervolgens wereldwijd doorgevoerd in de BGP-tabellen.
Een experiment van Duke University en het Network Coordination Center van RIPE – dat de uitgifte van internetadresblokken beheert – toonde vrijdag nogmaals aan hoe makkelijk het fout kan gaan. Met het experiment wilden de onderzoekers een gegevensformat testen dat ze zelf aanduidden als een optioneel transitief attribuut. Wat ze daarmee voorhadden, is op dit moment onduidelijk. Uit een beschrijving van het incident blijkt alleen dat het om een tamelijk grote toevoeging ging van 3000 bytes.
Al snel na het begin van het experiment ontstonden problemen in een groot aantal blokken IP-adressen. In totaal 3500 van dergelijke blokken, verspreid over 60 landen, konden niet overweg met het experimentele attribuut. Het bleek dat sommige routers het attribuut verkeerd interpreteerden, en die verkeerd geïnterpreteerde route-informatie begonnen door te geven aan andere routers. Daardoor dreigde het internet als geheel instabiel te worden. Doordat het experiment meteen na de melding van de problemen werd stopgezet, bleef het probleem beperkt tot een half uur voor ongeveer 1 procent van het internetverkeer.
Volgens beveiligingsexperts die door het Amerikaanse Computerworld over het incident zijn gecontacteerd, blijkt er nogmaals uit hoe kwetsbaar het route-informatiessyteem van internet is. “Als iemand opzettelijk verkeerde routes had kunnen adverteren, waren de gevolgen veel ernstiger geweest”, zei bijvoorbeeld Paul Ferguson van Trend Micro.
Waarom de routers niet met het attribuut overweg konden, is onduidelijk. Het kan zijn dat de beheerders van de blokken in kwestie hadden verzuimd hun BGP-implementatie voor te bereiden op het protocol, maar het is ook mogelijk dat er een onverwacht probleem in de routers schuilt.
