Networking & IT Security Blog
RSS Icon Email-Icon Home-Icon

  • Wie Pakistan Telecom Youtube lahm legte

    Geschrieben am 16. März 2009 Christian Book Keine Kommentare

    Am 25. Februar 2008 war Youtube.com stundenlang nicht erreichbar, nachdem der Provider Pakistan Telecom auf Anordnung der Staatsführung versucht hatte, die Website für den Zugriff aus Pakistan zu sperren. Durch einen massiven Fehler war das Videoportal jedoch aus weiten Teilen der Welt, unter anderem auch aus Deutschland, unerreichbar.

    Daniel Karrenberg, leitender Wissenschafter von RIPE NCC zeigt in einem Video, wie es zu dem Problem gekommen ist. So plante Pakistan Telecom offenbar die Routen zu Youtube in ihren Systemen so zu verändern, dass alle Anfragen auf die Adressbereich 208.65.152.0/22 von Youtube bzw. das Autome System (AS) 36561 auf einen eigenen, nicht existierenden Adressbereich 208.65.153.0/24 weitergeleitet werden sollten. Der Upstream-Provider von Pakistan Telecom PCCW Global (AS 3491) leitete das Announcement jedoch in das Internet weiter, sodass die Blockade nicht regional auf das AS von Pakistan Telecom begrenz war. Da das Routing im Internet auf dem “Longest Prefix Match First”-Verfahren basiert, bediente Pakistan Telecom sich eines einfaches Tricks: während Youtube ihre Netze als /22 via BGP propagieren, verteilte Pakistan Telecom die falschen Routen als Netze der Größe /24. Weltweit änderten Router ihre Routing-Tabellen daraufhin ab und schickten alle Pakete in Richtung des /24-Netzes und damit nach Pakistan, da diese Route gemäß des “Longest Prefix Match First”-Verfahrens zu bevorzugen war. Nun entstand eine Kettenreaktion, da alle Router die neue, vermeintlich bessere Route über die Routing-Protokolle an andere Geräte verteilten.

    Als das Problem erkannt wurde, begann auch Youtube eine Route mit einem /24-Prefix (208.65.153/24) zu propagieren und damit den Datenverkehr zurück in das eigene AS zu holen. Da viele Router nun jedoch über gleichwertige Routen verfügten, gelang es nicht, den gesamten Verkehr auf die Youtube-Server zu leiten. Große Teile der Anfragen wurden weiterhin Richtung Pakistan und damit ins Nirvana geleitet. Die Reaktion von Youtube bestand in der Progagierung der Routen 208.65.153.128/25 und 208.65.153.0/25, die letzlich den Datenverkehr vollständig auf die korrekten Zieladressen leiteten. Um 21:01 Uhr stoppte PCCW Global die Weiterleitung der falschen Routing-Informationen ihres Kunden Pakistan Telekom.

    Es dauerte nahezu zwei Stunden, bis das Problem eingegrenzt und behoben werden konnte. Dies zeigt, wie unsicher derzeit eingesetzte Routing-Protokolle sind. Anton Kapela und Alex Pilosov zeigen in ihrem Votrag mit dem Titel “Stealing the Internet” eindrucksvoll, wie einfach die Leichtgläubigkeit und die “Router lügen nicht”-Mantalität ausgenutzt werden kann.

    Hier eine kurze Chronologie des Ausfalls vom 25.02.2008

    Before, during and after Sunday, 24 February 2008: AS36561 (YouTube) announces 208.65.152.0/22. Note that AS36561 also announces other prefixes, but they are not involved in the event.
    Sunday, 24 February 2008, 18:47 (UTC): AS17557 (Pakistan Telecom) starts announcing 208.65.153.0/24. AS3491 (PCCW Global) propagates the announcement. Routers around the world receive the announcement, and YouTube traffic is redirected to Pakistan.
    Sunday, 24 February 2008, 20:07 (UTC): AS36561 (YouTube) starts announcing 208.65.153.0/24. With two identical prefixes in the routing system, BGP policy rules, such as preferring the shortest AS path, determine which route is chosen. This means that AS17557 (Pakistan Telecom) continues to attract some of YouTube’s traffic.
    Sunday, 24 February 2008, 20:18 (UTC): AS36561 (YouTube) starts announcing 208.65.153.128/25 and 208.65.153.0/25. Because of the longest prefix match rule, every router that receives these announcements will send the traffic to YouTube.
    Sunday, 24 February 2008, 20:51 (UTC): All prefix announcements, including the hijacked /24 which was originated by AS17557 (Pakistan Telecom) via AS3491 (PCCW Global), are seen prepended by another 17557. The longer AS path means that more routers prefer the announcement originated by YouTube.
    Sunday, 24 February 2008, 21:01 (UTC): AS3491 (PCCW Global) withdraws all prefixes originated by AS17557 (Pakistan Telecom), thus stopping the hijack of 208.65.153.0/24. Note that AS17557 was not completely disconnected by AS3491. Prefixes originated by other Pakistani ASs were still announced by AS17557 through AS3491.

    Weitere Information:

    networking, unterhaltung , ,

    Kommentare sind deaktiviert.

Kategorien

Powered by WordPress
Designed by My Mobiles