Hlavní navigace

Část Internetu zhavarovala. Tentokrát kvůli výzkumu!

 Autor: 29
Zbyněk Pospíchal

V pátek 27. srpna dopoledne testovali výzkumní pracovníci RIPE NCC, pracující na projektu RIS, zatím nepoužívaný atribut směrovacího protokolu BGP4. Některé směrovače s tím měly problém a problém se eskaloval natolik, že část Internetu byla nedostupná. Co se stalo?

Že RIPE NCC provozuje své laboratoře, je všeobecně celkem známá věc. Některé výsledky jejich práce nám slouží denně, aniž bychom si to vůbec uvědomovali. Jednou z vývojových aktivit kolem RIPE NCC je kupříkladu nameserverový software NSD, další pak služba RIS (Routing Information Services), která získává data o směrování v Internetu z řady míst po světě a na získaných datech pak provozuje řadu aplikací, z nichž nejznámější je asi BGPviz, umožňující přehledně sledovat, odkud a jak jsou oznamovány jednotlivé prefixy (směrované bloky IP adres), zda došlo v minulosti k nějakým změnám, výpadkům, změnám v routingu atd. A právě vývojáři RIS začali do části Internetu (konkrétně do nizozemských peeringových uzlů AMS-IX, NL-IX a GN-IX) v 11:41 našeho času oznamovat prefix 93.175.144.0/24 s atributem, označeným nepoužívaným kódovým číslem, kde délka dat umístěných v tomto atributu měla délku zhruba tři tisíce bajtů, obsahujících samé nuly.

Náhle se stalo cosi, co nikdo neočekával. Z amsterdamského peeringového uzlu AMS-IX, jednoho z největších na světě, se náhle ztratilo 80 gigabitů za sekundu internetového provozu. V podobné míře se ztratil provoz i z londýnského LINXu, o něco méně provozu ztratil frankfurtský DE-CIX. Pokles provozu o cca 6 Gbps postihl i NIX.CZ. Proč? Na to se nacházela odpověď až postupně. Primárně byly postiženy nejvýkonnější směrovače od Cisco Systems, používající určité konkrétní verze operačního systému IOS XR, tedy narozdíl od předchozího podobného problému, způsobeného překlepem u malého českého ISP, byly postiženy zejména větší sítě s nejmodernějšími směrovači (tedy zejména jejich „vlajkovou lodí“ CRS-1, ale kolují i informace o tom, že postiženy byly i některé směrovače GSR, tedy starší řada Cisco 12000). Mezi postižené patřil nizozemský Leaseweb, jeden z největších světových poskytovatelů hostingu (který ztratil na zhruba hodinu několik set gigabitů datového provozu), British Telecom, Proxad, německá síť Vodafone (bývalý Arcor), Portugal Telecom, z českých pak v o něco menší míře Telefonica O2 a částečně (jeden peer) GTS Novera.

Graf O2

(veřejně dostupný graf provozu na jedné z linek TO2 do NIX.CZ)

Zajímavé je, že Cisco již déle než rok ví o podobné chybě, která se kdysi v IOS XR vyskytovala a podle všeho se zdá, že oprava uvedené chyby řeší i problém z pátku 27. srpna 2010, neboť problémem nebyly postiženi zdaleka všichni operátoři používající ve své síti platformu Cisco CRS-1 (kupříkladu Deutsche Telekom zůstal problémem zcela nepostižen).

Ihned po vzniku problému se objevily hlasy, že globální Internet by neměl být využíván jako testovací platforma pro výzkumné projekty, protože podobná chyba může způsobit rozsáhlé škody. S tímto názorem si dovolím nesouhlasit, pokud by na daný problém nepřišel výzkumník z RIPE NCC, mohl by na něj přijít někdo jiný a zneužít jej kupříkladu paralelně při útoku na jinou část internetové infrastruktury, kupříkladu současně s masivním DDoS útokem na rootovské nameservery. Proto je vlastně dobře, že se slabinu v software páteřních směrovačů podařilo odhalit, a pokud si z celé události máme odnést nějaké poučení, je jím skutečnost, že nejlepším řešením uvedeného problému je diverzita, tedy mít v sítích v roli ASBR (hraničních směrovačů) různá zařízení se zcela odlišným software, nejlépe od různých výrobců. Chyby v software totiž byly, jsou a jestli je něco v budoucnosti jisté, tak že zde i nadále budou.

Při psaní tohoto článku vycházel autor pouze z veřejně dostupných zdrojů.

Našli jste v článku chybu?

31. 8. 2010 0:30

A podle ceho soudite, ze Cisco CRS/GSR routery tvori smerovace v pulce sveta? Precetl jste si to v Blesku? ;-) Existuji i jine routery, jak od Cisca, tak i od jinych vyrobcu (Juniper, Huawei, 3Com, Linux/BSD systemy s Quaggou/Birdem i "slavny" Mikrotik, atd), kterym se pri tomto testu vubec nic nestalo a bezely dal, pokud jejich partnerem nebylo to CRS...

Jakpak chcete vyloucit to, ze vec, ktera jinde roky funguje najednou bude u nejake platformy problem? Prednasite tu spoustu mouder,…

30. 8. 2010 23:18

jenze od dob arpanetu se spousta veci zmenilo i co do navrhu :-)
Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

DigiZone.cz: Placené VoD a obsah zdarma

Placené VoD a obsah zdarma

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)