Jak Pákistán unesl YouTube

24. února byla neděle. V neděli západní svět nepracuje, to však neplatí o muslimských zemích, kde je dnem svátečním naopak pátek. Možná i proto bylo toto datum zvoleno jako datum dalšího úderu odpůrcům Alláhovým. Pákistánská vláda rozhodla o zamezení přístupu na Youtube a toto zamezení dala za úkol všem ISP v zemi. Největší z ISP, Pakistan Telecom, to ovšem vzal pěkně od podlahy a na pár hodin svým zákrokem zablokoval přístup na Youtube prakticky celému světu, zaznamenali jsme to i v ČR (například u ISP, kde pracuji, došlo na jedné z transitních linek k masivnímu jednosměrnému poklesu provozu) a začali ihned pátrat po příčinách.

Youtube propaguje do světa několik velkých prefixů (prefix je blok IPv4 či IPv6 adres, uváděný jako první adresa v bloku lomeno bitmaska), z nichž, což si lze ověřit i pomocí tcpdumpu či Etherealu při sledování nějakého Youtube videa, je pro sledování samotných videí důležitý zejména prefix 208.65.152.0/22. Vysílání pak probíhá ze strojů, které se nalézají v rozsahu 208.65.153.0/24 (což je součást výše uvedeného prefixu 208.65.152.0/22). To není těžké si zjistit, pokud čas od času provádíte optimalizaci směrování internetového provozu, tak vám to nebude činit nejmenší problém – a stejně tak to nečinilo problém technikům v Pakistan Telecom.

Kdo ví, zda to byla chyba, nebo ten prefix byl do světa šířen záměrně. Souhrnné označení pro směrování části provozu do horoucích pekel je „blackholing“. Obvykle se takový postup používá jako obrana proti masivním DDoS útokům – zkrátka se v rámci sítě propaguje nějaký prefix (často obsahující jen jedinou IPv4 adresu, tedy s bitmaskou /32) z nějakého směrovače, kde pak je dotyčná routa (cesta) nasměrována na zařízení jménem Null (v případě směrovačů od společnosti Cisco Systems). Proč se to dělá právě takto? Má to historické kořeny, směrovač pochází od slova směrovat – v tom je dobrý. Další činnosti sice vykonávat umí také, ale už v nich obvykle tak dobrý nebýval, takže v routování packetů do černé díry bývaly routery výrazně lepší než v jejich filtrování pomocí access-listů. V době dnešních hybridních routing/switching platforem, provádějících většinu operací s packetem už v ASIC či PLC obvodu konkrétního fyzického interface, už tento způsob ztrácí pomalu svůj význam – ale stále se tato metoda používá. Dovedu si představit, že se tento prefix původně neměl dostat mimo síť Pakistan Telecom.

Leč stalo se, přesně v 19:47 našeho času se prefix 208.65.153.0/24 originovaný ze sítě Pakistan Telecom dostal přes síť PCCW Global do celosvětových routovacích tabulek. Packety, které tak měly být dopraveny do datacentra YouTube poblíž Atlanty v Georgii, tak skončily kdesi v Karáčí, na opačném konci světa. Routa /24 je více specifická než routa /22, má proto před ní při směrování packetu přednost. Ze sítě PCCW jsme onu routu přijali do našich routovacích tabulek také my (můj zaměstnavatel provozuje jednu z mála českých sítí, která má s PCCW Global přímý peering). Kdybychom však routu nedostali peeringovým propojem, stejně bychom ji získali po transitních propojích (také jsme ji získali, jen se samozřejmě nevyhodnotila jako nejlepší), výsledek by byl každopádně stejný.

Co se dělo dále? Pozvolna, jak si toho velcí operátoři všímali, byla tato routa filtrována. Nejlépe je to popsáno na Renesys, který trvale provádí monitoring celosvětových routovacích tabulek na 250 místech světa a je schopen takové události zpětně dohledat, takže jen ve zkratce: po zhruba hodině a čtvrt se o události dozvěděli administrátoři Youtube, oznámili routu 208.65.153.0/24 do světa také (čímž alespoň část světa získala tuto routu lépe od pravého Youtube než od Pakistan Telecom) a po dalších deseti minutách Youtube začal také oznamovat tuto routu po polovinách, tedy rozdělenou na 208.65.153.0/25 a 208.65.153.128/25. Bohužel takhle malé routy již většina velkých sítí filtruje. Kolem 22:00 našeho času byla routa z Pakistan Telecom odfiltrována operátory PCCW a Youtube se opět rozběhl všem.

O tom, že se routy kradou (v angličtině se, pravda, spíše používá termín „route hijack“, tedy únos routy), odborná veřejnost příliš nemluví, ačkoli se všeobecně ví, že se to stává, pouze v našich končinách to není příliš obvyklé. Nedávno se takový případ stal – patrně omylem – u jednoho poměrně velkého slovenského operátora, který začal oznamovat svým peeringovým partnerům sítě 2.0.0.0/8, 5.0.0.0/8, 10.0.0.0/8, 23.0.0.0/8, 27.0.0.0/8, 36.0.0.0/7, 100.0.0.0/6 a další. Ve světě se to stává častěji, obvykle však jde o zcela zjevné konfigurační chyby, nikoli záměr. Zda to byl omyl i tentokrát, je ovšem vzhledem k okolnostem sporné.