Hlavní navigace

Jak Pákistán unesl YouTube

Zbyněk Pospíchal

O tom, že Pákistán zablokoval přístup na Youtube, informovala téměř všechna média. Co už ale nebylo řečeno, byla informace o tom, jak to udělal a že to udělal prakticky celému světu (pochopitelně včetně České republiky). Jak se takový únos provádí a co může v praxi znamenat?

24. února byla neděle. V neděli západní svět nepracuje, to však neplatí o muslimských zemích, kde je dnem svátečním naopak pátek. Možná i proto bylo toto datum zvoleno jako datum dalšího úderu odpůrcům Alláhovým. Pákistánská vláda rozhodla o zamezení přístupu na Youtube a toto zamezení dala za úkol všem ISP v zemi. Největší z ISP, Pakistan Telecom, to ovšem vzal pěkně od podlahy a na pár hodin svým zákrokem zablokoval přístup na Youtube prakticky celému světu, zaznamenali jsme to i v ČR (například u ISP, kde pracuji, došlo na jedné z transitních linek k masivnímu jednosměrnému poklesu provozu) a začali ihned pátrat po příčinách.

Youtube propaguje do světa několik velkých prefixů (prefix je blok IPv4 či IPv6 adres, uváděný jako první adresa v bloku lomeno bitmaska), z nichž, což si lze ověřit i pomocí tcpdumpu či Etherealu při sledování nějakého Youtube videa, je pro sledování samotných videí důležitý zejména prefix 208.65.152.0/22. Vysílání pak probíhá ze strojů, které se nalézají v rozsahu 208.65.153.0/24 (což je součást výše uvedeného prefixu 208.65.152.0/22). To není těžké si zjistit, pokud čas od času provádíte optimalizaci směrování internetového provozu, tak vám to nebude činit nejmenší problém – a stejně tak to nečinilo problém technikům v Pakistan Telecom.

Kdo ví, zda to byla chyba, nebo ten prefix byl do světa šířen záměrně. Souhrnné označení pro směrování části provozu do horoucích pekel je „blackholing“. Obvykle se takový postup používá jako obrana proti masivním DDoS útokům – zkrátka se v rámci sítě propaguje nějaký prefix (často obsahující jen jedinou IPv4 adresu, tedy s bitmaskou /32) z nějakého směrovače, kde pak je dotyčná routa (cesta) nasměrována na zařízení jménem Null (v případě směrovačů od společnosti Cisco Systems). Proč se to dělá právě takto? Má to historické kořeny, směrovač pochází od slova směrovat – v tom je dobrý. Další činnosti sice vykonávat umí také, ale už v nich obvykle tak dobrý nebýval, takže v routování packetů do černé díry bývaly routery výrazně lepší než v jejich filtrování pomocí access-listů. V době dnešních hybridních routing/switching platforem, provádějících většinu operací s packetem už v ASIC či PLC obvodu konkrétního fyzického interface, už tento způsob ztrácí pomalu svůj význam – ale stále se tato metoda používá. Dovedu si představit, že se tento prefix původně neměl dostat mimo síť Pakistan Telecom.

Leč stalo se, přesně v 19:47 našeho času se prefix 208.65.153.0/24 originovaný ze sítě Pakistan Telecom dostal přes síť PCCW Global do celosvětových routovacích tabulek. Packety, které tak měly být dopraveny do datacentra YouTube poblíž Atlanty v Georgii, tak skončily kdesi v Karáčí, na opačném konci světa. Routa /24 je více specifická než routa /22, má proto před ní při směrování packetu přednost. Ze sítě PCCW jsme onu routu přijali do našich routovacích tabulek také my (můj zaměstnavatel provozuje jednu z mála českých sítí, která má s PCCW Global přímý peering). Kdybychom však routu nedostali peeringovým propojem, stejně bychom ji získali po transitních propojích (také jsme ji získali, jen se samozřejmě nevyhodnotila jako nejlepší), výsledek by byl každopádně stejný.

Co se dělo dále? Pozvolna, jak si toho velcí operátoři všímali, byla tato routa filtrována. Nejlépe je to popsáno na Renesys, který trvale provádí monitoring celosvětových routovacích tabulek na 250 místech světa a je schopen takové události zpětně dohledat, takže jen ve zkratce: po zhruba hodině a čtvrt se o události dozvěděli administrátoři Youtube, oznámili routu 208.65.153.0/24 do světa také (čímž alespoň část světa získala tuto routu lépe od pravého Youtube než od Pakistan Telecom) a po dalších deseti minutách Youtube začal také oznamovat tuto routu po polovinách, tedy rozdělenou na 208.65.153.0/25 a 208.65.153.128/25. Bohužel takhle malé routy již většina velkých sítí filtruje. Kolem 22:00 našeho času byla routa z Pakistan Telecom odfiltrována operátory PCCW a Youtube se opět rozběhl všem.

O tom, že se routy kradou (v angličtině se, pravda, spíše používá termín „route hijack“, tedy únos routy), odborná veřejnost příliš nemluví, ačkoli se všeobecně ví, že se to stává, pouze v našich končinách to není příliš obvyklé. Nedávno se takový případ stal – patrně omylem – u jednoho poměrně velkého slovenského operátora, který začal oznamovat svým peeringovým partnerům sítě 2.0.0.0/8, 5.0.0.0/8, 10.0.0.0/8, 23.0.0.0/8, 27.0.0.0/8, 36.0.0.0/7, 100.0.0.0/6 a další. Ve světě se to stává častěji, obvykle však jde o zcela zjevné konfigurační chyby, nikoli záměr. Zda to byl omyl i tentokrát, je ovšem vzhledem k okolnostem sporné.

Anketa

Zaznamenali jste tento výpadek Youtube?

Našli jste v článku chybu?

26. 2. 2008 18:31

Bochi (neregistrovaný)
Myslim, ze vase rekace je zbytecne agresivni. Odborne clanky mivaji odkazy na dolnujici nebo vysvetlujici literaturu a v popularne-odbornych mediich (mezi ktere radim i Lupu) mivaji ve zvyku hlavni pojmy aspon zbezne definovat nebo vysvetlit v postrannim sloupku nebo boxu. U clanku jako je tento by se to vylozene hodilo, protoze (a to se mnou doufam budete souhlasit) je jeho odbornost rozhodne nad beznym prumerem Lupy.
Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Brněnský radní chce zničit kartel operátorů. Uspěje?

Brněnský radní chce zničit kartel operátorů. Uspěje?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný