Hlavní navigace

Jak Pákistán unesl YouTube

Zbyněk Pospíchal 26. 2. 2008

O tom, že Pákistán zablokoval přístup na Youtube, informovala téměř všechna média. Co už ale nebylo řečeno, byla informace o tom, jak to udělal a že to udělal prakticky celému světu (pochopitelně včetně České republiky). Jak se takový únos provádí a co může v praxi znamenat?

24. února byla neděle. V neděli západní svět nepracuje, to však neplatí o muslimských zemích, kde je dnem svátečním naopak pátek. Možná i proto bylo toto datum zvoleno jako datum dalšího úderu odpůrcům Alláhovým. Pákistánská vláda rozhodla o zamezení přístupu na Youtube a toto zamezení dala za úkol všem ISP v zemi. Největší z ISP, Pakistan Telecom, to ovšem vzal pěkně od podlahy a na pár hodin svým zákrokem zablokoval přístup na Youtube prakticky celému světu, zaznamenali jsme to i v ČR (například u ISP, kde pracuji, došlo na jedné z transitních linek k masivnímu jednosměrnému poklesu provozu) a začali ihned pátrat po příčinách.

Youtube propaguje do světa několik velkých prefixů (prefix je blok IPv4 či IPv6 adres, uváděný jako první adresa v bloku lomeno bitmaska), z nichž, což si lze ověřit i pomocí tcpdumpu či Etherealu při sledování nějakého Youtube videa, je pro sledování samotných videí důležitý zejména prefix 208.65.152.0/22. Vysílání pak probíhá ze strojů, které se nalézají v rozsahu 208.65.153.0/24 (což je součást výše uvedeného prefixu 208.65.152.0/22). To není těžké si zjistit, pokud čas od času provádíte optimalizaci směrování internetového provozu, tak vám to nebude činit nejmenší problém – a stejně tak to nečinilo problém technikům v Pakistan Telecom.

Kdo ví, zda to byla chyba, nebo ten prefix byl do světa šířen záměrně. Souhrnné označení pro směrování části provozu do horoucích pekel je „blackholing“. Obvykle se takový postup používá jako obrana proti masivním DDoS útokům – zkrátka se v rámci sítě propaguje nějaký prefix (často obsahující jen jedinou IPv4 adresu, tedy s bitmaskou /32) z nějakého směrovače, kde pak je dotyčná routa (cesta) nasměrována na zařízení jménem Null (v případě směrovačů od společnosti Cisco Systems). Proč se to dělá právě takto? Má to historické kořeny, směrovač pochází od slova směrovat – v tom je dobrý. Další činnosti sice vykonávat umí také, ale už v nich obvykle tak dobrý nebýval, takže v routování packetů do černé díry bývaly routery výrazně lepší než v jejich filtrování pomocí access-listů. V době dnešních hybridních routing/switching platforem, provádějících většinu operací s packetem už v ASIC či PLC obvodu konkrétního fyzického interface, už tento způsob ztrácí pomalu svůj význam – ale stále se tato metoda používá. Dovedu si představit, že se tento prefix původně neměl dostat mimo síť Pakistan Telecom.

Leč stalo se, přesně v 19:47 našeho času se prefix 208.65.153.0/24 originovaný ze sítě Pakistan Telecom dostal přes síť PCCW Global do celosvětových routovacích tabulek. Packety, které tak měly být dopraveny do datacentra YouTube poblíž Atlanty v Georgii, tak skončily kdesi v Karáčí, na opačném konci světa. Routa /24 je více specifická než routa /22, má proto před ní při směrování packetu přednost. Ze sítě PCCW jsme onu routu přijali do našich routovacích tabulek také my (můj zaměstnavatel provozuje jednu z mála českých sítí, která má s PCCW Global přímý peering). Kdybychom však routu nedostali peeringovým propojem, stejně bychom ji získali po transitních propojích (také jsme ji získali, jen se samozřejmě nevyhodnotila jako nejlepší), výsledek by byl každopádně stejný.

widgety

Co se dělo dále? Pozvolna, jak si toho velcí operátoři všímali, byla tato routa filtrována. Nejlépe je to popsáno na Renesys, který trvale provádí monitoring celosvětových routovacích tabulek na 250 místech světa a je schopen takové události zpětně dohledat, takže jen ve zkratce: po zhruba hodině a čtvrt se o události dozvěděli administrátoři Youtube, oznámili routu 208.65.153.0/24 do světa také (čímž alespoň část světa získala tuto routu lépe od pravého Youtube než od Pakistan Telecom) a po dalších deseti minutách Youtube začal také oznamovat tuto routu po polovinách, tedy rozdělenou na 208.65.153.0/25 a 208.65.153.128/25. Bohužel takhle malé routy již většina velkých sítí filtruje. Kolem 22:00 našeho času byla routa z Pakistan Telecom odfiltrována operátory PCCW a Youtube se opět rozběhl všem.

O tom, že se routy kradou (v angličtině se, pravda, spíše používá termín „route hijack“, tedy únos routy), odborná veřejnost příliš nemluví, ačkoli se všeobecně ví, že se to stává, pouze v našich končinách to není příliš obvyklé. Nedávno se takový případ stal – patrně omylem – u jednoho poměrně velkého slovenského operátora, který začal oznamovat svým peeringovým partnerům sítě 2.0.0.0/8, 5.0.0.0/8, 10.0.0.0/8, 23.0.0.0/8, 27.0.0.0/8, 36.0.0.0/7, 100.0.0.0/6 a další. Ve světě se to stává častěji, obvykle však jde o zcela zjevné konfigurační chyby, nikoli záměr. Zda to byl omyl i tentokrát, je ovšem vzhledem k okolnostem sporné.

Anketa

Zaznamenali jste tento výpadek Youtube?

Našli jste v článku chybu?
Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

Vitalia.cz: Dostal malý pivovar ze Slovenska do Tesca

Dostal malý pivovar ze Slovenska do Tesca

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Podnikatel.cz: Kalousek chce odklad EET. Předvolební tah?

Kalousek chce odklad EET. Předvolební tah?

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: UPC má v nabídce Discovery v HD

UPC má v nabídce Discovery v HD

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Root.cz: Bezpečný router Omnia právě dorazil

Bezpečný router Omnia právě dorazil

Vitalia.cz: Jaký je rozdíl mezi brambůrky a chipsy?

Jaký je rozdíl mezi brambůrky a chipsy?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD