"Die Gefahr ist real"

Inhaltsverzeichnis

Die Internet-Infrastruktur wird über das sogenannte BGP-Protokoll (Border Gateway Protocol) zusammengehalten, das Routern im Netz mitteilt, wohin Datenverkehr geleitet werden muss. Dieses Protokoll ist erstaunlich anfällig für Manipulationen, wie Netzwerkexperte Andree Toonk im TR-Interview sagt.

Andree Toonk hat Kommunikations- und Netzwerktechnik in den Niederlanden studiert und ist heute Netzwerkarchitekt des Forschungsnetzes BCNET der kanadischen Provinz British Columbia. Neben seiner Arbeit an der University of British Columbia betreibt der den Dienst BGPmon, mit dem sich Internet-Administratoren über Veränderungen in der Netzwerkinfrastruktur informieren können. Mit BGPMon entdeckte er im April auch die Umleitung von fast 40.000 IP-Netzen, bei der zahlreiche bekannte Internet-Adressen plötzlich zu einem chinesischen Provider "entführt" wurden.

Technology Review: Herr Toonk, könnten Sie für normale Menschen verständlich erklären, was das Border Gateway Protocol (BGP) ist und warum es für das Internet eine solche Wichtigkeit hat?

Andree Toonk: BPG ist das Protokoll, das von den großen Router-Systemen im Internet verwendet wird, die für die Weiterleitung des Datenverkehrs sorgen. Es erlaubt ihnen den Informationsaustausch darüber, auf welchem Wege Internet-Adressbereiche (IPs) erreicht werden können. Basierend auf diesen Informationen bestimmen die Router dann, wo sie welches Paket mit einem bestimmten Ziel hinzuschicken haben.

BGP st nicht das einzige Routing-Protokoll, das heute verwendet wird, es ist aber das einzige, das von sogenannten autonomen Systemen (Autonomous Systems, AS) verwendet wird. Ein solches AS ist im Grunde eine numerische Repräsentation eines Diensteanbieters im Netz – Google ist beispielsweise AS15169. Man kann also mit Fug und Recht sagen, dass BGP das Protokoll ist, das das Internet zusammenhält.

TR: Im April gab es in Sachen BGP eine erstaunliche Entwicklung – rund 37.000 IP-Netzwerke auf der ganzen Welt wurden plötzlich zu einem chinesischen Internet-Provider umgeleitet. Was ist da genau passiert?

Toonk: Ich betreibe ein Projekt namens BGPmon, das von Tausenden von Netzwerkadministratoren in der ganzen Welt genutzt wird, um Veränderungen im BGP zu überwachen. Eines der Dinge, die wir dabei im Blick haben, sind Vorfälle, bei denen autonome Systeme plötzlich IP-Bereiche als ihre eigenen ankündigen, die ihnen aber offensichtlich nicht "gehören". Das nennt man dann einen BGP-Hijack.

Ein Beispiel für diese Art der Netzwerk-Entführung gab es im Februar 2008, als die Adressen von YouTube plötzlich von der pakistanischen Telekom (PT) für sich in Anspruch genommen wurden. In diesem Fall annoncierte AS17557 (die PT) eine bessere Route für die YouTube-IPs.

Das Endergebnis war, dass die meisten Router im Internet plötzlich annahmen, YouTube sei nun am besten über die PT zu erreichen und den dafür vorgesehenen Datenverkehr nach Pakistan schickten. Dort angekommen wurden die Pakete dann ignoriert, so dass YouTube fast überall nicht mehr erreichbar war. [Wie sich später herausstellte, handelte es sich vermutlich um einen fehlgelaufenen Zensurversuch, der eigentlich nur innerhalb Pakistans gelten sollte, Anm. d. Red.]

Am 8. April gab es nun einen ähnlichen Vorfall mit AS23724, einem der Rechenzentren, die von China Telecom betrieben werden. Dabei wurden mehrere Tausend Routen bekanntgegeben, bei denen dieses AS angeblich die Quelle war. Man könnte also sagen, dass dieser Provider "gelogen" hat, welche IP-Adressbereiche wirklich in seinem Netzwerk steckten.

Dies führte dann dazu, dass viele Router im Internet auch hier wieder annahmen, dass der schnellste Weg zu diesen IPs über China führte. Die neuen Routen setzten sich gegenüber den alten, korrekten durch. Solche Ereignisse kommen zwar immer wieder vor, doch diesmal ging es um Tausende von Adresssegmenten, darunter auch denen, die dem Computerhersteller Dell, dem US-Sender CNN oder dem E-Commerce-Händler Amazon gehörten.

TR: Wie kommt es zu solchen Vorfällen?

Toonk: Oft geht es nur um eine Fehlkonfiguration. Menschen kümmern sich um das Set-up dieser Systeme und Menschen machen eben Fehler. Das Problem ist, dass es heute keinen Weg gibt, nachzuprüfen, ob das, was ein BGP-"Sprecher", also ein Router, sagt, wirklich der Wahrheit entspricht – und ob dieser BGP-Sprecher überhaupt autorisiert ist, dieses Netz gegenüber den anderen anzukündigen. Wenn es eine Methode gäbe, die Korrektheit solcher Ankündigungen zu prüfen, gäbe es diese Vorfälle nicht.