Routing-Kleinkrieg Ursache für YouTube-Ausfall

Experten des Réseaux IP Européens Network Coordination Centre (RIPE NCC) haben in einer Analyse gezeigt, wie der Ausfall des Online-Videodienstes YouTube im Februar verursacht wurde. Laut Daniel Karrenberg, Forschungschef beim RIPE NCC, sowie Ticiana Refice und Luca Cittadini von der Universita Roma Tre hatte die Pakistan Telecom schlicht YouTubes IP-Adressraum als eigene Adressen annonciert. Bereits eine Minute später ist die fehlerhafte Route, ein (nach CIDR-Terminologie) /24-Block aus dem YouTube-Adressblock, in zahlreichen Routern eingetragen. Der Datenverkehr sei nach Pakistan geflossen, erläuterte Refice beim gestern gestarteten Treffen der IP-Adressverwaltung RIPE in Berlin.

Das RIPE NCC hat seit mehreren Jahren eine Monitoring-Infrastruktur aufgebaut, um Ausfälle und Attacken besser beobachten zu können. Bei der Analyse der Attacke auf YouTube half das Routing Information System (RIS), das BGP-Daten von rund 600 Peers an 15 verschiedenen Standorten auswertet. Die per Remote Routing Collectors gesammelten Daten werden auch archiviert und können daher übers Webinterface aktuell und für Rückblicke genutzt werden.

Zwei weitere Monitoring-Systeme, Test Traffic Measurement TTM und DNS Monitoring Services (DNSMON), fühlen den Puls des Netzes bei den Datenraten und im System von Root- und ccTLD-Servern. Die Einschränkungen, die sich durch gekappte Tiefseekabel im Nahen Osten für den Netzverkehr ergaben, stellte beim Berliner Treffen Mark Dranse vom RIPE NCC mit Hilfe dieser Tools im Detail vor. Ägypten, der Sudan und Kuweit waren dabei zu 60 Prozent vom Netz abgeschnitten.

Die Ereignisse bei der YouTube-Attacke zeichnen die Forscher zudem mit dem Werkzeug BGPPlay auch grafisch nach. Eine Stunde und zwanzig Minuten nach dem Angriff aus Pakistan reagierte YouTube und kündigte selbst den geklauten /24-Adressblock an, um den Datenverkehr in die richtige Bahn zurückzuleiten. Der Effekt war laut Refice zwar sichtbar, aber noch nicht durchschlagend, denn dann gab es zwei konkurrierende 208.65.153.0/24-Adressblöcke. Auch der kurz darauf noch gestartete Versuch, mit der Ankündigung des noch kleineren 208.65.153.0/25 die Schlacht zu entscheiden, gelingt nicht, denn die /25-Blöcke werden in der Regel von den Netzbetreibern nicht verbreitet. So endet die Auseinandersetzung erst, als der Angriff schließlich auf Seiten der Pakistan Telecom oder seines Upstream Providers PCCW gestoppt wird.

Die YouTube-Attacke zeige, dass die eigene Ankündigung der geklauten Route das Problem nicht wirklich löse, meint Refice. Zu empfehlen sei die Zusammenarbeit mit dem Upstream Provider. Internet Service Provider bräuchten klare Verfahren, die eine rasche Kommunikation mit Upstream-Providern und Peering-Partnern erlaubten. Sie könnten durch das Filtern falscher Routen das Problem vermeiden.

Die YouTube-Attacke löste innerhalb des RIPE auch eine Grundsatzdebatte darüber aus, wie die zunehmende Zahl der kleinteiligen Einträge in Routing-Tabellen zu beurteilen ist. Würde generell mit der Eintragung von /24-Adressen auf solche Attacken reagiert, würden die ohnehin schon aus den Nähten platzenden Routing-Tabellen explodieren, warnen Experten. Karrenberg stellte in Berlin erste Ergebnisse einer Analyse vor, die zeigt, dass tatsächlich bereits über die Hälfte der Routing-Einträge /24-Adressen sind. Er sei selbst von der hohen Zahl überrascht und bat um Rückmeldungen von Seiten der Provider zu möglichen Erklärungen. Ergebnisse der neuen Studie will das RIPE NCC in Kürze veröffentlichen. Refice riet, im Falle der Verbreitung kleinteiliger Blöcke während einer Attacke, diese anschließend wieder zurückzunehmen. YouTube hat sich vorbildlich verhalten und ist aktuell wieder normal auf 208.65.152.0/22 zu erreichen. (Monika Ermert) / (anw)