Chinesischer Provider "entführt" kurzzeitig Teile des Internets
Ein chinesischer Internet-Provider hat durch einen Konfigurationsfehler eines BGP-Routers kurzzeitig propagiert, für das Routing zu rund 37.000 IP-Netzen zuständig zu sein. In der Folge kam es weltweit zu Routingproblemen.
- Daniel Bachfeld
Der kleinere chinesische Internet-Provider IDC China hat sich Berichten zufolge durch einen Konfigurationsfehler eines BGP-Routers kurzzeitig für das Routing zu rund 37.000 IP-Netzen zuständig erklärt. Über das Border-Gateway-Protocol signalisieren sich Router, für welche Netze (autonome Systeme, AS) sie zuständig sind und welche anderen Netze sie erreichen können.
Hauptsächlich soll der chinesische Provider Routen zu Netzen (BGP Prefixes) verkündet haben, die zu anderen Providern in den USA und China gehören. Zu den propagierten Netzen sollen auch die von Dell, CNN, Apple, www.amazon.de, www.rapidshare.com und www.geocities.jp gehört haben.
Anwender landeten beim Aufruf von Web-Seiten unter Umständen im Netz des chinesischen ISP, in denen die Aufrufe versandeten. Laut BGPmon.net hat unter anderem auch die Deutsche Telekom die Routen kurzzeitig übernommen, allerdings waren offenbar die bereits bekannten Routen zu den Netzen kürzer, weshalb in den meisten Fällen die Pakete doch nicht den Weg über IDC China nahmen. Gleiches soll laut BGPmon.net für die meisten US-Provider gelten. Vermutlich dürften hauptsächlich asiatische Anwender durch den Fehler kurzzeitig Probleme gehabt haben.
Derartige Vorfälle sind zwar nicht neu, sie zeigen aber erneut, wie empfindlich und wie leicht manipulierbar die Verknüpfung autonomer Systeme über BGP ist. Grundsätzlich kann ein ISP durch die Signalisierung präparierter BGP-Informationen den Verkehr zu bestimmten Netzen gezielt über sich umleiten und belauschen. Auf der Sicherheitskonferenz Defcon 2008 demonstrierten Hacker, dass sie ebenfalls in der Lage sind, über die Manipulation von BGP Daten im Internet umleiten und damit auch mitlesen können. Legendär ist auch der Versuch Pakistans, den Zugriff auf YouTube zu sperren. Sie annoncierten auf ihrem Border-Gateway eine spezielle Route zu den Youtube-Servern, die auf das Null-Device zeigte und sich rasend schnell im Internet ausbreitete. Das Resultat war, dass an Youtube gerichtete Pakete aus der ganzen Welt in einem digitalen Mülleimer in Pakistan landeten.
Mögliche Manipulationen und deren Abwehrmaßnahmen enthält die Präsentation "Prefix Hijacking Mitigation " (PDF). Daneben denken Netzbetreiber darüber nach, die Routinginformationen kryptografisch abzusichern.
Siehe dazu auch:
- Netzbetreiber wollen Routen sichern
- "Router lügen nicht" – was, wenn doch?
- Fehlkonfigurierter Router beeinträchtigt Teile des Internet
(dab)
