Nimda & Co destabilisieren das Internet

Eine Studie enthüllt einen direkten Zusammenhang zwischen Routing-Instabilitäten und der Ausbreitung von Code Red II und Nimda. Sie liefert damit eine neue Erklärung, warum während dieser Zeiträume viele Server nicht oder nur sehr langsam zu erreichen waren. Bisher führte man dies hauptsächlich auf den durch die Würmer selbst erzeugten Internet-Verkehr zurück.

Das Routing ist ein zentraler Bestandteil der Infrastruktur des Internet. Durch den Austausch von Routing-Messages bringen die für die Beförderung des Internet-Verkehrs zuständigen Router in Erfahrung, wie sie bestimmte Rechner oder Netze erreichen können. Bei der Auswertung von solchen Routing-Messages entdeckten die Forscher zwei Phasen, in denen die Zahl der Routing-Änderungen exponentiell anstieg und für mehrere Stunden auf hohem Niveau blieb. Anders als bei lokalen Ausfällen, die lediglich einen Anstieg in einem Bereich des Internet bewirken, war dieses Phänomen über das ganze Internet verteilt. Die beiden Phasen fallen exakt mit der Ausbreitung von Code Red II beziehungsweise Nimda zusammen.

Die Autoren erklären diese so genannten BGP-Stürme damit, dass in den Randbereichen des Internet reihenweise Router die Last nicht mehr bewältigen konnten oder gezielt vom Netz genommen wurden. Beides führt dazu, dass die noch funktionierenden Router der Backbones sich neue Weg zu ihren Zielen suchen müssen, und dies führt zu noch mehr Routing-Messages. Allerdings bezeichnen die Autoren diese Analyse der Ursachen explizit als vorläufig.

Interessant ist auch, dass beispielsweise die hohe Last in der Folge der Terroranschläge in den USA keine solchen Instabilitäten hervorrief. Auch damals waren viele Server nicht zu erreichen; das lag aber daran, dass die Computer selbst den Ansturm nicht bewältigen konnten – die Infrastruktur des Internet blieb dabei jedoch funktionsfähig. (ju)