Skip to content
< Vorheriger Eintrag | Nächster Eintrag >

Montag, 12. April 2010, 13:13

Chinesischer Provider "entführt" kurzzeitig Teile des Internets

Dagegen gibt es z.B. sinnvoll bei der RIPE eingerichtete route-Objekte verbunden mit passenden origin-, import- und export-Tags:

Chinesischer Provider "entführt" kurzzeitig Teile des Internets

Wer das mal in einer Demonstration sehen möchte, findet hier eine Präsentation des YouTube-Hijackings aus 2008, aufbereitet von der RIPE.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Andre/STB

Der Link funktioniert nicht wirklich (landet wieder im Blog).

Wer es übrigens händisch suchen will, im Heise Newsticker ist eine News mit dem identischen Titel wie der Link hier, ich nehme an da wollte Manuel hinverlinken ;-)

Manuel Schmitt (manitu)

DANKE :-)

Jens Link

http://bgpmon.net/blog/?p=282 hat zu der Sache auch ein paar Details und die folgende Präsentation ist auch ganz gut: http://www.renesys.com/tech/presentations/pdf/nanog46-hijack-mitigation.pdf

Mumpakl

Kann mir das Problem mal jemand auf deutsch erklären? Und nein, das Englisch der Quellen ist nicht unbedingt das Problem ;-)

Jens Link

Routing im Internet geschieht über BGP. Das Routing geschieht zwischen Autonomen Systemen (AS). Vereinfacht kann man sagen, AS == ISP.

Die Wegentscheidung wird anhand der Anzahl der ASe zwischen Quelle und Ziel getroffen. Wenn zwei Wege gleich lang sind wird das "genauere" Netz genommen. Wenn du also folgendes hast:

192.168.1.0/23 über A - B - C - D und 192.168.1.0/24 über A - E - F -D

gewinnt der letztere Weg, weil die /24er Netzmaske "genauer" ist als die /23.

Nun ist aber das ganze System nicht wirklich geschützt und jeder kann Netze announcen wie er will. So wurde es z.B. vor einiger Zeit von der Pakistanischen Telekom versucht youtube zu blocken, es wurde einfach ein bestimmtes Netz von youtube per BGP announced und der Traffic ging dann Richtung Pakistanische Telekom. Sehr schön sieht man das hier:

http://www.ripe.net/news/study-youtube-hijacking.html

HTH

Dominik Wombacher

(Kommentar entfernt)

Tomoko

Gute Art und Weise, dass über ein Kommentar-Formular des Blogs zu machen ;)

Mumpakl

Das heißt es gibt einen Internetnutzer. Der sagt seinem ISP dass er z.B. auf "youtube.de" möchte. Woher kennt dieser ISP / AS den kürzesten Weg dorthin? Fragt der rekursiv bei allen AS an die er kennt, ob youtube.de dahinter hängt, bzw. falls nein dann die auch wieder bei allen usw.? Bis alle möglichen Wege aller möglichen Längen (bzw. von jedem angefragten AS nur der kürzeste) zurückgemeldet wird? Theoretisch müsste das ja bei jeder Anfrage so gemacht werden, da ja ständig ein Knoten dazwischen mal tot sein könnte.

Und so ein Angriff läuft dann dermaßen ab, dass der Angreifer rekursiv allen AS sagt, dass es zu youtube.de ja ganz woanders, nämlich zu ihm selbst, geht? Deswegen melden die AS bei Anfragen den falschen Weg zurück und die Anfrage landet nicht wo sie eigentlich in soll? Und melden sie dann ggf. zwei Routenmöglichkeiten oder vergessen sie durch den Angriff den Weg zum richtigen Ziel?

Das mit den Netzmasken habe ich gar nicht verstanden. Was ist /23 bzw. /24? Wenn 24 "genauer" ist, warum verwenden dann nicht alle 24 und keiner kann mehr übertrumpfen?

Adrian

/xx ist die Anzahl der statischen Bits in der Adresse. 1.2.3.0/24 sind z.B. die IPS 1.2.3.0 bis 1.2.3.255
Um mit /24 dieselben Adressbereiche wie mit /23 zu definieren bräuchtest du 2 /24-Einträge (und noch die dazugehörigen Routinginformationen -> doppelt soviel Platz)

Siehe auch http://de.wikipedia.org/wiki/CIDR

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen