BGP-Hijack: Russischer ISP leitet europäischen Traffic um
Am gestrigen Montag ist der Netzwerkverkehr einiger Internetnutzer je nach Verbindung und ISP nicht wie gewünscht zu Twitter geflossen, sondern stattdessen zum russischen ISP RTComm. Die Ursache dafür war ein sogenanntes BGP-Hijacking, also eine bestimmte fehlerhafte Konfiguration in Zusammenhang mit dem Border Gateway Protocol (BGP), das die autonomen Systeme (AS) des Internets miteinander verbindet.
Laut dem von Cisco betriebenen Dienst BGPStream(öffnet im neuen Fenster) , der die Veränderungen der per BGP erstellten Routingtabellen verfolgt, hat RTComm am Montag den eigentlich Twitter zugewiesenen Präfix 104.244.42.0/24 als seinen eigenen veröffentlicht. Der Netzwerkverkehr einiger Nutzer ist dadurch statt zu Twitter zu RTComm umgeleitet worden. Theoretisch ließe sich so der gesamte Netzwerkverkehr per Man-in-the-Middle-Angriff mitschneiden, was aber Techniken wie TLS erschweren, oder der eingehende Traffic könnte verworfen und damit blockiert werden.
Absicht oder Fehler
Die falschen Routen wurden von mehreren ISPs übernommen, wie der BGP-Experte Mingwei Zhang auf Twitter schreibt(öffnet im neuen Fenster) . Das gilt für Provider aus dem Vereinigten Königreich, Österreich, Italien, der Schweiz und den USA. Hinzu kommen zahlreiche weitere kleinere Netzwerke (AS) in Europa und Nordamerika, wie Ars Technica unter Berufung auf das Internetanalyseunternehmen Kentik schreibt(öffnet im neuen Fenster) .
Weitergereicht hat die falsche Ankündigung demnach aber auch MTS(öffnet im neuen Fenster) , Russlands mit Abstand größter Mobilfunkprovider. Wohl wegen dessen Verbindungen zu Vodafone kam es offenbar auch in Deutschland kurzzeitig zu Problemen bei Vodafone-Nutzern(öffnet im neuen Fenster) . Dass sich der Vorfall nicht weiter ausgebreitet hat, liegt daran, dass Twitter seine Routen signiert(öffnet im neuen Fenster) . Das geht etwa aus einem Cloudflare-Dienst hervor, der explizit dazu gedacht ist , zu zeigen, welche Dienste diese Art der Absicherung von BGP einsetzen und welche nicht. Die falschen Routen für Twitter über Russland sind also nur von jenen AS weitergegeben worden, die diese Absicherungen von BGP nicht beachten.
Mit Blick auf die geltenden Blockierbestimmungen für Twitter in Russland auf Grund des Ukrainekriegs könnte es sein, dass die beteiligten russischen AS versucht haben, diese Blockieranordnung auch technisch grundlegend umzusetzen, dabei aber zu weitreichende und fehlerhafte Änderungen vorgenommen haben, die sich weltweit ausgewirkt haben. Ob der Vorfall aus den genannten Gründen letztlich absichtlich oder aus Versehen geschehen ist, lässt sich derzeit aber nicht mit Sicherheit sagen.
Alle aktuellen Golem.de-Artikel und weitere News zum Ukraine-Krieg finden sich in unserem Liveblog .
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.