Abo
  • IT-Karriere:

Internet-Infrastruktur: Fehlerhafte Router stoppen BGP-Experiment

Ein Forscherteam hat die Nutzung bisher ungenutzter Flags aus dem BGP-Routingstandard getestet. Dabei haben reihenweise Router ihre Verbindungen abgebrochen. Das Experiment wurde nun gestoppt.

Artikel veröffentlicht am , Hanno Böck
Eine visuelle Darstellung des BGP-Netzwerks (Symbolbild)
Eine visuelle Darstellung des BGP-Netzwerks (Symbolbild) (Bild: Mstyslav Chernov, Wikimedia Commons/CC-BY-SA 3.0)

Ein Experiment im BGP-Netzwerk hat gezeigt, wie fragil die Basisinfrastruktur des Internets ist. Ein Forscherteam wollte ausprobieren, wie sich die Verwendung von bisher ungenutzten Flags auswirkt. Das führte zum Absturz der Routingsoftware FRR.

Stellenmarkt
  1. Dasko GmbH, Wietzendorf
  2. CLUNO GmbH, München

Das Border Gateway Protocol (BGP) ist das Routingprotokoll auf der obersten Ebene des Internets. Es sorgt dafür, dass Datenpakete über die großen Netzwerkknoten des Internets korrekt und möglichst effizient weitergeleitet werden.

Experiment für mehr Sicherheit im BGP-Netz

Eine häufig vorgebrachte Kritik am BGP-Netz ist die fehlende Sicherheit. Es baut darauf, dass niemand fehlerhafte oder unsinnige Routing-Informationen verbreitet. Immer wieder kommt es vor, dass falsche Routen den Datenverkehr beeinträchtigen oder umleiten - manchmal ist dabei auch unklar, ob es sich um Angriffe oder ein Versehen handelt.

Abhilfe soll die Resource Public Key Infrastructure (RPKI) schaffen. Dabei werden Routen mit Zertifikaten signiert. Das Problem: RPKI wird bislang nur wenig genutzt.

Genau hier will ein Forscherteam ansetzen und schlägt eine einfacherer Alternative zu RPKI namens Disco vor. Disco sei zwar nicht so sicher wie RPKI, aber dafür leichter umsetzbar, argumentieren die Erfinder in einem bereits veröffentlichten Paper.

Im Rahmen dieser Forschung versuchten die Disco-Erfinder herauszufinden, wie gut das BGP-Netzwerk Datenpakete mit ihrem neuen Protokoll verträgt. Dafür verschickten sie testweise eine Ankündigung für eine BGP-Route. Diese enthielt ein bisher ungenutztes BGP-Attribut. Dieses Attribut enthielt ein Flag mit der Nummer 255, welches für die Entwicklung neuer Features reserviert ist. Es ist also genau für derartige Zwecke gedacht.

Die Forscher kündigten ihr Experiment im Dezember auf der Mailingliste der North American Network Operators' Group (NANOG) an. Dabei war ihnen durchaus klar, dass solche Experimente zu Probleme führen können. So hatte im Jahr 2010 ein Experiment mit ungenutzten BGP-Attribute zur Folge, dass Router von Cisco abstürzten.

Bug in Routingsoftware FRR

Offenbar gingen die Forscher aber davon aus, dass derartige Bugs inzwischen weitgehend gefixt sind. Das stellte sich als Irrtum heraus. Das Entwickler-Flag bewirkte, dass Router mit der Software FRR ihre Verbindung abbrechen. Das erkannte man jedoch erst mit dem Start des Experiments am 8. Januar.

Die Forscher brachen daraufhin ihr Experiment ab, kündigten aber an, es am 16. Januar fortzusetzen. FRR hatte zwischenzeitlich ein Sicherheitsadvisory herausgegeben und ein Update veröffentlicht.

Doch es war wohl naiv anzunehmen, dass innerhalb so kurzer Zeit dieses Update Verbreitung finden würde. Auch das Experiment am 16. Januar führte zu Verbindungsabbrüchen. Unklar blieb dabei, ob es sich ebenfalls um den Bug in FRR handelte und um Routerbetreiber, die das Sicherheitsupdate nicht installiert hatten, oder ob andere Produkte ähnliche Probleme hatten.

Experiment dauerhaft gestoppt

Ein Vertreter des Providers Packet.GG forderte die Forscher auf, ihr Experiment zu stoppen und kritisierte, dass das Experiment nur auf der Mailingliste der Nordamerikanischen Netzwerkadministratoren angekündigt worden sei, viele Netzwerkbetreiber in Asien und Australien hätten davon nichts mitbekommen. Einige Tage später antwortete einer der beteiligten Forscher, dass sie das Experiment nun dauerhaft beendet hätten.

Das führte nun wiederum dazu, dass eine Reihe von Personen die Forscher ermutigte, ihr Experiment fortzusetzen. Schließlich sei das Problem nicht das Experiment, sondern die Tatsache, dass Router mit fehlerhafter Software betrieben werden.

Letztendlich zeigt das Experiment, wie fragil die Infrastruktur des BGP-Netzes ist. Wenn bereits ein gültiges Datenpaket zu solchen Problemen führt, dürfte es nicht schwer sein, gezielt mit fehlerhaften Datenpaketen die Stabilität des Internets erheblich zu beeinträchtigen.



Anzeige
Spiele-Angebote
  1. 4,99€
  2. (u. a. Wolfenstein: Youngblood, Days Gone, Metro Exodus, World War Z)
  3. 4,99€
  4. (u. a. FIFA 19, Battlefield V, Space Huilk Tactics, Rainbow Six Siege)

sambache 08. Feb 2019

Da gäbe es bessere Assoziationen mit Feuer : "Feuer am Dach" oder "Es brennt der Hut" ;-)

schnedan 07. Feb 2019

hmm...

kendon 07. Feb 2019

Schön wäre das...

theq86 06. Feb 2019

Nein, du kannst "solche Flags" nicht versenden. Du kannst zwar versuchen BGP-Pakete zu...

theq86 06. Feb 2019

Zum Scheitern verurteilt ist eher der Versuch durch diesen Beitrag Humor auszulösen.


Folgen Sie uns
       


Wolfenstein Youngblood angespielt

Zwillinge im Kampf gegen das Böse: Im Actionspiel Wolfenstein Youngblood müssen sich Jess und Soph Blazkowicz mit dem Regime anlegen.

Wolfenstein Youngblood angespielt Video aufrufen
Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Mercedes EQV Daimler zeigt elektrische Großraumlimousine
  2. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  3. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf

Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

    •  /