• IT-Karriere:
  • Services:

Internet-Infrastruktur: Fehlerhafte Router stoppen BGP-Experiment

Ein Forscherteam hat die Nutzung bisher ungenutzter Flags aus dem BGP-Routingstandard getestet. Dabei haben reihenweise Router ihre Verbindungen abgebrochen. Das Experiment wurde nun gestoppt.

Artikel veröffentlicht am , Hanno Böck
Eine visuelle Darstellung des BGP-Netzwerks (Symbolbild)
Eine visuelle Darstellung des BGP-Netzwerks (Symbolbild) (Bild: Mstyslav Chernov, Wikimedia Commons/CC-BY-SA 3.0)

Ein Experiment im BGP-Netzwerk hat gezeigt, wie fragil die Basisinfrastruktur des Internets ist. Ein Forscherteam wollte ausprobieren, wie sich die Verwendung von bisher ungenutzten Flags auswirkt. Das führte zum Absturz der Routingsoftware FRR.

Stellenmarkt
  1. Stadtwerke Köln GmbH, Köln
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Bonn

Das Border Gateway Protocol (BGP) ist das Routingprotokoll auf der obersten Ebene des Internets. Es sorgt dafür, dass Datenpakete über die großen Netzwerkknoten des Internets korrekt und möglichst effizient weitergeleitet werden.

Experiment für mehr Sicherheit im BGP-Netz

Eine häufig vorgebrachte Kritik am BGP-Netz ist die fehlende Sicherheit. Es baut darauf, dass niemand fehlerhafte oder unsinnige Routing-Informationen verbreitet. Immer wieder kommt es vor, dass falsche Routen den Datenverkehr beeinträchtigen oder umleiten - manchmal ist dabei auch unklar, ob es sich um Angriffe oder ein Versehen handelt.

Abhilfe soll die Resource Public Key Infrastructure (RPKI) schaffen. Dabei werden Routen mit Zertifikaten signiert. Das Problem: RPKI wird bislang nur wenig genutzt.

Genau hier will ein Forscherteam ansetzen und schlägt eine einfacherer Alternative zu RPKI namens Disco vor. Disco sei zwar nicht so sicher wie RPKI, aber dafür leichter umsetzbar, argumentieren die Erfinder in einem bereits veröffentlichten Paper.

Im Rahmen dieser Forschung versuchten die Disco-Erfinder herauszufinden, wie gut das BGP-Netzwerk Datenpakete mit ihrem neuen Protokoll verträgt. Dafür verschickten sie testweise eine Ankündigung für eine BGP-Route. Diese enthielt ein bisher ungenutztes BGP-Attribut. Dieses Attribut enthielt ein Flag mit der Nummer 255, welches für die Entwicklung neuer Features reserviert ist. Es ist also genau für derartige Zwecke gedacht.

Die Forscher kündigten ihr Experiment im Dezember auf der Mailingliste der North American Network Operators' Group (NANOG) an. Dabei war ihnen durchaus klar, dass solche Experimente zu Probleme führen können. So hatte im Jahr 2010 ein Experiment mit ungenutzten BGP-Attribute zur Folge, dass Router von Cisco abstürzten.

Bug in Routingsoftware FRR

Offenbar gingen die Forscher aber davon aus, dass derartige Bugs inzwischen weitgehend gefixt sind. Das stellte sich als Irrtum heraus. Das Entwickler-Flag bewirkte, dass Router mit der Software FRR ihre Verbindung abbrechen. Das erkannte man jedoch erst mit dem Start des Experiments am 8. Januar.

Die Forscher brachen daraufhin ihr Experiment ab, kündigten aber an, es am 16. Januar fortzusetzen. FRR hatte zwischenzeitlich ein Sicherheitsadvisory herausgegeben und ein Update veröffentlicht.

Doch es war wohl naiv anzunehmen, dass innerhalb so kurzer Zeit dieses Update Verbreitung finden würde. Auch das Experiment am 16. Januar führte zu Verbindungsabbrüchen. Unklar blieb dabei, ob es sich ebenfalls um den Bug in FRR handelte und um Routerbetreiber, die das Sicherheitsupdate nicht installiert hatten, oder ob andere Produkte ähnliche Probleme hatten.

Experiment dauerhaft gestoppt

Ein Vertreter des Providers Packet.GG forderte die Forscher auf, ihr Experiment zu stoppen und kritisierte, dass das Experiment nur auf der Mailingliste der Nordamerikanischen Netzwerkadministratoren angekündigt worden sei, viele Netzwerkbetreiber in Asien und Australien hätten davon nichts mitbekommen. Einige Tage später antwortete einer der beteiligten Forscher, dass sie das Experiment nun dauerhaft beendet hätten.

Das führte nun wiederum dazu, dass eine Reihe von Personen die Forscher ermutigte, ihr Experiment fortzusetzen. Schließlich sei das Problem nicht das Experiment, sondern die Tatsache, dass Router mit fehlerhafter Software betrieben werden.

Letztendlich zeigt das Experiment, wie fragil die Infrastruktur des BGP-Netzes ist. Wenn bereits ein gültiges Datenpaket zu solchen Problemen führt, dürfte es nicht schwer sein, gezielt mit fehlerhaften Datenpaketen die Stabilität des Internets erheblich zu beeinträchtigen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Metrox: Exodus für 15,99€, Ancestors Legacy für 7,99€, Code Vein für 17,99€, Fade...
  2. 14,49€
  3. 29,49€
  4. 4,69€

sambache 08. Feb 2019

Da gäbe es bessere Assoziationen mit Feuer : "Feuer am Dach" oder "Es brennt der Hut" ;-)

schnedan 07. Feb 2019

hmm...

kendon 07. Feb 2019

Schön wäre das...

theq86 06. Feb 2019

Nein, du kannst "solche Flags" nicht versenden. Du kannst zwar versuchen BGP-Pakete zu...

theq86 06. Feb 2019

Zum Scheitern verurteilt ist eher der Versuch durch diesen Beitrag Humor auszulösen.


Folgen Sie uns
       


Audi RS E-Tron GT Probe gefahren

Audis E-Tron GT ist das bislang PS-stärkste RS-Modell auf dem Markt.

Audi RS E-Tron GT Probe gefahren Video aufrufen
    •  /