‘Crier voiture épave de routage de l’internet a besoin d’un incendie: Geoff Huston

0
120

BGP (Border Gateway Protocol) est le système utilisé pour acheminer le trafic autour de l’internet, et c’est terrible, — malgré des décennies d’efforts mondiaux pour améliorer sa sécurité.

Selon Geoff Huston, scientifique en chef avec l’Asia Pacific Network Information Centre (APNIC), BGP est un “cri épave de voiture” avec “phénoménal de l’insécurité”.

“En fait, je ne pense pas que c’est réparable épave de voiture,” Huston dit l’organisation deux fois par an de la conférence de Chiang Mai, Thaïlande, mardi.

“BGP est un protocole qui remonte à l’Bellman-Ford algorithme de 1963. Il est plus ancien que le moonshot. Il se fait sur à 60 ans,” at-il dit.

BGP a certainement été à la base de certains incidents graves au cours des décennies.

En 2008, le Pakistan a été de tenter de censurer les vidéos sur internet quand il accidentellement frappé de YouTube en mode hors connexion dans le monde. Quelque chose de semblable s’est passé en 2014 lors de l’Indien des télécommunications Bharti Airtel a pris les services Google.

D’autres incidents semblent moins accidentelles. En juin de cette année, par exemple, une grande partie de l’Européen, le trafic mobile a été dérouté par la Chine pendant deux heures.

Un des principaux problèmes est que BGP s’appuie sur tout le monde dit la vérité.

Les routeurs de l’Internet l’utilisation de BGP pour “faire la publicité” quelles sont les parties de l’internet, ils peuvent envoyer le trafic vers, et dans quelle mesure ils peuvent le faire. D’autres routeurs faire de même. Ils sont tous faits pour passer cette chatter sur leurs voisins sans l’altérer.

Lorsque l’information devient obsolète, par exemple lorsqu’un lien internet échoue — routeurs sont destinés à faire la publicité d’un soi-disant “retrait”. Ils sont destinés à transmettre franchement trop.

“Ce que vous trouvez dans un grand complexe BGP maillage est le retire et les mises à jour ont tendance à lutter les uns contre les autres. Et d’un seul événement de mise à jour à la source pourrait devenir 20 mises à jour et puis un retrait,” Huston dit.

Les routeurs dans la plus large de l’internet, à la différence de ceux qui se connectent aux utilisateurs finaux de bord des réseaux de fournisseurs d’accès à internet, n’ont généralement pas de route par défaut programmés en. Ils existent dans ce qui est appelé la valeur par Défaut-Zone Libre, où ils sont totalement dépendant de BGP pour leur dire où envoyer le trafic.

“Toute massivement distribué système qui repose sur la propagation de rumeurs, où chaque partie de propagation peuvent être modifiées par-hop-hop, si vous croyez que vous pouvez fixer et tous les aspects de son fonctionnement, à la fois les retraits et les mises à jour, puis j’aimerais entendre ce que votre réponse est,” Huston dit.

Routage des ingénieurs de faire un “wacko travail”

Un autre problème est que les ingénieurs réseau configurer BGP dans les moyens que Huston dit sont un “wacko travail”.

“Les choses que je peux considérer comme étant graves anomalies et absolue des infractions au protocole, les gars, vous pensez sont normales,” dit-il.

Le but de ces weirdnesses sont généralement à améliorer l’efficacité du réseau, ou pour distribuer le trafic à travers une organisation de l’infrastructure. Parfois, c’est une décision commerciale à envoyer du trafic par le moins cher des liens.

Mais il est difficile de distinguer entre ces délibérée weirdnesses de véritables erreurs ou de l’activité malveillante.

“Ces sont délibérés, des choses et elles ne sont pas réellement mauvais. Ils sont tout à fait normal car c’est la façon dont vous le faites. Donc, ce qui est anormal? Quel est le mensonge parmi tous ces comportements étranges que vous semblez penser que c’est amusant?,” Huston a demandé.

“BGP est incroyablement bruyant et très instable. Maintenant, place de l’anomalie. Et n’oubliez pas aussi que la meilleure attaque d’une durée de 15 secondes. La meilleure attaque est si rapide que vous ne remarquerez même pas,” dit-il.

Emploi Snijders, développement de la propriété intellectuelle ingénieur avec NTT Communications, dit que certaines des techniques utilisées par les soi-disant BGP optimisateurs peut créer des problèmes pour les autres opérateurs de réseau, si une organisation de routage interne de weirdnesses de fuite sur le réseau mondial internet.

“La réalité de l’installation de ces appareils est que vous avez peut-être une bombe à retardement, sans s’en rendre compte,” Snijders dit à la conférence, même s’il existe des raisons légitimes, à les utiliser.

“Ces BGP optimiseurs sont comment vous pouvez prendre l’ensemble d’un pays hors connexion”.

Snijders dit la valeur par Défaut-Zone franche doit être traitée comme une ressource naturelle comme une rivière, et le routage weirdnesses devraient être traités comme des produits chimiques toxiques.

“Les problèmes qui se produisent en amont d’avoir des conséquences négatives en aval,” dit-il.

“[La valeur par Défaut de la Zone exempte d’] – il quelque chose que nous partageons. Il facilite l’ensemble de nos entreprises. Nous gagnons de l’argent en utilisant cette ressource partagée, mais nous aussi, ensemble, ont à prendre soin de la ressource”.

Appel dans le BGP pompiers

Huston dit que, compte tenu de BGP problèmes inhérents, nous devons aborder tout cela d’une autre manière: contenir le problème en détectant rapidement les anomalies.

“C’est un peu comme les pompiers. Si vous continuez à faire des maisons qui brûlent, nous allons mettre en place une brigade de pompiers de les sortir quand ils sont la gravure,” dit-il.

“Nous ne pouvons pas vous arrêter d’essayer de brûler votre maison, mais nous pouvons arrêter le gâchis par la suite d’être aussi mauvais.”

Cela ne va pas être facile, cependant.

L’apprentissage de la Machine n’est pas la réponse

“Vous essayez de détecter le courant rapide, en mouvement rapide des anomalies à l’intérieur d’un environnement qui génère par défaut rapides en mouvement rapide des anomalies,” Huston dit.

“Donc, c’est un défi”, dit-il, bien qu’il présentait un certain nombre de techniques mathématiques pour réduire le calcul requis par ce qui sont essentiellement de force brute processus.

Huston est également très sceptiques à l’égard de l’utilisation des techniques d’apprentissage automatique.

“Il ya une énorme quantité de l’informatique, des péchés et des transgressions entourée par des personnes innocentes deux mots “machine learning”,” il a dit.

“En général, si vous êtes à la recherche d’une agence de financement que vous avez l’habitude de cette audience — et que le mot blockchain. Et si vous appliquer pour les subventions de recherche, vous avez l’habitude d’utiliser ces mots, et blockchain — parce que c’est ce que vous avez de l’argent. Mais dans l’ensemble je ne suis pas un grand fan de cela.”

Huston dit que quand vous vous regardez dans la plupart des machines de l’apprentissage des systèmes, vous trouverez “une sorte de n-dimensions de l’analyse paramétrique”, où la légitime et erronée, les objets ont tendance à former des groupes.

“L’enfer, vous n’avez pas besoin de la comprendre. Juste le nourrir dans un cluster de l’outil. Il ya beaucoup d’entre eux autour. Et la théorie est que si vous obtenez votre paramètre de droit, toutes les valeurs aberrantes naturellement groupe d’elles-mêmes ‘Hé, je suis un mensonge’,” at-il dit.

“Maintenant, je crois aux licornes ainsi. Et je crois que dans toutes sortes de choses, y compris le Père Noël et le Lapin de Pâques.”

Huston a également souligné les limites de l’Internet en utilisant un Registre de Routage interne (TRI), une base de données de l’internet des objets route.

Un des problèmes est que l’IRRs accumuler de l’out-of-date ou mal formé de l’information.

IRRs par le design sont les carnets de plongée et tout ce qui va dans leur demeure généralement il y a, dit Anurag Bhatia de l’Ouragan Réseaux.

Ses recherches ont montré que le filtrage de nouveaux BGP route d’informations sur les données enregistrées dans le Seir “ne pas [de travail] si bien”.

Au moment où il a mené les recherches, 758,313 route préfixes étaient visibles dans la table de routage globale, en comptant les réseaux IPv4 et IPv6.

De ces, 603,185 (79.54%) avaient valide les objets route dans le Tri. Certains 58,587 (7.73%) avaient aucun objet route, et le reste 96,514 (12.72%) avaient incompatibles objets d’itinéraire.

Cela signifie que si un routeur a filtré tous les BGP informations qu’elle a reçues contre le TRI des bases de données, plus de 20% de routes dans la table de routage globale sera filtrée, la création de ces réseaux inaccessible.

Les deux Bhatia et Snijders encouragé les opérateurs de réseau pour aider à nettoyer l’IRRs et de commencer à utiliser des signatures numériques pour protéger leurs informations de routage est authentifié.

Les opérateurs de réseau doivent aider les autres à vous protéger par la création de Ressources d’Infrastructure à Clé Publique (RPKI) Itinéraire Origine Autorisations (ROAs) pour votre propre réseau de l’espace, Snijders dit. Cette authentifie les informations ajoutées à l’IRRs.

Protéger et protéger les autres en déployant RPKI à base de BGP à l’Origine de la Validation, dit-il.

Divulgation: Stilgherrian voyagé à Chiang Mai, en Thaïlande, en tant qu’invité de l’APNIC.

Liés À La Couverture

Amazon, Facebook panne internet: Verizon blâmé pour “en cascade défaillance irrémédiable”

Cloudflare perd 15% de trafic en raison d’une erreur lors de Verizon.

BGP attaques de détourner le trafic de télégrammes en Iran

Avec de nombreux utilisateurs en Iran, c’est pas étonnant que, potentiellement, parrainé par les groupes auriez besoin d’un point d’accès dans le banni de l’app.

Pendant deux heures, une grande partie de l’Européen, le trafic mobile a été dérouté par la Chine

Il a été China Telecom, encore une fois. Le même fournisseur d’accès accusé l’an dernier de “détournement de l’essentiel du réseau fédérateur internet de l’ouest du pays.”

Certains internet pannes prévues pour le mois à venir comme “768k Jour” approches

768k Journée est prévu pour le mois, rappelle 512k Jour où AT&T, BT, Comcast, Sprint et Verizon sont tous allés vers le bas.

Expérience Internet va mal, prend vers le bas un tas de routeurs Linux

Les routeurs cours d’exécution du règlement financier touchés dans la première expérience d’essai. Certains fournisseurs de services internet en Asie et en Australie affecté la deuxième fois.

Rubriques Connexes:

Mise en réseau

De sécurité de la TÉLÉVISION

La Gestion Des Données

CXO

Les Centres De Données