Hlavní navigace

Kuriózní útok může ohrozit internetový provoz

21. 2. 2011
Doba čtení: 6 minut

Sdílet

Článků teoreticky rozebírajících možné rozložení internetu pomocí nějakého typu útoku už tu byla celá řada. Nyní se ale objevil postup, který má skutečně potenciál minimálně internet dočasně vážně poškodit. Může způsobit zahlcení všech klíčových routerů po celé planetě a tím internet úspěšně ochromit.

Před deseti lety byly velmi populární články typu „jak zničit internet“, které popisovaly různé katastrofické scénáře obvykle spuštěné drobným zásahem, který (nejčastěji) pomocí kaskádového efektu vyústil až ve zkázu celé ohromné sítě. Nic takového se naštěstí nepodařilo a snad ani nikdy nepodaří.

Byla tu už sice řada větších problémů, ale nikdy se nepodařilo ochromit podstatnou část sítě. Například v roce 2003 se na internetu objevil červ s názvem SQL Slammer, který pomocí UDP paketů zaplavoval internet. Podařilo se mu například vyřadit 13 000 bankomatů Bank of America a mnoho dalších systémů, ale celistvost sítě zůstala zachována.

Na konferenci Network and Distributed System Security Symposium v San Diegu byl zveřejněn nový postup, který dokáže ochromit internet skrze zahlcení důležitých routerů po celém světě. Skutečně má potenciál k něčemu podobnému.

Teorie, aneb co je BGP

Pokud jste v síťových technologiích skutečně kovaní, můžete tuto část přeskočit. Pokusím se ve stručnosti vysvětlit, co je to BGP a jakou roli hraje v důležitých routerech celosvětové sítě.

Na „uživatelské úrovni“ je IP síť docela jednoduché, přehledné a hlavně hierarchizované místo. Každý router zná jednu či více sítí „pod sebou“ a jednu bránu „nad sebou“. Pokud k němu dorazí paket ze známé sítě, pošle jej do ní. Pokud je cíl neznámý, předá paket k vyřízení nadřazenému routeru – bráně.

Na určité úrovni ovšem tato jasná hierarchie končí. Velcí poskytovatelé připojení či služeb už nad sebou nemají žádnou nadřazenou instituci a z hlediska sítě jsou na jedné ploché úrovni, na které se mohou zcela libovolně propojovat. Tady skutečně vzniká dvojrozměrná síť bez jakéhokoliv řízení. Aby bylo možné se v síti routerů vyznat, existuje protokol BGP, kterým spolu routery komunikují a předávají si informace o tom, kdo je s kým spojen a jaké sítě jsou „pod ním“.

Celá tabulka má dnes asi 300 000 položek, ve které jsou sítě celého světa. Routery spolu neustále udržují spojení a podle tabulky dokáží vždy vymyslet optimální cestu chaotickou sítí bez centrálního plánování. Navíc pokud některá cesta vypadne, síť se sama dokáže opravit a vymyslet alternativní trasu. Informace o ní se automaticky pomocí protokolu BGP rozšíří po celé síti a vše funguje dál.

Recept na zničení internetu

Cílem nově publikovaného útoku jsou právě hraniční routery, které využívají protokol BGP a princip dynamického směrování. Autorem principu je Max Schuchard z University of Minnesota a podle jeho tvrzení by při reálném spuštění útoku došlo k ochromení internetu minimálně na několik dní. Poté teprve by se mohly větší části sítě začít restaurovat.

Pro samotné spuštění útoku by podle Schucharda bylo potřeba asi 250 000 počítačů. Přestože to vypadá jako poměrně vysoké číslo, není dnes problém si podobnou síť pronajmout od vlastníků různých botnetů složených z napadených zombie počítačů po celém světě.

Ty nejprve zmapují své postavení v rámci sítě a poté vytipují správné BGP routery. Poté je na tyto routery aplikován takzvaný ZMW útok, který byl publikován v roce 2007 na stejné konferenci. Jedná se o typ DDoS útoku, který je směřován na spojení mezi dvěma routery. Jejich spojení je tímto útokem zahlceno a spadne.

V tu chvíli oba routery vyhodnotí, že spoj je nepoužitelný a začnou společně vyjednávat alternativní cestu. To mimo jiné znamená nezanedbatelnou komunikaci pomocí BGP protokolu, kdy je třeba celou změnu dohodnout a informovat o ní zbytek sítě. Jakmile je spojení obnoveno jinou cestou, útok začne znovu a opět zničí nové spojení.

Tento cyklus se pak neustále opakuje a neustále jsou ničena a obnovována spojení, což zapříčiní vlny BGP paketů s aktualizacemi údajů, které jsou doručovány všem routerům na internetu. Nakonec dostane každý router více informací než je schopen zpracovat – po 20 minutách útoku vznikne fronta, jejíž vyřízení zabere 100 minut, vysvětlil princip svého útoku Schuchard. Navrhovanou ochranou je dočasné odpojení místní sítě od internetu – jak ukázal Egypt před dvěma týdny. Takto oddělená síť jedné země by samozřejmě záplavu BGP paketů neobdržela a na lokální úrovni by dále fungovala. Samozřejmě by pak bylo možné spustit menší útok v rámci takto oddělené země znovu.

Výsledkem by tak byla vysoká zátěž routerů ruku v ruce kráčející s dramatickým poklesem výkonu a následovaný faktickým oddělením velkých sítí od sebe. Routery pod velkou zátěží začnou dělat divné věci, tvrdí Max Schuchard. Nakonec by byl internet plný děr a neprostupných míst, takže komunikace by byla prakticky nemožná.

Velkým problémem také je, že už by nedošlo k samovolnému návratu do původního stavu. Jakmile by byl útok spuštěn, už by nebylo možné škody napravit automaticky, ale operátoři by se museli vzájemně dohodnout a uvést vše do původního stavu ručně, dodává. Každý BGP systém by tak musel být restartován, aby se vyčistil od nahromaděného balastu.

Ochrana neexistuje

Nepříjemné je, že proti podobnému útoku neexistuje efektivní obrana. Provedené simulace ukazují, že současné mechanismy BGP jsou proti takové věci neúčinné, protože s ní jednoduše nepočítají. Jedním z možných obranných postupů je zajištění klíčových spojení tak, aby nikdy nemohlo dojít k jejich shození. Podle simulovaného modelu by se ale muselo jednat alespoň o 10 % všech rout a bylo by potřeba jejich stav velmi pečlivě sledovat, aby při jejich poškození nedošlo k rozpadu komunikace.

Podle Maxe Schucharda je ale třeba najít dostatečně účinné řešení, které by alespoň omezilo potenciální škody na systému BGP. V opačném případě by mohl tento útok napáchat na internetu nepříjemné škody, i kdyby se mu nepodařilo zasáhnout jej jako celek.

Je možné zničit internet?

Celý koncept byl sice otestován a potvrzen v laboratoři, existují ale pochybnosti o tom, zda by v praxi skutečně dokázal ochromit celou síť. Ani sám Max Schuchard si nemyslí, že by skutečně bylo možné takto internet úplně zlikvidovat. Podle něj je celosvětová síť tak složitá a nepředvídatelná, že je v podstatě nemožné správně celý proces nasimulovat v jiných podmínkách.

Mark Handley z University College London tvrdí, že to rozhodně není jisté: Nikdo neví, zda je vůbec možné shodit celý globální systém směrovačů. Zveřejněné simulace obsahují zjednodušující předpoklady, které byly pro laboratorní testy nutné. Pochybuji ale, že by se internet choval přesně tak, jak bylo předvedeno.

root_podpora

Pochybnosti o úspěchu má i Ondřej Surý z organizace CZ.NIC, podle kterého se za praktickou realizací tohoto útoku skrývá řada technických překážek. Útočník by musel identifikovat důležitá BGP spojení a na ta útočit. U každého takového spojení by bylo nutné navíc identifikovat typy směrovačů, protože každý má své nastavení timeoutu a podobně. V zásadě příliš nevěřím tomu, že by někdo ten útok realizoval. Podle Surého tak jde spíše o akademické cvičení.

Navíc je otázkou, kdo by vlastně takový útok spustil. Provozovatelé botnetů asi těžko, protože ti vydělávají na tom, že síť existuje a velmi dobře funguje. Pravděpodobně by tak sami podobné snaze zabránili. Samozřejmě by to mohla zkusit nějaká mocnost v rámci přípravy na fyzický útok na zbytek světa. Do té doby ale snad bude nalezeno řešení.

Zdroje

Byl pro vás článek přínosný?

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.