Hlavní navigace

Dvacet let peeringu: boj o IPv4 adresy a DDoS

Petr Krčmář 6. 4. 2016

Na konci března se konal již čtvrtý ročník putovní konference CEE Peering Days. Stěžejním tématem byl jako obvykle peering, jeho současnost i budoucnost: docházející IPv4 adresy a DDoS.

Konference Peering Days se letos konala v Budapešti a hlavním tématem byl jako obvykle peering – propojení jednotlivých sítí v propojovacích uzlech. Letošní rok je významný zejména v tom, že středoevropské uzly slaví dvacetileté výročí. Rok 1996 byl velmi důležitý pro evropský peering, vznikly tři uzly – NIX.CZ, BIX a VIX, řekl na úvod Christian Panigl z Vídeňské univerzity, která provozuje uzel VIX.

Letošní ročník konference byl podpořen rovněž Evropskou komisí prostřednictvím programu START určeného na spolupráci v oblasti Podunají, ze kterého získal český peeringový uzel NIX.CZ prostředky na realizaci projektu „Danube Peering“. Vedle Peering Days, kterých se letos zúčastnilo téměř 200 osob hned z několika zemí Podunajského regionu (vedle tradičních Čechů, Slováků, Rakušanů a domácích Maďarů rovněž Bulhaři, Slovinci, Srbové či Černohorci) bude v projektu realizován rozvoj nezávislého peeringového uzlu v Černé hoře.

Středoevropský peering

Ten se zaměřuje především na rakouský trh a centrální Evropu. V loňském roce byl konečně spuštěn několik let slibovaný třetí vídeňský přípojný bod. Celou tu dobu je VIX provozován univerzitou, já tedy nejsem ředitelem VIXu, jsem zaměstnancem university.

Podle Paningla má VIX po celou dobu své existence dostupnost lepší než 99,999 %. K dnešnímu dni má uzel 127 připojených sítí (AS) a 172 obsazených portů. Více než 50 % připojených sítí pochází z jiných států a toto číslo se postupně zvyšuje. Jsou mezi nimi operátoři, ISP, CDN, poskytovatelé cloudových služeb a další. Více než 65 % připojených sítí má otevřený peering a vyměňuje data neomezeně s ostatními.

K dispozici jsou porty 2,5 Gbit (na fyzickém 10GE), 10 Gbit a 100 Gbit. Nižší rychlosti jsou k dispozici skrze nový reseller program, který právě spouštíme. Program byl spuštěn zejména proto, aby existovala snadná cesta k levnému slučování linek s nízkou rychlostí. V tuto chvíli nabízí tyto služby čtyři společnosti.

Stejně jako dalším organizacím, dochází VIX IPv4 adresy. Proto dojde ke zkrácení peeringového prefixu z /24 na /23 a zároveň s tím přestane být tento prefix propagován do globálního internetu. Mělo by se tak stát během druhého čtvrtletí a důvody jsou především bezpečnostní.

V Pražském NIX.CZ je v současné době připojeno 139 sítí, z toho 44 mezinárodních. Stále jsme v pěti datových centrech v Praze, kam je možné se připojit. Před dvěma měsíci byl zaznamenán nový rekordní tok 428 Gbps. V loňském roce došlo k migraci uzlu na nové přepínače Cisco Nexus 7700, hlavním důvodem byla vyšší hustota 100GE portů na kartu. Zároveň nám to umožnilo zjednodušit síťovou infrastrukturu a snížit počet přístupových přepínačů v jednotlivých lokalitách.

V loňském roce byl spuštěn bratislavský uzel NIX.SK, který oslavil první narozeniny. Je provozován pražským týmem, ale oba body nejsou propojené. Nechceme konkurovat operátorům a chceme, aby se místní data vyměňovala místně. Uzel nabízí podporu VLAN a také výměnu IPTV multicastů. Infrastruktura v Bratislavě je výrazně jednodušší, máme dva přepínače Nexus 7000 a dva route servery. V tuto chvíli je připojeno 32 sítí a součástí sítě je i první DNS root server na Slovensku.

Výhodnost otevřeného peeringu podtrhl také Bela Bodecs z maďarského uzlu BIX, který dokonce připojeným sítím účtuje dvojí cenu – ty s otevřeným peeringem to mají o třetinu levnější. Sítě s otevřeným peeringem navíc musí využívat route servery (BIRD).

Maďarský uzel je umístěn ve třech lokalitách v Budapešti a v současné době propojuje 52 sítí. Z toho 34 je maďarských a 18 mezinárodních. Rovněž zde roste především počet zahraničních sítí, což dokládá současnou snahu velkých operátorů peerovat ve více geograficky oddělených uzlech. V loňském roce BIX představil možnost připojení 100GE porty, kromě nich jsou k dispozici 10GE a 40GE propoje.

Zájem o poslední IPv4 adresy roste

Během celé konference se hovořilo také o stavu IPv4 v Evropě a na konferenci vystoupil také Serge Radovcic, zástupce RIPE NCC – organizace zodpovědné za přidělování adres v rámci Evropy. Počet členů RIPE NCC stále stoupá a růst navíc nabírá na rychlosti – v tuto chvíli překročil počet 13 000.

Už nejde jen o poskytovatele připojení a internetové infrastruktury, přidávají se banky, poskytovatelé obsahu a další společnosti. Motivací je samozřejmě získávání dalších bloků IPv4 adres. V tuto chvíli nám zbývá asi 15 tisíc bloků /22, které ještě přidělujeme. Detaily je možné vidět na webu s grafy.

Jak ubývá volných IPv4 adres, některé společnosti se stávají vícenásobnými členy RIPE NCC (LIR), aby získali více bloků adres. Na konferenci RIPE 71 bylo přijato omezení počtu LIR na jednu společnost. Zároveň významně roste množství převodů adres mezi různými společnostmi, zatímco v roce 2014 jich bylo 919, v loňském roce číslo vyskočilo na 2701 a dále roste. Každý měsíc je tak převedeno více než 200 bloků IP adres mezi členy. Obchod s adresami je tedy v plném proudu, ať chceme nebo ne.

Zároveň roste počet případů únosů IPv4 rozsahů. V roce 2015 bylo vyšetřováno 134 případů, ve většině z nich šlo o PI rozsahy. Stále proto připomínáme členům, aby v databázi udržovali aktuální údaje, aby nemohlo dojít k neautorizovaným převodům. Obvyklým postupem únosců je totiž vyhledávaní zastaralých informací, registrace opuštěných domén zanesených v kontaktech či přímo padělání dokumentů různých organizací.

Zároveň s tím přibývá počet oznamovaných prefixů IPv6, více než 10 000 členů je má přidělené a zhruba čtvrtina je oznamuje do internetu. Dobrá zpráva je, že čísla neklesají ani nestagnují, ale neustále narůstají.

Přednáška se zmínila také o projektu RIPE Atlas, ve kterém je zapojeno už 9416 sond a 188 velkých sond Anchor. Jsme velmi blízko cílovému počtu 10 000 sond. Pro účely přednášky byly změřeny cesty mezi místními maďarskými operátory a ukázalo se, že drtivá většina spojení zůstává uvnitř země. To je velmi dobrá zpráva, maďarská síť je ve velmi dobrém zdravém stavu.

DDoS útoky na vzestupu

Velmi významnou evropskou sítí je GÉANT, síť pro vědu a výzkum. Evangelos Spatharas se ve své přednášce zabýval přibývajícím počtem DDoS útoků. Jelikož sítí teče ve špičce až 8 terabitů za sekundu, může jít o útoky velmi masivní. Je tedy potřeba vybudovat obrannou infrastrukturu, která odfiltruje závadný provoz. Jak ale takový provoz poznat? Není to jednoduché, útok může přicházet z různých stran a končit na různých cílech. Jak se takovému útoku bránit? Stavět firewally? GÉANT používá vícevrstvý model: výzkum, pravidla a velkou část tvoří také preventivní opatření, která jsou velmi účinná.

Podle Spatharase je zásadní, aby řešení bylo škálovatelné a distribuované na různé části sítě. Síť GÉANT je proto rozdělená na jednotlivé zóny, mezi kterými je sledován a případně filtrován problémový provoz. Dále se správci zabývají bezpečnostními dírami v software, provádějí pravidelné skenování software a vyhledávají problematické konfigurace v síti, které by mohly útočníkům pomoci.

Zásadní oblasti je podrobný monitoring sítě, zejména na vstupních bodech sítě, kde je největší kapacita a nejvíce provozu. Denně se podaří nasbírat data o více než 900 milionech toků (flows). Monitoring sám o sobě by byl k ničemu, data pak slouží jako vstupy pro další aplikace vyhledávající anomálie a zakládající automatizované tickety v našem bezpečnostním systému.

V případě, že je potřeba proti DDoS zasáhnout, je připravený systém pro automatický blackholing (RTBH) konkrétních toků. V posledních třech týdnech bylo takto zablokováno šest útoků, které dohromady obsahovaly více než tři miliardy paketů. Jednotliví správci mají k dispozici webové rozhraní, ve kterém mohou blackholing ovládat a vytvářet vlastní pravidla. Systém se pak sám přihlásí na hraniční routery, přidá patřičná pravidla a konfigurace se pak sama rozšíří podél celé hranice sítě GÉANT a zablokuje útok na vstupech.

Našli jste v článku chybu?

7. 4. 2016 9:46

Není potřeba žádat babiznu o radu, je to poměrně jednoduché. Existuje terminologie s jasně definovaným významem slov. Taky existuje skupina lidí, kteří po fórech rozhlašují, jak je vzdělání na nic a dokumentace se čte až na konec. Tito lidé jsou pak překvapeni, že se s nikým nedomluví a svádějí to na nepoužitelné akademiky.

Ale když budete všude říkat židle a myslet přitom auto, budou vás ostatní považovat za blbce.

7. 4. 2016 9:23

Není to zavádějící, je to naprosto logické. Prefix znamená předpona. Čili čím je delší předpona, tím méně zbývá toho za tím = je méně adres pro jednotlivá zařízení. Dobře je to vidět u IPv6: když dostanu dlouhý prefix /64, pak mám k dispozici jen jednu síť - málo adres. Když mi dají krátký prefix /48, můžu si ve zbytku adresy dělat co chci a mám sítí celou hromadu. Obráceně to nedává smysl a je to špatné pochopení pojmu prefix.

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: Často čůrá a má žízeň? Příznaky dětské cukrovky

Často čůrá a má žízeň? Příznaky dětské cukrovky

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Co pomáhá dítěti při zácpě?

Co pomáhá dítěti při zácpě?

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře