Hlavní navigace

Dvacet let peeringu: boj o IPv4 adresy a DDoS

6. 4. 2016
Doba čtení: 6 minut

Sdílet

Na konci března se konal již čtvrtý ročník putovní konference CEE Peering Days. Stěžejním tématem byl jako obvykle peering, jeho současnost i budoucnost: docházející IPv4 adresy a DDoS.

Konference Peering Days se letos konala v Budapešti a hlavním tématem byl jako obvykle peering – propojení jednotlivých sítí v propojovacích uzlech. Letošní rok je významný zejména v tom, že středoevropské uzly slaví dvacetileté výročí. Rok 1996 byl velmi důležitý pro evropský peering, vznikly tři uzly – NIX.CZ, BIX a VIX, řekl na úvod Christian Panigl z Vídeňské univerzity, která provozuje uzel VIX.

Letošní ročník konference byl podpořen rovněž Evropskou komisí prostřednictvím programu START určeného na spolupráci v oblasti Podunají, ze kterého získal český peeringový uzel NIX.CZ prostředky na realizaci projektu „Danube Peering“. Vedle Peering Days, kterých se letos zúčastnilo téměř 200 osob hned z několika zemí Podunajského regionu (vedle tradičních Čechů, Slováků, Rakušanů a domácích Maďarů rovněž Bulhaři, Slovinci, Srbové či Černohorci) bude v projektu realizován rozvoj nezávislého peeringového uzlu v Černé hoře.

Středoevropský peering

Ten se zaměřuje především na rakouský trh a centrální Evropu. V loňském roce byl konečně spuštěn několik let slibovaný třetí vídeňský přípojný bod. Celou tu dobu je VIX provozován univerzitou, já tedy nejsem ředitelem VIXu, jsem zaměstnancem university.

Podle Paningla má VIX po celou dobu své existence dostupnost lepší než 99,999 %. K dnešnímu dni má uzel 127 připojených sítí (AS) a 172 obsazených portů. Více než 50 % připojených sítí pochází z jiných států a toto číslo se postupně zvyšuje. Jsou mezi nimi operátoři, ISP, CDN, poskytovatelé cloudových služeb a další. Více než 65 % připojených sítí má otevřený peering a vyměňuje data neomezeně s ostatními.

K dispozici jsou porty 2,5 Gbit (na fyzickém 10GE), 10 Gbit a 100 Gbit. Nižší rychlosti jsou k dispozici skrze nový reseller program, který právě spouštíme. Program byl spuštěn zejména proto, aby existovala snadná cesta k levnému slučování linek s nízkou rychlostí. V tuto chvíli nabízí tyto služby čtyři společnosti.

Stejně jako dalším organizacím, dochází VIX IPv4 adresy. Proto dojde ke zkrácení peeringového prefixu z /24 na /23 a zároveň s tím přestane být tento prefix propagován do globálního internetu. Mělo by se tak stát během druhého čtvrtletí a důvody jsou především bezpečnostní.

V Pražském NIX.CZ je v současné době připojeno 139 sítí, z toho 44 mezinárodních. Stále jsme v pěti datových centrech v Praze, kam je možné se připojit. Před dvěma měsíci byl zaznamenán nový rekordní tok 428 Gbps. V loňském roce došlo k migraci uzlu na nové přepínače Cisco Nexus 7700, hlavním důvodem byla vyšší hustota 100GE portů na kartu. Zároveň nám to umožnilo zjednodušit síťovou infrastrukturu a snížit počet přístupových přepínačů v jednotlivých lokalitách.

V loňském roce byl spuštěn bratislavský uzel NIX.SK, který oslavil první narozeniny. Je provozován pražským týmem, ale oba body nejsou propojené. Nechceme konkurovat operátorům a chceme, aby se místní data vyměňovala místně. Uzel nabízí podporu VLAN a také výměnu IPTV multicastů. Infrastruktura v Bratislavě je výrazně jednodušší, máme dva přepínače Nexus 7000 a dva route servery. V tuto chvíli je připojeno 32 sítí a součástí sítě je i první DNS root server na Slovensku.

Výhodnost otevřeného peeringu podtrhl také Bela Bodecs z maďarského uzlu BIX, který dokonce připojeným sítím účtuje dvojí cenu – ty s otevřeným peeringem to mají o třetinu levnější. Sítě s otevřeným peeringem navíc musí využívat route servery (BIRD).

Maďarský uzel je umístěn ve třech lokalitách v Budapešti a v současné době propojuje 52 sítí. Z toho 34 je maďarských a 18 mezinárodních. Rovněž zde roste především počet zahraničních sítí, což dokládá současnou snahu velkých operátorů peerovat ve více geograficky oddělených uzlech. V loňském roce BIX představil možnost připojení 100GE porty, kromě nich jsou k dispozici 10GE a 40GE propoje.

Zájem o poslední IPv4 adresy roste

Během celé konference se hovořilo také o stavu IPv4 v Evropě a na konferenci vystoupil také Serge Radovcic, zástupce RIPE NCC – organizace zodpovědné za přidělování adres v rámci Evropy. Počet členů RIPE NCC stále stoupá a růst navíc nabírá na rychlosti – v tuto chvíli překročil počet 13 000.

Už nejde jen o poskytovatele připojení a internetové infrastruktury, přidávají se banky, poskytovatelé obsahu a další společnosti. Motivací je samozřejmě získávání dalších bloků IPv4 adres. V tuto chvíli nám zbývá asi 15 tisíc bloků /22, které ještě přidělujeme. Detaily je možné vidět na webu s grafy.

Jak ubývá volných IPv4 adres, některé společnosti se stávají vícenásobnými členy RIPE NCC (LIR), aby získali více bloků adres. Na konferenci RIPE 71 bylo přijato omezení počtu LIR na jednu společnost. Zároveň významně roste množství převodů adres mezi různými společnostmi, zatímco v roce 2014 jich bylo 919, v loňském roce číslo vyskočilo na 2701 a dále roste. Každý měsíc je tak převedeno více než 200 bloků IP adres mezi členy. Obchod s adresami je tedy v plném proudu, ať chceme nebo ne.

Zároveň roste počet případů únosů IPv4 rozsahů. V roce 2015 bylo vyšetřováno 134 případů, ve většině z nich šlo o PI rozsahy. Stále proto připomínáme členům, aby v databázi udržovali aktuální údaje, aby nemohlo dojít k neautorizovaným převodům. Obvyklým postupem únosců je totiž vyhledávaní zastaralých informací, registrace opuštěných domén zanesených v kontaktech či přímo padělání dokumentů různých organizací.

Zároveň s tím přibývá počet oznamovaných prefixů IPv6, více než 10 000 členů je má přidělené a zhruba čtvrtina je oznamuje do internetu. Dobrá zpráva je, že čísla neklesají ani nestagnují, ale neustále narůstají.

Přednáška se zmínila také o projektu RIPE Atlas, ve kterém je zapojeno už 9416 sond a 188 velkých sond Anchor. Jsme velmi blízko cílovému počtu 10 000 sond. Pro účely přednášky byly změřeny cesty mezi místními maďarskými operátory a ukázalo se, že drtivá většina spojení zůstává uvnitř země. To je velmi dobrá zpráva, maďarská síť je ve velmi dobrém zdravém stavu.

DDoS útoky na vzestupu

Velmi významnou evropskou sítí je GÉANT, síť pro vědu a výzkum. Evangelos Spatharas se ve své přednášce zabýval přibývajícím počtem DDoS útoků. Jelikož sítí teče ve špičce až 8 terabitů za sekundu, může jít o útoky velmi masivní. Je tedy potřeba vybudovat obrannou infrastrukturu, která odfiltruje závadný provoz. Jak ale takový provoz poznat? Není to jednoduché, útok může přicházet z různých stran a končit na různých cílech. Jak se takovému útoku bránit? Stavět firewally? GÉANT používá vícevrstvý model: výzkum, pravidla a velkou část tvoří také preventivní opatření, která jsou velmi účinná.

Podle Spatharase je zásadní, aby řešení bylo škálovatelné a distribuované na různé části sítě. Síť GÉANT je proto rozdělená na jednotlivé zóny, mezi kterými je sledován a případně filtrován problémový provoz. Dále se správci zabývají bezpečnostními dírami v software, provádějí pravidelné skenování software a vyhledávají problematické konfigurace v síti, které by mohly útočníkům pomoci.

root_podpora

Zásadní oblasti je podrobný monitoring sítě, zejména na vstupních bodech sítě, kde je největší kapacita a nejvíce provozu. Denně se podaří nasbírat data o více než 900 milionech toků (flows). Monitoring sám o sobě by byl k ničemu, data pak slouží jako vstupy pro další aplikace vyhledávající anomálie a zakládající automatizované tickety v našem bezpečnostním systému.

V případě, že je potřeba proti DDoS zasáhnout, je připravený systém pro automatický blackholing (RTBH) konkrétních toků. V posledních třech týdnech bylo takto zablokováno šest útoků, které dohromady obsahovaly více než tři miliardy paketů. Jednotliví správci mají k dispozici webové rozhraní, ve kterém mohou blackholing ovládat a vytvářet vlastní pravidla. Systém se pak sám přihlásí na hraniční routery, přidá patřičná pravidla a konfigurace se pak sama rozšíří podél celé hranice sítě GÉANT a zablokuje útok na vstupech.

Byl pro vás článek přínosný?

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.