Christian Panigl: VIX.at
Konferenci zahájili šéfové obou peeringových center, kteří shrnuli současný stav. The Vienna Internet eXchange není na rozdíl od českého NIX.CZ samostatnou organizací, ale je vlastně projektem provozovaným Vídeňskou univerzitou. V současné době má 121 peerů na 170 portech, z nichž na 103 je aktivní IPv6. Celkem 65 členů používá rychlé 10GE přípojky, více než polovina tedy zatím běží na pomalejším spoji,
řekl Christian Panigl z VIX.at.
Christian Panigl a Martin Semrád
Ve špičce činí tok přes VIX až 170 Gbps, ale jen dvě promile provozu tvoří IPv6. Přibližně polovina účastníků přichází zpoza rakouských hranic, jde o různé ISP, CDN, poskytovatele cloudu a podobně. Příjemné je, že 65 % společností má otevřený peering a vyměňují si data s ostatními bez omezení.
Centrem VIX jsou dva přepínače Brocade MLXe-32 s kapacitou 6 Tbit. Čerstvou novinkou jsou dvě nové rychlosti připojení: 2,5 a 5 Gbit. Samozřejmě fyzicky jde o 10GE porty, ale mají nastavené rychlostní limity. Pro některé sítě by to ale mohlo být finančně atraktivní řešení.
Pro menší sítě bude zajímavý i reseller program, kdy bude možné oficiálně nakoupit kapacitu přes prostředníka a ušetřit tím nemalé finance.
Brocade MLXe-32
Přestože na minulém ročníku konference byla zmíněna možnost rozšíření VIXu o třetí přípojný bod, zatím k tomu nedošlo. Avizovaný vstup třetího neutrálního datového centra do Vídně by ale proběhnout měl. Během následujícího roku by pak mělo dojít ke vzniku třetího bodu.
Martin Semrád: NIX.CZ
České peeringové centrum NIX.CZ od roku 2010 používá topologii dvojité hvězdy, která podle Semráda nabízí 99,999% dostupnost. NIX je v současné době umístěn v pěti datacentrech, je k němu připojených 117 sítí, a špičkový datový tok dosahuje 264 Gbps. To dělá z NIX.CZ jeden z deseti největších peeringů v Evropě.
Ještě večer po konferenci byl zmíněný rekord překonán a nová špičková hodnota činí 271,1 Gbps.
Martin Semrád
Sítě se do NIX.CZ mohou připojovat jedním ze dvou způsobů: přímo nebo skrze partnery. První varianta zahrnuje porty o rychlostech 1GE, 10GE a 100GE. Přes partnery je možné se připojit rychlostí 100M, 250M, 500M nebo 1G. Na začátku roku byl upraven ceník, který snížil ceny o 20 %. Přípojka 1GE stojí 8000 Kč, 10GE pak 19 000 Kč a konečně 100GE lze pořídit za kulatých 100 000 Kč. Nejrychlejší spoj byl testován v polovině roku 2012 a využívá jej zatím jen Telefonica O2.
Ondřej Filip: Euro-IX
Euro-IX je sdružením peeringových center a propojuje 52 IXP z 31 evropských zemí a 24 ze zbytku světa – USA, Kanady, Afriky a dalších koutů světa. Euro-IX je především platforma pro setkání jednotlivých členů. Provozujeme také Euro-IX databázi, která hodně vypovídá o situaci kolem peeringu v Evropě.
Odpovídá například na to, kdo se připojuje k evropským IXP nebo jaké BGP servery se používají. Těší mě, že nejčastěji jsou zastoupeny open-source projekty.
Nejrozšířenějším BGP řešením je se 45 % multiplatformní démon BIRD, s 22 % jej následuje Quagga a 16% zastoupení má OpenBGP. Celkem 18 % klientů pak používá BGP router značky CISCO.
Ondřej Filip
V Evropě je celkem 161 známých IXP, přičemž 48 z 50 evropských zemí má vlastní peeringové centrum. Ta se nacházejí v celkem 130 městech. Euro-IX provozuje databázi všech IXP a propojů mezi nimi. Pokud se chcete k některému IXP připojit a nic o něm nevíte, v naší databázi se dozvíte vše podstatné včetně propojení jednotlivých IXP a třeba podpory IPv6,
uzavřel přednášku Ondřej Filip.
Otmar Lendl: Network Ingress Filtering (BCP38)
Před rokem začalo přibývat velkých DDoS útoků, které ohrožují nejen konkrétní servery, ale i infrastrukturu samotnou. Útoků přibývá a jsou stále silnější. V době, kdy si každé dítě může pronajmout za pár dolarů botnet, začíná být situace nebezpečná.
Kromě technických rizik je tu i nebezpečný potenciál zásahu státního aparátu, který má samozřejmě zájem na tom, aby jeho služby fungovaly. Pokud něco neuděláme sami, přijdou státní regulace,
zopakoval rakouský přednášející varování, které v Česku zaznělo před půl rokem z úst Ondřeje Filipa.
Otmar Lendl
Novinkou je pak zneužití NTP k odraženému zesilujícímu útoku. Nedávno byl takto překonán rekord, když byl zaznamenán DDoS o síle 400 Gbps. Stejně jako u DNS je tento útok založen na tom, že odpovědi zneužívaného serveru jsou větší než dotaz. U DNS je to zhruba stokrát, u NTP dokonce tisíckrát.
Problémem je, že oběť i zneužívaný server vidí podvržené pakety, v nichž nehraje roli IP adresa útočníka.
Řešením je zmírnění účinků takového útoku pomocí filtrování či omezení počtu dotazů v určitém čase. Takto by měly být upraveny DNS servery, NTP a také například SMTP relays. To jsou tři nejčastější zdroje zneužívané k podobným DDoS útokům. Ovšem existují další cesty, zneužito může být i samotné TCP. Musíme dbát na lepší bezpečnost.
To se týká zneužívaných serverů, ale zasáhnout by měli i poskytovatelé připojení. Ti by měli filtrovat odchozí provoz tak, aby uživatelé nemohli odesílat pakety s podvrženou IP adresou. Upravují to dokumenty BCP38 a BCP84, které jsou poměrně staré, ale o jejich důležitosti se hovoří až zhruba v posledním roce. Prosím udělejte to a opravte si svou konektivitu,
žádal Lendl. Poukázal při tom na možnost automatizace potřebných provozů. Hlavně to nedělejte ručně. A nezapomeňte také na to, že váš problém není jen váš, ale zasahuje celou komunitu.
Podle Lendla je důležité zjistit, od koho podvržené pakety pochází. Jedině tak je možné vytvářet zpětný nátlak na nápravu situace. Musíme vědět, odkud tok pochází, abychom mohli ukázat a říct: ‚Ty to generuješ, oprav si to!‘
Pro takové situace je zásadní spolupráce jednotlivých organizací. Menší sítě nedokáží samy zvládnout větší útoky. Musí spolupracovat s ostatními, aby společně situaci zvládly.
Především je zásadní mít navázané kontakty s nadřazenými sítěmi a koordinovat řešení problému. Zeptejte se, jak vám v případě problému mohou pomoci. Zda mají možnost DDoS filtrovat nebo třeba nasadit blackholing.
Massimiliano Stucchi: RIPE Atlas
Projekt RIPE Atlas je největším systémem pro měření na internetu, řekl na začátku své přednášky Massimiliano Stucchi. V současné době je mezi uživatele rozdistribuováno 4900 aktivních sond, z nichž 2100 má k dispozici IPv6. Pomocí této ohromné sítě je možné testovat ping, traceroute, DNS, SSL, obojí na IPv4 i IPv6. Uživatelé mohou sami spouštět různé testy, my kontinuálně spouštíme vlastní sadu.
Aby bylo možné si zařizovat vlastní měření, je potřeba získávat v systému body. Ty získávají provozovatelé sond a LIRové.
Massimiliano Stucchi
Výstupy z veřejných měření jsou k dispozici na webu Atlas RIPE ve formě grafů a map. Sondu může provozovat kdokoliv na jakémkoliv typu sítě. Sondy jsou distribuovány zdarma a jsou rozdávány na setkáních RIPE, nebo o ně můžete požádat na webových stránkách.
Sonda RIPE Atlas
Druhým zajímavým zařízením je Atlas anchor, což je jiný typ sondy, který je naopak kontaktován zvenčí. Každý anchor je oslovován dvěma stovkami běžných sond a každá z nich může volat čtyři až pět těchto zařízení. Můžou je provozovat libovolné firmy připojené k internetu, třeba web hosteři. Jde o 1U zařízení, které nevyžaduje příliš mnoho energie, ale je potřeba mít k němu slušnou linku.
Provozovatel dostane na oplátku informace o tom, jak je jeho síť dostupná z internetu.
Sonda RIPE ATLAS anchor
Druhým zajímavým projektem je RIPEstat, který umí podávat zajímavé informace o stavu internetu. Na tomto místě je možné získat informace o registracích IP adres, nahlédnout do RIPE databáze, routing (BGP) a také výstupy ze zmíněného projektu Atlas. Stats také načítají data z externích zdrojů jako geolokace, blaclisty, IRR, RIR a dalších.
Vyhledávat je možné pomocí IP adres, čísla AS, hostname, země nebo klíčových slov.
Otmar Lendl: Passive DNS
Problémem současného systému DNS je, že neobsahuje historii a decentralizovaná databáze nenabízí jednoduchou možnost vyhledávání a pokládání složitějších dotazů. Projekt Passive DNS (pDNS), který provozuje rakouský CERT, umožňuje pomocí sond sledovat dotazy na různých místech světa a sbírat je do jedné centrální databáze. Sondy jsou rozšířeny po celé Evropě, několik je jich také v České republice. Projekt takto už nasbíral asi 600 GB dat, každý den přijde zhruba 520 MB aktualizací, přičemž 96 % přijatých informací se opakuje a neobsahují změny.
Existují dvě místa, kde mohou sondy získávat údaje: uvnitř sítě a mimo ni. Ukládání informací uvnitř je výrazně náročnější, protože jsou ukládána všechna data včetně informací o uživatelích. Užitečné to je pro správce sítě, který chce třeba odhalit počítače nakažené konkrétním virem.
Naopak pro tvorbu veřejných statistik je to nevhodné, protože by databáze obsahovala i informace umožňující identifikaci uživatele. Druhou možností je sledování toků vně sítě, kdy jsou ukládány jen informace z veřejného dotazu plus časová informace. Právě takto získává data projekt pDNS.
Schéma měření projektu pDNS
Co je z možné z takto vytvořené databáze zjistit? Například historická data o tom, jak se měnily záznamy pro konkrétní doménu. Dále je možné získávat například odpovědi pro inverzní hledání typu: „Které domény mají A záznamy z tohoto rozsahu?“ Samozřejmě je pak možné nad databází provádět obecný výzkum a hledat například servery určené k ovládání botnetů. Protože máme historii, je možné hledat informace i poté, co byla škodlivá doména zrušena.
Díky pDNS je možné například hlídat stav vlastní sítě. Je tak možné například porovnat seznam vlastních domén mířících do sítě s doménami, které ve skutečnosti existují. Je tak možné odhalit domény se záznamem ve vaší síti, o kterých vůbec nevíte. Je možné také předvídat různé situace, jako například, které domény budou nedostupné, pokud vypadne konkrétní síť.
Přístup do databáze pDNS je omezený. Buď je potřeba prokázat potřebu a podepsat smlouvu o přístupu nebo se stát provozovatelem sondy a přispívat daty z vlastní sítě. Čím více dat z různých sítí budeme mít, tím různorodější a přesnější data pro analýzu dostaneme.
