- Door
- Arnout Veenman
- geplaatst op
- 31 augustus 2015 08:00 uur
In juni zorgde een BGP-lek ervoor dat er wereldwijd problemen met het internet waren. Toen werden er door Telekom Malaysia BGP-routes gelekt naar Global Crossing en die routes zijn weer overgenomen door het netwerk van zusterbedrijf Level3. Dit riep de vraag op hoe vaak dit voorkomt en hoe je dit kunt voorkomen. Deze en andere vragen legde ik voor aan Doug Madory, Director of Internet Analysis bij Dyn.
Volgens Madory komt het relatief vaak voor dat er wel ergens BGP-routes gelekt worden. Het gaat echter om relatief kleine incidenten, waarbij een beperkt aantal routes verkeerd worden geannounced. Incidenten met grote gevolgen zoals in juni dit jaar gebeurde zijn relatief schaars.
De vraag in welke mate het gaat om (configuratie) fouten en hoe vaak er sprake is van opzet, is volgens Madory lastig te beantwoorden. Wel is het bewust verkeerd announcen van bepaalde routes ook een eenvoudige manier om dataverkeer dat bestemd is voor andere netwerken af te luisteren. Als voorbeeld geeft hij dat er recent routes van en naar verschillende Aziatische landen gedurende enige tijd ineens via Jemen werden gerouteerd door een verkeerde BGP-announcement. Dat is een voorbeeld waarbij je zou kunnen verwachten dat er opzet in het spel is.
Wanneer er geen opzet in het spel is en een BGP-lek het gevolg is van een fout, dan is er vrijwel altijd sprake van een menselijke fout. Er is volgens Madory wel één keer een incident geweest waarbij de partij die het lek veroorzaakte, stelde dat er sprake was van een bug in de gebruikte software, maar het is niet te controleren of dat ook daadwerkelijk het geval was.
De reden dat er relatief vaak BGP-lekken zijn die onopzettelijk worden veroorzaakt, is dat er simpelweg veel netwerken zijn en net zoveel configuraties, waarbij er dus altijd wel ergens wel een fout in een configuratie wordt gemaakt. Daarbij valt volgens Madory op dat de meeste problemen met netwerken ontstaan tijdens kantooruren. Het is waarschijnlijk een open deur, maar dat zijn ook de uren dat de netwerkconfiguraties worden aangepast en er daarbij fouten ontstaan die tot netwerkproblemen zoals BGP-lekken kunnen leiden.
Als eigenaar van een netwerk is het simpelweg niet te voorkomen om slachtoffer van een BGP-lek door een ander netwerk te worden. “Dat is een gevolg van hoe het internet werkt”, stelt Madory. Madory adviseert daarom netwerkeigenaren om niet alleen goed in de gaten te houden wat er binnen hun eigen netwerk gebeurt, maar vooral ook buiten het eigen netwerk te kijken.
Het is bijvoorbeeld belangrijk om in de gaten te houden via welke routes dataverkeer loopt naar andere netwerken. Wanneer dat plotseling verandert, kan dat een indicatie zijn dat er sprake is van een BGP-lek. Echter kunnen op die manier niet alle BGP-lekken worden gesignaleerd. Een andere manier om BGP-lekken in de gaten te houden, is door de latency naar andere netwerken in de gaten te houden. Wanneer die plotseling (veel) hoger wordt, kan dat erop duiden dat je dataverkeer via een andere route gaat, omdat er bijvoorbeeld bij een peer sprake is van een BGP-lek.
Er zijn verder ook weinig geschikte tools om in de gaten te houden of je het slachtoffer bent van een BGP-lek door een ander netwerk. Je weet (vooraf) namelijk niet precies hoe het dataverkeer zal worden gerouteerd zodra het je netwerk heeft verlaten. Dat maakt het lastig om het te monitoren. Daarbij is het ook belangrijk om het in de gaten te houden of er geen bijzonderheden zijn.
Dat is dan ook de belangrijkste boodschap die Madory heeft voor de ISPam.nl lezer. Hou niet alleen in de gaten wat er in je eigen netwerk gebeurt, maar vooral ook wat er daarbuiten gebeurt!
