Leserbrief im Landboten: Hellgrün (GLP) trägt ein hellbraunes Unterhemd
Wednesday, 27. February 2008
Der gekidnappte Youtube IP Prefix - das Protokoll
von Fredy Künzler
Die Netzwerk-Analysten von Renesys haben ihren Datenhaufen durchwühlt und auf ihrem Blog eine genaue Analyse veröffentlicht, wie der Youtube-IP-Prefix von Pakistan Telecom gekidnappt worden ist. Oder, salopper ausgedrückt: so machen die Pakistani wegen eines anstössigen Videos Millionen von (Katzen-) Filmchen platt
:
Nachtrag (28.02.2008, 22:45 - danke André für den Hinweis): Die BGPlay Aufzeichung des Incidents von RIPE:
Die Netzwerk-Analysten von Renesys haben ihren Datenhaufen durchwühlt und auf ihrem Blog eine genaue Analyse veröffentlicht, wie der Youtube-IP-Prefix von Pakistan Telecom gekidnappt worden ist. Oder, salopper ausgedrückt: so machen die Pakistani wegen eines anstössigen Videos Millionen von (Katzen-) Filmchen platt
:| 18:47:00 | uninterrupted videos of exploding jello |
| 18:47:45 | first evidence of hijacked route propagating in Asia, AS path 3491 17557 |
| 18:48:00 | several big trans-Pacific providers carrying hijacked route (9 ASNs) |
| 18:48:30 | several DFZ providers now carrying the bad route (and 47 ASNs) |
| 18:49:00 | most of the DFZ now carrying the bad route (and 93 ASNs) |
| 18:49:30 | all providers who will carry the hijacked route have it (total 97 ASNs) |
| 20:07:25 | YouTube, AS 36561 advertises the /24 that has been hijacked to its providers |
| 20:07:30 | several DFZ providers stop carrying the erroneous route |
| 20:08:00 | many downstream providers also drop the bad route |
| 20:08:30 | and a total of 40 some-odd providers have stopped using the hijacked route |
| 20:18:43 | and now, two more specific /25 routes are first seen from 36561 |
| 20:19:37 | 25 more providers prefer the /25 routes from 36561 |
| 20:28:12 | peers of 36561 start seeing the routes that were advertised to transit at 20:07 |
| 20:50:59 | evidence of attempted prepending, AS path was 3491 17557 17557 |
| 20:59:39 | hijacked prefix is withdrawn by 3491, who disconnect 17557 |
| 21:00:00 | the world rejoices; Leeroy Jenkins online again. |
Nachtrag (28.02.2008, 22:45 - danke André für den Hinweis): Die BGPlay Aufzeichung des Incidents von RIPE:
Friday, 11. August 2006
Über die Wichtigkeit der korrekten Subnetzmaske
von Fredy Künzler
Heute habe ich wieder mal mit unserem VR-Präsidenten telefoniert (der sich natürlich ebenfalls über diese Geschichte gefreut hat). Dabei erwähnt er beiläufig, dass er vom Büro aus nicht auf blogg.ch zugreifen könne, es komme immer die Meldung "Server nicht gefunden". Und zwar erst, seit blogg.ch auf einem neuen Server laufe.
Der liebe Gott hat mir eine Begabung für Zahlen gegeben, was natürlich sehr nützlich ist. Und deshalb kann ich mir IP Adressen gut merken (AS Nummern übrigens auch). Hilfreich fürs tägliche Zahlentraining sind übrigens diese beiden Firefox Plugins: ASNumber Firefox Extension und ShowIP. Letztere zeigt in der Firefox Fusszeile die IP Adresse der besuchten URL an, erstere die AS Nummer des Hostingproviders, oder, falls der Hoster singlehomed ist, jene seines Upstreams. Doch ich komme vom Thema ab.
Unser VR Präsi konnte also vom Büro blogg.ch nicht öffnen. Von seinem ADSL Anschluss zuhause funktionierte es jedoch. Und da beide Anschüsse über uns laufen und sonst keine Störungen bekannt waren, war der Fehler schnell gefunden.
blogg.ch hat derzeit die IP Adresse 213.144.131.250. Und ich erinnerte mich, dass die Firewall des Büroanschluss ebenfalls aus dem Block 213.144.131.0/24, also dieser C-Klasse ist. Ebenfalls in dieser C-Klasse ist der Webserver der Migrosbank. Ein kurzer Test bestätigte die Mutmassung: migrosbank.ch war vom Büro-PC unseres VR-Präsi ebenfalls nicht erreichbar.
Die Aufteilung von C-Klassen in kleine /29 oder /28 Netze ist übrigens Vorschrift von RIPE, denn nicht jeder Kunde braucht viele Adressen, und auch der IPv4 Adressraum ist endlich. Und der Zufall wollte es, dass sowohl blogg.ch, migrosbank.ch und die Firewall sich in der gleichen C-Klasse befinden.
Irgendwie hatten wird das doch schon mal, dass sich ein Kunde beklagte, er könne die Website der Migrosbank nicht öffnen. Und tatsächlich, im Sent-Mail Folder fand ich folgendes:
Weitere Tipps: Subnetzmasken, IP Adress-Test, /32 bis /2, IP Suchfunktion von msn.ch.
Subnetzmaskenberechnungen müsste eigentlich jeder Informatik-Lehrling im 2. Lehrjahr beherrschen. Deshalb freue ich mich immer, wenn ein Bewerber beim Interview aus dem Stand die Subnetzmaske eines /17 Netzes hersagen kann.
Heute habe ich wieder mal mit unserem VR-Präsidenten telefoniert (der sich natürlich ebenfalls über diese Geschichte gefreut hat). Dabei erwähnt er beiläufig, dass er vom Büro aus nicht auf blogg.ch zugreifen könne, es komme immer die Meldung "Server nicht gefunden". Und zwar erst, seit blogg.ch auf einem neuen Server laufe.
Der liebe Gott hat mir eine Begabung für Zahlen gegeben, was natürlich sehr nützlich ist. Und deshalb kann ich mir IP Adressen gut merken (AS Nummern übrigens auch). Hilfreich fürs tägliche Zahlentraining sind übrigens diese beiden Firefox Plugins: ASNumber Firefox Extension und ShowIP. Letztere zeigt in der Firefox Fusszeile die IP Adresse der besuchten URL an, erstere die AS Nummer des Hostingproviders, oder, falls der Hoster singlehomed ist, jene seines Upstreams. Doch ich komme vom Thema ab.
Unser VR Präsi konnte also vom Büro blogg.ch nicht öffnen. Von seinem ADSL Anschluss zuhause funktionierte es jedoch. Und da beide Anschüsse über uns laufen und sonst keine Störungen bekannt waren, war der Fehler schnell gefunden.
blogg.ch hat derzeit die IP Adresse 213.144.131.250. Und ich erinnerte mich, dass die Firewall des Büroanschluss ebenfalls aus dem Block 213.144.131.0/24, also dieser C-Klasse ist. Ebenfalls in dieser C-Klasse ist der Webserver der Migrosbank. Ein kurzer Test bestätigte die Mutmassung: migrosbank.ch war vom Büro-PC unseres VR-Präsi ebenfalls nicht erreichbar.
Die Aufteilung von C-Klassen in kleine /29 oder /28 Netze ist übrigens Vorschrift von RIPE, denn nicht jeder Kunde braucht viele Adressen, und auch der IPv4 Adressraum ist endlich. Und der Zufall wollte es, dass sowohl blogg.ch, migrosbank.ch und die Firewall sich in der gleichen C-Klasse befinden.
Irgendwie hatten wird das doch schon mal, dass sich ein Kunde beklagte, er könne die Website der Migrosbank nicht öffnen. Und tatsächlich, im Sent-Mail Folder fand ich folgendes:
From: Fredy KuenzlerEin paar Stunden später:
Sent: Montag, 4. Oktober 2004 10:47
Subject: [Fwd: AW: Probleme mit Migrosbank.ch aus gleicher C-Klasse?!]
Sehr geehrter [Kunde]
Das Problem, dass Sie nicht auf http://www.migrosbank.ch/ zugreifen können, liegt mutmasslich an einer falsch konfigurierten Subnetzmaske irgendwo im Range 213.144.131.0 ... 213.144.131.255. Der Zufall wollte es, dass Sie und Migrosbank beide aus diesem Range IP Adressen zugeteilt erhielten.
Dies könnte darauf hindeuten, dass auf Ihrer Firewall auf dem Outside Interface eine falsche Subnetzmaske konfiguriert ist (nämlich 255.255.255.0 statt 255.255.255.248). Können Sie bitte Ihre Firewall entsprechend überprüfen und ggf. korrigieren. Mit der korrekten Subnetzmaske müsste der Zugriff auf http://www.migrosbank.ch/ funktionieren. Bitte informieren Sie uns über weitere Schritte.
Freundliche Grüsse,
Fredy Künzler
Init Seven AG
Subject: RE: [Fwd: AW: Probleme mit Migrosbank.ch aus gleicher C-Klasse?!]Und die Moral der Geschicht? Wenn der Provider sagt, die Subnetzmaske sei 255.255.255.248, dann ist das auch so. Selbst dann, wenn Linux, Windows oder die Firewall etwas anderes vorschlagen. Merke: der Provider hat immer Recht.
Date: Mon, 4 Oct 2004 17:13:46 +0200
Besten Dank für Ihre Hilfe, funktioniert wieder.
Weitere Tipps: Subnetzmasken, IP Adress-Test, /32 bis /2, IP Suchfunktion von msn.ch.
Subnetzmaskenberechnungen müsste eigentlich jeder Informatik-Lehrling im 2. Lehrjahr beherrschen. Deshalb freue ich mich immer, wenn ein Bewerber beim Interview aus dem Stand die Subnetzmaske eines /17 Netzes hersagen kann.
Neueste Kommentare