昨年9月、ロシアで3番目に大きい携帯電話事業者VimpelcomとChina Telecom は 、国際および長距離通信ネットワークの直接接続と相互接続の確立に関する契約に署名し 、この契約額は220万ドルでした。 ロシア側のこの取引の目的は、極東を達成することでした。
過去1年間、中国の電気通信事業者はイヴァン・スサニンを演じようと何度か試みました。 これについては、DynResearch社のブログでDoug Madoryが詳しく説明しています。
普通の人々の言語から専門家の言語に翻訳されたこの取引は、両社がBGPプロトコルを使用した動的ルーティングに関する情報を共有することに合意したと結論付けました。 また、このような状況で頻繁に発生するため、一方の当事者は他のプロバイダーからルーティングデータを発行できます。これにより、通信回線が2番目の会社のトラフィックの邪魔になります。 具体的には、これら2つの企業では、過去1年間でこれが12回以上発生しています。 この現象は発生しますが、BGPの文献にはあまり説明されていません。
一般に、ピアリングBGPは、大規模ネットワークプロバイダーの世界では頻繁に発生するものであり、このアクションにはいくつかの意味があります。 具体的には、この場合、いずれかの当事者による支払いなしに、トラフィックが自由に交換されるようなルーティングと理解されます。 トランジットプロバイダーがなければ、これらのピアツーピアスキームのサービスにお金を費やしても、多くを節約できます。
いずれにせよ、ピアリング契約の下でプロバイダーの1つが他のプロバイダーから受信したルーティング情報は、通常、このオペレーターのネットワーク内に残ります。 以下の例では、プロバイダーAは、そのクライアントのデータをプロバイダーBにルーティングすることに関する情報を送信します。その結果、プロバイダーBのクライアントからのトラフィックは、プロバイダーAのクライアントへのピアツーピア接続を通過します。これは正常な動作です。
いくつかの異なる方法で問題が発生する可能性があります。 プロバイダーBは、以下に示すように、プロバイダーAからルートを取得して他のプロバイダーに送信できます。 したがって、プロバイダーBは、プロバイダーA宛ての外部トラフィックのパスに自身を配置します。
プロバイダーBがプロバイダーAに接続されているプロバイダーから受信したルートを提供する場合、後者のトラフィックはプロバイダーBを経由しないはずですが、プロバイダーBを介してこれらのルートを経由します。
他の大規模で有名なインシデントとは異なり、上記の状況は頻繁に発生する可能性があり、その出現はそのような注意の急増を引き起こしません。 応答は増大し、パケットルートは変化しています。これは、ネットワークが完全に欠如していることよりも気づきにくいため、これらの問題は長い間解決されない可能性があります。 いずれにせよ、トラフィックは本来の場所に行きません。これは、ネットワークのパフォーマンスと情報セキュリティに悪影響を及ぼします。
そのため、過去1年間、China Telecomからの誤ったルーティング情報がVimpelComのネットワークに何度か入りました。 これは、たとえば、今年8月5日にChina Telecom(AS4134)がVimpelComにほぼすべてのBGPテーブル(326,622エントリ)を簡単に提供したときに起こり、ロシアのプロバイダーのユーザーの応答が急激に増加しました。 それでも-ロシアから中国への旅行でのみ、約120ミリ秒が必要です。 ロシア内でのルーティングも、China Telecomネットワークを介して行われました。
tracerouteの結果は次のようになりました。情報はバージニア州(米国)で始まった後、NTTネットワーク経由でカリフォルニアに送信され、China Telecomによって送信されました。 そこから彼女は上海、そしてフランクフルト、そしてロシア、そしてオムスクに行きました。
非表示のテキスト
trace from Reston, VA to Omsk, Russia at 12:00 Aug 05, 2014
1 *
2 129.250.204.153 (NTT America, Ashburn, US) 1.010ms
3 129.250.4.40 (NTT America, Ashburn, US) 0.934ms
4 *
5 129.250.5.13 (NTT America, San Jose, US) 74.649ms
6 129.250.8.6 xe-0.chinanet.snjsca04.us.bb.gin.ntt.net 70.909ms
7 202.97.90.33 (China Telecom, San Jose, US) 71.451ms
8 202.97.58.237 (China Telecom, Shanghai, CN) 341.819ms
9 202.97.58.66 (China Telecom, Frankfurt, DE) 641.424ms
10 118.85.204.58 (China Telecom, Frankfurt, DE) 608.965ms
11 79.104.245.250 pe-r.Omsk.gldn.net 632.054ms
12 195.239.162.178 (Vimpelcom, Omsk, RU) 687.536ms
13 89.179.76.25 vpn2-gi0-0.omsk.corbina.net 682.153ms
14 128.73.155.213 128-73-155-213.broadband.corbina.ru 707.525ms
この状況の異常をより明確に説明するために、ドイツへのVimpelComトレースルートを見てみましょう。 トラフィックはVimpelComネットワークからフランクフルトに送られ、その後、中国電信ネットワークに入り、上海に送られてから、Chello BroadbandがロサンゼルスのChina Telecomとピアリング契約を結びます。 その後、Chello Broadbandは彼をニューヨークに連れて行き、そこから再びフランクフルトに、そしてドイツにだけ連れて行きます。 0.5秒間、トラフィックは少なくとも1回世界中を回ります。
非表示のテキスト
trace from Moscow, Russia to Marburg an der Lahn, Germany at 14:29 Aug 05, 2014
1 *
2 194.154.89.125 (Vimpelcom, Moscow, RU) 0.908ms
3 79.104.235.74 mx01.Frankfurt.gldn.net 40.695ms
4 118.85.204.49 beeline-gw2.china-telecom.net 48.799ms
5 202.97.58.61 (China Telecom, Shanghai, CN) 290.810ms
6 202.97.58.202 (China Telecom, Los Angeles, US) 514.115ms
7 202.97.90.62 (China Telecom, Los Angeles, US) 537.933ms
8 213.46.190.217 213-46-190-217.aorta.net (New York) 414.365ms
9 84.116.135.122 (UPC Austria GmbH, Vienna, AT) 420.591ms
10 213.46.160.205 uk-lon02a-rd1-pos-4-0-0.aorta.net 421.530ms
11 84.116.133.65 (UPC Austria GmbH, Frankfurt, DE) 421.557ms
12 81.210.129.234 7111a-mx960-01-ae1.fra.unity-media.net 420.867ms
13 80.69.107.214 7111a-mx960-02-ae0.fra.unity-media.net 418.427ms
14 80.69.107.185 7211a-mx960-01-ae1.gie.unity-media.net 420.454ms
15 88.152.128.0 (Unitymedia, Marburg an der Lahn, DE) 423.105ms
通常はモスクワに向かうロシア国内の交通でさえ、中国電信機器を通過しました。 次の例では、モスクワからのトラフィックはフランクフルトに向けられ、その後同じ場所でChina Telecomによって処理され、その後Megafonネットワークに戻ります。 上海を経由しないでいただきありがとうございます。 (ヨーロッパの地図上のこの特定の状況の図は、katの前に示されています。)
非表示のテキスト
trace from Moscow, Russia to Yaroslavl, Russia at 13:13 Aug 05, 2014
1 *
2 194.154.89.125 (Vimpelcom, Moscow, RU) 0.542ms
3 79.104.235.74 mx01.Frankfurt.gldn.net 37.006ms
4 118.85.204.57 beeline-gw4.china-telecom.net 39.505ms
5 213.248.84.185 ffm-b10-link.telia.net 41.481ms
6 62.115.137.180 ffm-bb2-link.telia.net 42.227ms
7 80.91.251.159 s-bb4-link.telia.net 42.894ms
8 213.155.133.105 s-b2-link.telia.net 41.528ms
9 80.239.128.234 megafon-ic-151430-s-b2.c.telia.net 42.707ms
10 *
11 78.25.73.42 (MegaFon, Volga,RU) 49.992ms
12 213.187.127.98 ysu1-ccr1036-1.yar.ru 50.301ms
13 213.187.117.230 (NETIS Telecom, Yaroslavl', RU) 54.769ms
もちろん、インターネット組織のネットワークレベルを計画するとき、彼らはそのセキュリティについてほとんど考えず、これらのピアツーピアリークはほとんど回避できません。 しかし、これはパフォーマンスの問題につながるだけでなく、セキュリティを非常に心配させます。
数週間前にロシア政府がロシアのインターネットセグメントのセキュリティをより強力に制御したいという願望について公式に知られるようになったことを思い出すと、これは少しおかしいです。 ネットワークのセグメントのセキュリティを構成しているのは特定の問題に対処することは本当に不可能ですか?