Vor zwei Tagen, dem 5. Mai des Jahres 2019, kam es zu einem besonderen BGP-Ausfall, der autonome Systeme im Kundenkegel eines sehr spezifischen AS mit der Nummer 721 betraf.
Gleich zu Beginn müssen wir unseren Lesern einige Details erläutern:
- Alle autonomen Systemnummern unter 1000 werden als "niedrigere Lieferavise" bezeichnet, da es sich um die ersten autonomen Systeme im Internet handelt, die von IANA in den frühen Tagen (Ende der 80er Jahre) des globalen Netzwerks registriert wurden. Heute repräsentieren sie hauptsächlich Regierungsabteilungen und Organisationen, die in den 70-90er Jahren irgendwie an der Internetforschung und -erstellung beteiligt waren.
- Unsere Leser sollten sich daran erinnern, dass das Internet erst öffentlich wurde, nachdem das US-Verteidigungsministerium, das das ursprüngliche ARPANET finanzierte, es der Defense Communication Agency übergab und es später im Jahr 1981 mit dem TCP ( RFC675) mit dem CSNET verband ) / IP (RFC791) über X.25. Ein paar Jahre später, 1986, tauschte NSF das CSNET gegen NSFNET aus, das so schnell wuchs, dass es die Stilllegung von ARPANET bis 1990 ermöglichte.
- IANA wurde 1988 gegründet und angeblich wurden zu diesem Zeitpunkt bestehende Lieferavise von den RIRs registriert. Es ist keine Überraschung, dass die Organisation, die die anfängliche Forschung und Erstellung des ARPANET finanziert und es aufgrund seiner Betriebsgröße und seines Wachstums weiter in eine andere Abteilung transferiert hat, es erst nach der Diversifizierung in 4 verschiedene Netzwerke (Wiki erwähnt MILNET, NIPRNET, SIPRNET und JWICS) , über dem das NIPRNET nur für das Militär keine kontrollierten Sicherheitsgateways zum öffentlichen Internet hatte).
Nach der Einrichtung einer der ICANN-Funktionen in Form der IANA (Internet Assigned Numbers Authority) wurden von Anfang an ASNs an die Organisationen verteilt, die Teil dieser Netzwerkerstellung waren. Es ist interessant, dass die ersten Lieferavise post factum von
verschiedenen Registern auf der ganzen Welt berücksichtigt wurden, so dass davon ausgegangen werden kann, dass die offiziellen Abteilungen der Regierung verschiedener Länder in den 80er Jahren Teil der Internet-Erstellung waren. Wir wissen, dass viele neue Ideen vom CERN kamen, das zwischen 84 und 88 mit der Installation von TCP / IP begann und 1989 mit den übrigen Netzwerken verbunden wurde.
Was ist am 5. Mai passiert?
Wie wir annehmen können, existierten alle Netzwerke, die innerhalb des ARPANET existierten und außerdem nicht aufgehört hatten. Nachdem die moderne IP-Adressierung ihren Platz eingenommen und die ersten IP-Präfixe zugewiesen wurden, befanden sich die Netzwerkressourcen bereits in diesen Netzwerken.
Nach der Einrichtung von ICANN, IANA und den RIRs mussten alle diese Adressen und Präfixe „registriert“ und mit dem entsprechenden autonomen System korreliert werden - ein Begriff, der im
EGP-Entwurf von 1982 eingeführt wurde. Daher ist es nicht verwunderlich, dass das US-amerikanische Ministerium of Defense, das erneut die anfängliche ARPANET-Forschung finanzierte, erhielt viele „niedrigere ASNs“ für ihre Bedürfnisse. Heutzutage gehören 70 Lieferavise zu verschiedenen DoD-Abteilungen, darunter USAF, ISC, NAVY NNIC und DNIC. Was verbindet sie und macht die ganze Situation so einzigartig?
Die Antwort lautet: Sie alle haben mit
AS721 einen vor der Welt.
Warum ist das so eigenartig? Lassen Sie uns den
National Internet Segment Reliability Report 2018 zitieren:
Streng genommen gingen die Entwickler in der Entwurfsphase des BGP und der Welt des Interdomain-Routings davon aus, dass jeder Nicht-Transit-AS mindestens zwei Upstream-Anbieter haben würde, um die Fehlertoleranz im Falle eines Ausfalls zu gewährleisten. Die Realität sieht jedoch anders aus: Mehr als 45% der ISPs haben nur eine Verbindung zu einem Upstream-Anbieter.
Die Gelegenheit, einen einzelnen ISP mit Datenverkehr überfordert zu sehen, ist die meiste Zeit auf dem Tisch. Für uns ist es ziemlich überraschend, dass eine so ernsthafte staatliche Organisation wie das Verteidigungsministerium ihr Bild davon, wie ein Netzwerk ab Ende der 80er Jahre miteinander verbunden werden sollte, nicht aktualisiert hat. Alles, was über den AS721 durch die Außenwelt verbunden ist, hängt davon ab, dass es das einzige Konnektivitätsmedium ist, und die Sonntagsereignisse zeigen, dass eine solche Funktion ausgenutzt wird.
Ein solches Netzwerk, das internen Zwecken dient und nicht versucht, mit dem Transit Geld zu verdienen, sollte über viel besser kontrollierbare Upstreams verfügen, um zuverlässig und fehlertolerant zu sein. Die Option, nur ein kritisches externes Gateway zu haben, könnte sich nach etwas leicht zu steuerndem und daher sicherem anhören, wirft jedoch letztendlich Zweifel an der Fähigkeit eines solchen Netzwerks und damit der Organisation, zu der es gehört, das erforderliche Maß an Konnektivität aufrechtzuerhalten.
AS721 stellt, wie in der Radargrafik dargestellt, nur mit Hilfe eines Transitanbieters - CenturyLink - eine Verbindung zum Internet her. Wieder müssen wir den Zuverlässigkeitsbericht 2018 zitieren:
Die große Neuigkeit bei Cogent kommt jedoch aus den USA. Für zwei Jahre - 2016 und 2017 - haben wir den AS 174 von Cogent als den entscheidenden für diesen Markt identifiziert. Dies ist nicht mehr der Fall - 2018 ersetzte der CenturyLink AS 209 Cogent, und die Änderung brachte die USA um drei Plätze auf den siebten Platz.
Selbst im Fall eines zuverlässigen ISP ist eine einzige äußere Verbindung der Schmerzpunkt für jede Internetinfrastruktur-IRL. Im Notfall, bei einem technischen Ausfall, einem Fehler oder einer Katastrophe wird erwartet, dass eine solche einzelne Verbindung ausfällt oder zumindest beeinträchtigt wird. Aus diesem Grund müssen Qrator Labs und das Radar-Projekt erneut an ein einfaches Ein-Wort-Verb für 2019 erinnern: Diversifizieren.