http://androbit.net/news/3973/upc_internetleallasok_es_ami_mogottuk_van.html

írja az androbit.net (Angler Gábor - 2013.12.06.)

Tegnap 17 óra után országos szinten akadozott, vagy teljesen elérhetetlen volt a UPC internet szolgáltatása. Az eset azért érdemel külön figyelmet, mert az előző napon is volt egy részleges szolgáltatáskimaradásuk, egy hónapja pedig szintén volt egy meglehetősen súlyos, egész országot érintő üzemzavaruk. Tekintsük át a jelenleg rendelkezésre álló információkat, és nézzük meg, mit tehetünk, hogy mindig legyen netünk – akár akkor is, ha központi hiba történik a szolgáltatónál!

A novemberi üzemzavar

Azóta kiderült, hogy a novemberi üzemzavart egy külsős cég egy rossz beállítása okozta (tévedésből hibás internet címtartományt kértek a saját gépeiknek, ami éppen a UPC-é volt), ezért a UPC sok fontos külföldi kapcsolata nem működött. Persze átirányításra került a forgalom egy (kis) része, ezért volt az, hogy például a Facebookon többnyire csak a képek nem töltődtek le (ugyanis azok másik szerveren, helyen voltak) és a sebesség is lecsökkent. A hibát viszonylag sok idő alatt sikerült felderíteni és megszüntetni. Azóta a két cég egyeztette gyakorlatát, hogy a jövőben elkerüljék a hasonló incidenseket.

A UPC minden ügyfelének – amennyiben rendelkeznek videotár szolgáltatással – felajánlotta kárpótlásként néhány film ingyenes megtekintését. Ebből (is) látható, hogy ez az incidens egyértelműen országos volt. Mivel a szolgáltató sok külföldi vonala elérhetetlenné vált, sok esetben megoldást jelentett egyénileg külön proxy, VPN-szolgáltatás, vagy a Tor hálózat használata. Így olyan gépeket is el tudtunk érni, amelyek felé megszűnt a legrövidebb/legnagyobb sebességű kapcsolat, az alternatív útvonalak pedig vagy alacsony sávszélességűek (túl lassúak) voltak, vagy túlterhelődtek.

Ha például Toron keresztül neteztünk és megfelelő végpontot választottunk, akkor azon (mint csatornán) keresztül lényegében újra elérhettük a teljes internetet. Természetesen ilyenkor a sebesség kérdéses a végpontunkon keresztül, de a hangsúly most a távoli gép elérhetőségén volt – hiszen a szolgáltatónk nem tudott útvonalat kialakítani oda. Azt pedig létrehoztuk magunknak egy köztes gép segítségével.

A decemberi leállás – DNS-szerver támadás?

Decemberben sor került két leállásra is, amelyek egyes források szerint részlegesek, mások szerint egész országra kiterjedőek voltak. A legfrissebb, tegnapi leállást egy nem megerősített információ szerint a UPC bizonyos DNS-szervereinek (névfeloldást végző gépek) túlterheléses támadása (Distributed Denial of Service Attack, DDoS) okozta. Ekkor a támadó jellemzően botneteket (eltérített, zombi gépekből álló kiterjedt hálózat) használhatott, így a támadó azonosítása szinte lehetetlen. Ugyanis ekkor a támadó gépek címei gyakran változnak és visszakövethetetlenek.

Az eltérített gépek ilyenkor egy központi kérésre, tulajdonosaik tudta nélkül a háttérből elkezdenek pár IP címre tömegesen ping ICMP kéréseket küldeni, ezzel megbénítva a célgépeket. A támadás nehezen elhárítható, hiszen a támadó gépek kiszolgálásának megtagadása nem megoldás (ugyanis gyakran változnak a címeik, véletlenszerű címtartományokból). Az ICMP alapú kommunikációra azonban forgalomoptimalizálás és hálózatmenedzsment miatt szükség van, így azt sem tilthatják le. Vészhelyzeti megoldás lehet a DNS-szerverek címének módosítása, azonban a változásnak a továbbítása az ügyfelek felé időbe telik, továbbá előfordulhat, hogy sok ügyfélnél ekkor a modemet újra kell indítani, ami sokaknál nehezen kivitelezhető (például távoli elérésnél).

Ha tényleg DDoS támadás történt, akkor a támadó azonosítása nagyon nehéz, ha nem lehetetlen. A szolgáltatás 2-3 óra múlva helyreállt. Pontosan nem lehet tudni, hogy a probléma mekkora méreteket öltött.

A segítség a Google-től érkezik

Egyes ügyfeleknél a modemek nem is tudtak csatlakozni a UPC hálózatára, ami megkérdőjelezheti a támadás-elméletet. Ugyanakkor előfordulhat, hogy egyes régebbi modemek a DNS-szerverek válasza nélkül nem képesek csatlakozni (mivel a modem az online-ná válás során támaszkodna a DNS-szerverekre).

A DNS probléma minden bizonnyal fennállhatott, ugyanis sok ügyfélnél megoldást jelentett a szolgáltatótól kapott DNS-szerverek IP címeinek felülírása a Google Public DNS szolgáltatásának címeire (8.8.8.8, 8.8.4.4). Ám ezen DNS-szerverek felé a késleltetés nagyobb lehet, mivel jellemzően több routeren keresztül tudjuk csak elérni azokat, mint a szolgáltató DNS-szervereit. Kétségtelenül jó választás a másodlagos DNS-szervernek beállítanunk a 8.8.8.8-at, hiszen a Google DNS kiszolgáló infrastruktúrája támadással nem bénítható meg, mert elosztott, nagy teljesítményű és igen nagy sávszélességgel rendelkező rendszereket használnak.

Tanulság?

Ez az utóbbi eset (amennyiben tényleg DNS-szerver támadás történt) rávilágít arra, hogy az internet infrastruktúra egyik legfőbb gyenge pontjai a DNS-szerverek. Mind a szolgáltatóknál, mind globális szinten. Néhány éve több fenyegetés is érte a központi (root) DNS-szervereket. Ezen gépek kiesése elvileg hatással lehet az egész internet névfeloldásának működésére. Mivel a névfeloldás kritikus szolgáltatás, a root szerverek kiesése az emberek többségének elérhetetlenné tenné az internetet (elméletileg).

Szerencsére azóta ezen kritikus globális szerverek infrastruktúráját bebiztosították, nagyban védetté tették a támadásoktól és vannak kész forgatókönyvek támadás esetére. A téma fontosságát jól mutatja, hogy az USA a root DNS-szervereinek esetleges támadását nemzetbiztonsági kérdésnek tekinti, és a vezetés fel van hatalmazva szinte tetszőleges válasz adására a támadónak.

A szolgáltatók azonban a redundáns (HA) rendszerek, speciális tűzfalak alkalmazásán, DNS-szervereik IP címeinek változtatásán túl nem igazán tehetnek sokat. Ha tényleg támadás történt, akkor minden bizonnyal a szolgáltató a közeljövőben jobban bebiztosítja a kritikus fontosságú DNS-szervereit.

A szerző megjegyzése

Fontos megjegyezni, hogy a 100 százalékos rendelkezésre állás nem garantálható. Látható a fentiekből, hogy a problémákat alapvetően a UPC-től kívül álló tényezők okozták. Tehát akár más szolgáltatóknál is bekövetkezhettek volna ezek az üzemzavarok. Továbbá mindkét probléma valamennyire megoldható volt az ügyfél oldaláról, természetesen a saját kapcsolatát tekintve. Természetesen ennek ellenére igaz, hogy ezek az incidensek a legtöbb felhasználónak kényelmetlenséget okoztak.

Fontosnak tartjuk továbbá megjegyezni, hogy a UPC Magyarország egyik legnagyobb internetszolgáltatója, szolgáltatásuk minősége és megbízhatósága az esetek elsöprő többségében kiváló. Mivel a megfelelő működés nem hír, arról nem is ír senki. Ám az incidenseknek hírértéke, nagy sajtóvisszhangja van, főleg, ha látszólag gyakoriak, és sok embert érintenek. Tehát a médiában való tájékozódás után torzított, nem reprezentatív képet kaphatunk, hasonlóan ahhoz, amikor néhány embert kérdezünk meg. A szolgáltatók megítélésénél ezeket vegyük figyelembe!