Youtube-Ausfall Kollateralschaden der chinesischen Webzensur?

Gleich mal vorweg: Ich bin kein Netzwerkspezialist. Ich kann nur „was mit Medien“ und mich im Zweifel auch prima blamieren. Damit bin ich geradezu prädestiniert, die Verschwörungstheorie des Tages zu präsentieren. Ich sag’s gleich, sie scheint auf den ersten Klick abwegig. Oder eben nicht. Egal, here we go:

Auf einer nichtöffentlichen Mailinglisten laß ich vorhin, dass die Netzturbulenzen heute (u.a. Störungen von Youtube) möglicherweise ein Kollateralschaden der chinesischen Internetzensur sind. Klingt gaga? Ja, mag sein, siehe oben.

Ich versuche es mal mit einfachen Worten zu erklären. China filtert auf Routingebene, und zwar über BGP-Announcements. BGP ist, Techniker bitte kurz weghören, so eine Art „Verkehrsservice“ für’s Internet. Kommt es zu Staus im Netz, kann man mittels BGP „Umleitungen“ einrichten. IP-Pakete neigen bekanntlich dazu, den Weg des geringsten Widerstands zu nehmen.

Man kann diese Umleitungen freilich auch missbrauchen, um unliebsame Inhalte zu zensieren. Der so genannte „Filterpilot“, der 2001/2002 an der Uni Dortmund evaluiert wurde, basierte auf diesem Prinzip. Soweit ich weiß, wird BGP mitunter auch eingesetzt, um den Zugriff auf Phishing-Seiten zu blockieren.

Die Sache hat dummerweise einen Haken: Leakt ein BGP-Announcement in einen fremden Netzbereich, sind schnell Kollateralschäden der richtig üblen Art die Folge. Und genau das soll heute passiert sein. Konkret lenken die Chinesen offenbar in von ihnen kontrollierten Netzen die IP-Bereiche der Root-Nameserver an spezielle DNS Server in China um. Dadurch, dass diese Announcements in fremde Netzbereiche geleakt sind, führten die chinesischen Manipulationen dazu, dass auch dort Anfragen an einen der zentralen DNS-Rootserver nach China umgeleitet wurden. Das Resultat haben wir möglicherweise gesehen.

Wie gesagt, das ist soweit erstmal nur ein Gerücht. Allerdings keines, das ich mir gerade aus den Finger gesaugt habe. Es basiert auf einer Vermutung von Lutz Donnerhacke, einem ausgewiesenen DNS-Experten. Lutz hat zum Glück auch kein Problem damit, als Verschwörungstheoretiker zu gelten, wenn es der Wahrheitsfindung dient.

Wie auch immer: Ich hoffe, ich habe den technischen Background halbwegs verständlich dargestellt (Falls nicht, bitte ich um Korrektur). Falls das Gerücht sich bewahrheiten sollte, haben wir das bisher wohl eindrucksvollste Beispiel, warum man von der Netzfilterei auf Routingebene (Das wäre der nächste Level, gleich nach den zur Zeit diskutierten Manipulationen auf DNS-Ebene) besser die Finger lassen sollte.

PS: Wenn ich das richtig verstehe, ist Fefe evtl. über das gleiche Phänomen gestolpert, konnte es aber nicht so recht einordnen. Da mag ich nun aber vielleicht auch etwas viel in seine Zeile hineininterpretieren.

27 Ergänzungen

  1. @nordkiez: D.h. ich habe mich gar nicht allzu weit aus dem Fenster gelehnt und mal was richtig verstanden? Juchuu, es besteht Hoffnung ,) Den zweiten Link habe ich oben btw. auch schon drin.

    @Kaoz: Eben. Und in das Vergnügen der chinesischen Webmanipulation ist nun evtl. auch der Rest der Welt gekommen. Eben weil sich China für einen Netzbereich zuständig erklärt hat, für den es nicht zuständig ist.

  2. Da Routing-Informationen im Internet ja kein Geheimnis sind, verstehe ich nicht wieso das hier als Gerücht die Runde macht. Wenn es so war, dann war der Effekt sichtbar und wurde geloggt. Sollte sich also problemlos belegen lassen.

  3. Die Störungen wurden unter anderem auch durch die lokale Instanz des Root Nameservers i.root-servers.net in China hervorgerufen.
    Dieser sollte eigentlich ausschliesslich auf Anfragen nach TopLevel Domains antworten (also .com, .net, .de u.v.a) und an die zuständigen Nameserver verweisen. Gestern antwortete dieser Server aber auch auf Anfragen nach http://www.facebook.com, http://www.youtube.com u.a. und verwies dabei direkt auf IP Adressen.

  4. @Jörg-Olaf-Schäfers: Der WP-Ausfall auf den Fefe anspielt war laut WikiMedia eine Sicherheitsabschaltung um Schaden durch Überhitzung zu vermeiden, weil da was im Rechenzentrum in Amsterdam abgeraucht ist. Und soweit ich den Rest der WM-Meldung lese hatte das nichts mit evtl. BGP-Manipulationen zu tun.

    Grüße,
    Drizzt

  5. Nachdem Google gegen 15:00 CET noch keine internen Fehlerursachen für glaubhaft hielt, zitiert CNN nun einen anonymen Insider, der einen Fehler auf der Platform selbst verantwortlich macht. Der Anonymous streitet einen Zusammenhang mit dem Umlenken eines DNS Root-Servers nach China ab.

  6. Ich schieße mal ins blaue und sage China hat die Ketten im Streit mit google rasseln lassen. Wenn es zu fortgesetzen beeinträchtigungen kommt, wird das garantiert die anderen großen Wirtschaftsmächte auf den Plan rufen.

  7. Verstehe ich das richtig, ein in einen fremden Netzbereich geleaktes „BGP-Announcement“ ist in der Lage eine Website weltweit lahmzulegen? oO

  8. Nach meinem Kenntnisstand reichen einfach DNS Manipulationen (Zensursula Gesetz) aus, um das Netz lahm zu legen. Eine unabhängige Studie aus Australien hat ergeben, das sich Netzsperren auf DNS Ebene auf die Transfergeschwindigkeit auswirken.

    Im Worst Case Fall würden wir alle hier nur noch in Deutschland mit Modemgeschwindigkeit surfen können. Es kommt hier stark auf die Anzahl der Einträge in der Sperrliste an, je mehr Einträge in dieser Liste sind, desto langsamer wird die Internetverbindung global gesehen. Hier hilft dann auch keine schnelle VDSL Leitung mehr.

  9. @Jörg-Olaf Schäfers: Naja, war ja auch ein „DNS-Fuckup“. Damit hat(te) Fefe ja recht. Nur es war ein selbstgemachtes. Nochmal die Kurzzusammenfassung des auch bei Fefe verlinkten Artikels von Wikimedia:
    1. Ein Teil der Kühlung im Rechenzentrum in Amsterdam ist gestorben.
    2. Die Server haben sich zum Selbstschutz (Überhitzung) abgeschaltet.
    3. Normalerweise sollte jetzt ein automatisches Failover auf die Server in Florida erfolgen (also die DNS-Einträge geändert werden). Da war aber im dafür zuständigen Script(?) kaputt, weshalb das nicht geklappt hat.
    4. Die WP war nicht mehr erreichbar (natürlich auch wg. evtl. noch gecachter Werte, die jetzt auf nicht erreichbare Server zeigten).
    Also ganz unabhängig davon was die Chinesen evtl. verbrochen haben, mit der WP dürfte das eher weniger zu tun gehabt haben. Außer natürlich die WP deckt hier die chinesische Aktion, was mir dann aber doch etwas unwahrscheinlich scheint.

    @ds: Wäre nicht das erste Mal, dass ein BGP-Fehler zu Netzwerkausfällen führt. In der Vergangenheit waren es aber wohl bislang immer wirkliche Unfälle/Fehler. Als Beispiel habe ich mal einen Artikel bei heise Security herausgesucht (das ist der Follow-up-/Erklärungsartikel zu einem dieser BGP-Fehler). Außerdem sind solche Angriffe bereits auf Sicherheitskonferenzen demonstriert worden.

    Grüße,
    Drizzt

  10. Ein lustiges Mischgerücht von heute besagt, daß die Umleitung des i.root-servers.net nach China bei Google intern einen Fuckup erzeugte, der dann auch außerhalb des eigentlich betroffenen Bereichs den Fehler „publizierte“.

    Achja, DNSSEC scheint gewonnen zu haben. OpenDNS sucht plötzlich dringend nach einem Experten für den Eigenbedarf.

  11. @Drizzt: Schon klar. Die Situation bei Wikipedia fand ich allerdings vergleichsweise unspannend, da das Problem bereits geklärt war, als ich den Blogeintrag schrieb.

    Ich mein‘, da raucht immer mal wieder was ab. Und nach ein paar Minuten oder auch mal Stunden ist alles wieder ok. Falls nicht, hätte ich da sicher auch eine entsprechende Info bekommen.

    Die Youtube-/China-Geschichte ist potentiell auf einem ganzen anderen Level.

  12. Verstehe nicht, warum DNSSEC anstatt DNSCurve bevorzugt wird. Komplettes Zonefile herschenken ist für mich sicherheitstechnisch ein No-Go, auch wenn die Firewall den gröbsten Krempel fernhält.

  13. @Manuel,17: Blödsinn, DNS ist praktisch nur ein Telefonbuch wenn die Telekom Nummern von Bösewichten durch Nummern der Polizei austauscht bricht doch auch nicht das Telefonnetz zusammen. Ganz im gegenteil wenn man Youtube ins Nirvana umleitet, wird alles schneller, weil die Leute keine Videos mehr gucken können.

  14. Am Mittwochabend habe ich folgendes Phänomen bei Youtube beobachtet: wenn ich die Seite aufgerufen habe, erschien eine komplett neue GUI mit allen möglichen Features, die aber teilweise nicht funktionierten. Ein Kollege, mit dem ich über Skype verbunden war, konnte wiederum nicht die neue Oberfläche sehen, sondern hatte die alte. Merkwürdig. Schätze die haben bei der ständigen Rumbastelei irgendwas zerschossen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.