Zwitsers bedrijf routeerde KPN- en ander Europees verkeer via China Telecom

De Zwitserse colocatieaanbieder Safe Host heeft donderdag twee uur lang verkeer van meerdere Europese telecomaanbieders per ongeluk omgeleid via het netwerk van China Telecom. Onder andere KPN-verkeer verliep via de omweg.

Apnic beschrijft hoe Safe Host in het Duitse Frankfurt meer dan zeventigduizend routes via China Telecom liet verlopen. Daarbij ging het om dertienhonderd Nederlandse prefixes, waarvan veel van KPN. De omleiding begon voor KPN donderdagochtend rond 10.00, blijkt uit een grafiek van Oracle op basis van BGP Data. Na twee uur had Safe Host het probleem opgelost.

Donderdag bleek al dat KPN-klanten met internetproblemen te maken kregen. Ook pinverkeer ondervond hinder van de storing. Toen al gaven onder andere gebruikers op Gathering of Tweakers aan dat er sprake leek van bgp-hijacking. In een reactie zei KPN toen dat de fout lag bij een configuratiewijziging in het netwerk van een transitpartij in Zwitserland.

Safe Host kondigde als AS21217 per abuis de routering bij China Telecom, oftewel AS4134, aan. Dat zijn de namen van het autonomous system, oftewel de groep van ip-netwerken. Het Chinese bedrijf kondigde daarop de routes aan het globale internet aan. Zo kon er een bgp route leak ontstaan, waardoor verkeer van onder andere KPN, AS1136, Swisscomm, AS3303, Bouygues Telecom, AS5410, en Numericable-SFR, AS21502, met een omweg ging.

Volgens Apnic toont de bgp route leak aan dat China Telecom nog niet de juiste waarborgen heeft doorgevoerd om de verspreiding van onjuist aangekondigde routes te voorkomen en deze binnen afzienbare tijd te detecteren.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 07-06-2019 16:2662

07-06-2019 • 16:26

62 Linkedin

Lees meer

Deel internetverkeer verliep uur lang via Russische provider Rostelecom Nieuws van 6 april 2020
Verizon ontregelde deel van het internet door verkeerde routering van verkeer Nieuws van 25 juni 2019
KPN-topman Maximo Ibarra stapt op Nieuws van 25 juni 2019
Storing bij provider leidt tot landelijke pinproblemen in Nederland - update 2 Nieuws van 6 juni 2019
Oracle: internetverkeer uit VS werd omgeleid via China Telecom Nieuws van 6 november 2018
Meer producten en artikelen
Internettoegang KPN Bgp

Reacties (62)

-Moderatie-faq
62
52
32
4
0
5
Wijzig sortering
eBait
7 juni 2019 16:37
En daarom, RPKI. RIPE NCC heeft als Regional Internet Registry (RIR) voor EMEA de taak op zich genomen om een Route Origination Authorization (ROA) database aan te leggen waarmee dmv cryptografische validatie kan worden nagegaan of een peer een betreffende prefix wel mag adverteren. Is de prefix invalid? Drop hem dan ipv het verkeer mogelijk de verkeerde kant op te sturen. Wordt gelukkig door steeds meer vendoren van routers en open-source BGP daemons ondersteund :)

[Reactie gewijzigd door eBait op 7 juni 2019 16:38]

Marlinc
@eBait7 juni 2019 16:59
In dit geval had RPKI niet geholpen. Het origin AS was nog steeds van KPN en de more specifics die werden geannounced door Safe Host hadden gewoon ROA entries die gesigned waren door KPN.

Dit was waarschijnlijk alleen te verhelpen door China Telecom. Zij zullen filters moeten maken op basis van IRR data.
eBait
@Marlinc7 juni 2019 17:03
Ah - ik moet bekennen dat ik me niet verdiept had in de precieze oorzaak van dit event en ging iets generieker in op BGP Hijacks in general :) Zoals gewoonlijk is iets op securitygebied geregeld krijgen op Internet-niveau niet eenvoudig, begin bij je eigen netwerk en hoop dat de rest volgt - al zal dat zeker in China nog wel eventjes kunnen duren ben ik bang...
GrooV
@eBait7 juni 2019 21:29
Het is geen BGP hijack maar een BGP leak
Lupusceleri
@Marlinc8 juni 2019 12:00
Dat zou helpen, maar verbinden op NL-ix en peering met de route-servers aanzwengelen doet ook wonderen. Dan heb je een AS-path lengte van 1 hop naar KPN's Nederlandse netwerk, en kan een lekkende partij niet winnen omdat hun AS-path langer is.

Uiteraard te combineren met RPKI ROA zodat men niet kan hijacken door middel van more specific routes, die weer zouden winnen van een less specific routes met AS-path lengte van 1 hop.
CykoByte
7 juni 2019 17:40
Als soft- en hardware ontwikkelaar zie ik mezelf als redelijk technisch onderlegd.. Toch is het internet zo complex opgezet dat ik het niet kan bevatten.. Door een partij in Zwitserland loopt verkeer uit Nederland via China. Het zet je echt aan het denken over de conplexiteit van iets waar we elke dag gebruik van maken.

Voelt zich misschien iets te sentimenteel.
MPAnnihilator
@CykoByte7 juni 2019 20:02
Je kan niet alles van IT kennen natuurlijk. Ik ken genoeg programmeurs die begrippen als BGP, OSI layers, tcp tunnels nog niet gehoord hebben.
Iedere zijn deel van de koek denk ik. Het ganse Internet routering / Ripe verhaal is sowieso in ICT al een grijze wolk... iedereen verwacht dat het gewoon werkt. BGP, SMTP, DNS, ... allemaal standaarden die tientallen jaren geleden zijn ontstaan en wel eens een revival kunnen gebruiken. DNS heeft DNSSEC nu, SMTP zit nu meestal in grote clouds dus minder acuut als voorheen, maar het zou net als BGP wel eens een opfrisbeurt kunnen genieten :)
veltnet
@MPAnnihilator11 juni 2019 11:36
OSI layers zou elke IT-er moeten kennen. Dit is onderdeel van elke fatsoenlijke ICT opleiding en behoort tot de basiskennis.

BGP zou elke ICT-er wel eens van gehoord moeten hebben maar is toch wat meer specifiek voor iedereen die met netwerken/routing bezig is.
tp2
@MPAnnihilator25 juni 2019 22:27
Eens, ik weet vrij veel van netwerken, maar van applicaties des te minder. Een beetje C, 8051 assembler en nog wat Commodore 64 basic :) en dan houdt het op.
Ieder zijn ding.....
K-aroq
@CykoByte7 juni 2019 23:29
Internet is juist helemaal niet complex opgezet. Het is alleen groot, maar de structuur is simpel.
Rex
@CykoByte7 juni 2019 19:00
Ik denk dat wat hier gebeurd is, is dat traffic die via Safe Host liep en wat als bestemming KPN had, via China Telecom is gelopen. Ik geloof echt niet dat binnenlandse NL traffic ineens naar het China omgeleid is.
_JGC_
@Rex7 juni 2019 22:40
Ik kreeg donderdag meldingen van een klant dat er een locatie onbereikbaar was. Locatie heeft KPN ADSL, de rest is Ziggo. Traceroute liet veel ontbrekende hops zien en ping was 250ms naar de locaties met Ziggo, veel packet loss ook. Dus ja, dit had invloed op verkeer binnen NL.
Rex
@_JGC_8 juni 2019 00:02
Ik begrijp er nog steeds geen drol van. KPN en Ziggo hebben gewoon directe peering. Alleen als pakketjes via de Zwitserse SafeHost liepen, zouden ze door SafeHost doorgestuurd worden naar China, anders bleven de datapakketjes gewoon binnen in Nederland hangen.

[Reactie gewijzigd door Rex op 8 juni 2019 00:27]

TD-er
@Rex8 juni 2019 12:02
Dat is dan voor data tussen die locaties.
Maar als je vanaf elders beide locaties gaat proberen te bereiken kan je wel te maken krijgen met dit soort routing issues.
Yariva
@CykoByte7 juni 2019 18:39
Aan het einde van de dag is alles een zooi if / else statements ;)
Soldaatje
7 juni 2019 17:11
Zitten er ook nog kosten verbonden aan dit foutje, dat al het verkeer de halve wereld over gestuurd wordt? Wie betaalt dat?
Yariva
@Soldaatje7 juni 2019 17:19
Niemand gaat betalen. Dit is "part of the deal" wanneer je het over BGP heb en het internet. Waar mensen werken worden fouten gemaakt.

Mogelijk is de enige manier om kosten te vinden verhalen wanneer een bedrijf / instantie een SLA overtreed door deze outage. Maar dat zou je hier op overmacht kunnen schuiven.
Gijs007
@Yariva7 juni 2019 22:05
Dat klopt niet helemaal.
De partij die de data ontvangt (China Telecom?) en weer doorstuurt naar het KPN netwerk maakt voor het versturen van data (vermoed ik) gebruik van transit providers, in dit geval zou dat China Telecom dus geld kunnen gaan kosten.

[Reactie gewijzigd door Gijs007 op 7 juni 2019 22:07]

Yariva
@Gijs0077 juni 2019 22:09
Het klopt dat China Telecom geen directe BGP neighborship heeft met KPN, dit loopt zoals je zegt door Transit AS's.

Echter heeft China Telecom, zoals ik het hier lees, ook geen invloed gehad op de herroutering. Wanneer een tussenpartij een fuckup maakt dan komt dat verkeer bij jou terecht zonder dat jij hier invloed op heb.

Toegegeven ik ga ervan uit dat die dikke BGP routers wel een full table hebben in China en dat verkeer verder netjes zouden moeten afhandelen. Echter hebben zij ook niet gevraagd om deze situatie.

[Reactie gewijzigd door Yariva op 7 juni 2019 22:10]

mj.oke
7 juni 2019 16:34
De tijden in de grafiek en in het artikel zijn in UTC
Voor de nederlandse zomertijd mag je daar 2 uur bij optellen
wat ook weer klopt met het vorige artikel en comments
HvanL
7 juni 2019 16:37
UTC +2 voor NL aangezien hier de problemen rond 12:00 gemeld werden
Yariva
7 juni 2019 17:24
Uit het artikel kan ik helaas niet echt de specifieke technische oorzaak achterhalen. Uit mijn vorige post gokte ik dat het AS Path attribute (per ongeluk) lager lag voor de route naar China en dat deze hierdoor werd aangepakt.

Echter blijkt het iets gecompliceerder te liggen. In de tekst staat dat het bedrijf zich voordeed onder een ander AS nummer. Maar dan alsnog moet je op een of andere manier die prefixes in BGP pompen om deze te adverteren... Dan zou je toch verwachten dat je niet prefixes van een andere instantie / bedrijf gaat adverteren.

Ach tja... Ict problemen zijn nooit simpel, helaas :)

[Reactie gewijzigd door Yariva op 7 juni 2019 17:25]

ShellGhost
7 juni 2019 18:30
BGP uitleg: https://www.youtube.com/watch?v=_aLmzq-23pE
BGP hijacking uitleg: https://www.youtube.com/watch?v=Ovh_ceqp63M
Kabouterplop01
7 juni 2019 19:02
Uiteraard is dit geen BGP Prefix hijack.
een prefix hijack is opzettelijk en bovendien wordt dat uitgevoerd door de partij waar de prefixes naartoe moeten.
Als China Telecom dit had gedaan met als doel om het verkeer over hun peering point te laten lopen was het dat wel geweest.

Logisch dat er internet problemen ontstaan; intern beslist de router dat het om intern verkeer gaat, maar als het verkeer buiten het AS moet dan weet het de weg niet meer terug.
ODF
7 juni 2019 16:34
Dus de Great Firewall of China stopt niet alles dus wat niet klopt :*)
mrtl
@ODF7 juni 2019 16:35
Die stopt alleen binnenlands verkeer. Alles wat door China naar een ander land gaat dus niet.
rko4u
@ODF7 juni 2019 18:31
Als dat zo zou zijn, hoefden de VS Huawei het werk niet onmogelijk te maken, die zouden dan immers niet kunnen spioneren!
D0phoofd
@ocf817 juni 2019 16:37
Dit kan gewoon. BGP is niet een 'beveiligd' protocol. Staat ook wel bekend als BGP Hijacking.
satisf
@ocf817 juni 2019 16:45
Dit klinkt vrij aannemelijk, hoewel BGP route uitwisseling automatisch is worden de effectieve toegestane next hops, AS-paden, ... allemaal onderworpen aan heel wat hand-crafted policies. Die policies bevatten vaak nogal wat numerieke vergelijkingen, regexes, ... en dit is allemaal handcrafted. Een fout is spijtig genoeg zo gemaakt. Meestal wordt dat snel gedetecteerd omdat je aan beide kanten van de peerings controle mechanismes hebt of omdat er routing loops/blackholes geintroduceerd worden. Hier waren blijkbaar controle mechanismes afwezig en enkel een routing detour, geen loop/blackhole.

Dus als je hier Hanlon's Razer toepast kom je toch wel heel snel aan gewoon 'een foutje' ipv spionage. De spionage zou ook vrij onnozel zijn: je zal bijna enkel flow-data (from IP to IP) hebben want heel veel end-to-end encryption tegenwoordig en zoals dit artikel bewijst worden dergelijke zaken bijna altijd door derde partijen gevonden, spionage probeer je toch liever iets heimelijker te doen.

Dus ja, gezien al dat begrijp ik de 0/-1 voor jouw post wel.
D0phoofd
@ocf817 juni 2019 16:47
Het punt is dat je op deze manier gewoon verkeer kan onderscheppen en dat het mij heel waarschijnlijk lijkt dat dit gewoon spionage is.
Wat wil je precies met HTTPS verkeer doen? Je 'onderschept' het. maar je moet het ook weer binnen de TTL terug/door sturen. Geen idee hoe snel jij deep packet scans wilt doen op zo veel verkeer. Dat is dan misschien ook wel het enige wat je kunt. De headers van een pakket lezen, van wie het is, en waar het naar toe moet.
... kennelijk zijn sommige mensen niet zo goed in het interpreteren van mijn woorden.
Liever reageer ik er niet op, maar ik wil het je graag als tip mee geven: Begin eens bij je zelf. Kom met een goed argument waarom dit geen ongelukje zou zijn.
jpsch
@D0phoofd7 juni 2019 17:55
Stel dat je een nieuw systeem voor massale deep packet scans hebt ontwikkeld en je wilt 'm testen.
Geen spionage, wel opzet.
RGAT
@jpsch7 juni 2019 18:32
Dan zou een simpele port-mirror net zo effectief zijn en niet opvallen...
Niet Henk
@ocf817 juni 2019 16:49
Ik. Check op Wikipedia de lijst van publieke BGP hijacks. Er zullen er vast nog een hoop meer zijn, en deze is nog niet toegevoegd.

Het is zeker niet de eerste keer dat dit gebeurd, en zal vast ook niet de laatste zijn. Totdat er een manier komt om BGP te beschermen, zullen er vast nog wel wat foutjes langskomen.

BGP hijacks zijn extreem publiekelijk. Als je wil hacken, is het dus geen goede tactiek, omdat je het publiekelijk aankondigt. Als mensen bewijs hebben dat je met BGP aan het rommelen bent, wordt je als ISP waarschijnlijk zo het internet af gegooid, dus dat zit er niet echt in.
GrooV
@Niet Henk7 juni 2019 21:38
Kijk maar eens op BGPstream https://bgpstream.com/
Keypunchie
@ocf817 juni 2019 17:05
Wie denkt nog oprecht dat dit een ongelukje is?
Oh, dat geloof ik wel. BGP-fouten gebeuren wel vaker. Als jij de data van iemand wilt stelen is het een nogal opvallende, ingewikkelde en weinig effectieve manier.

Vergeet niet dat je alleen de IP-pakketten krijgt. Die zijn als het goed is nog altijd versleuteld.

Daarnaast krijg je een hele sloot aan netwerkverkeer, waar je in moet gaan filteren. Als je Man-in-the-Middle wilt doen, is het veel makkelijker om een wat meer gerichte aanval te doen.

Een BGP-hijack is als Denial-of-Service nog wel effectief in te zetten, maar om data te ontfutselen is het alsof je met grote rotsblokken een mug probeert te raken. De kans dat het lukt is klein en er zijn veel betere methoden.

[Reactie gewijzigd door Keypunchie op 7 juni 2019 17:05]

arjankoole
@ocf817 juni 2019 20:50
Wie denkt nog oprecht dat dit een ongelukje is?
ik. een ongeluk zit in een extreem klein hoekje bij BGP. Dit soort dingen zie ik semi-geregeld langskomen sinds 1999, en het was vrijwel altijd een stom ongelukje. Zeker als je de uitleg van Niet Henk er bij neemt. Het is een vreselijk publieke manier van rotzooi schoppen. Het valt onmiddelijk op, je kunt het niet verbergen / verdoezelen, en heeft per definitie gevolgen.
ajolla
@ocf818 juni 2019 07:33
Ik. Het was een vergissing bij Safe Host in het Duitse Frankfurt. Als het door een daar werkende Chinees was gedaan had dat nu al de krantenkoppen bereikt.
Aikon
@ocf817 juni 2019 17:04
Ik. Zou ook niet weten waarom ik anders moet denken in dit geval?
Andros
@Aikon7 juni 2019 17:08
Omdat China en Rusland het grote kwaad is volgens sommigen. Ze zien die landen nog steeds als een of andere Lenin die handenwrijvend in een KGB kantoor uit een oude Bond-film hele dagen druk bezig zijn om het westen te pesten :)
Yzord
@Andros7 juni 2019 18:33
Vergeet niet dat het grootste gedeelte van dit soort Lenins wel zijn opgegroeid met vaste haat tegenover het Westen. Vergeet ook niet dat er 33 miljoen Russen hun leven hebben gegeven voor onze vrijheid en dat dit standaard verzwegen wordt door het Westen. Dat creeert ook wrok.

Dus dat er heden ten dage nog Lenins zijn die het ons zuur willen maken geloof ik best. En ik ben dan nog iemand die niet alles gelooft wat er over Rusland gezegd en geschreven wordt.

Maar goed, dit is uiteraard off-topic.
batjes
@Yzord9 juni 2019 00:10
Die Russen hebben niet hun leven gegeven voor onze vrijheid, dat was een bijkomstigheid. Als het aan Rusland had gelegen had dat IJzeren gordijn hier op de Nederlandse kust gestaan. Vrij zouden we niet zijn geweest.

We mogen de Russen dankbaar zijn voor hun strijd, maar niet voor onze vrijheid.
K-aroq
@ocf817 juni 2019 23:31
Iedereen, behalve een aantal aluhoedjes op dit forum....

Maar waarschijnlijk werk jij niet, of heb je geen verantwoordelijkheden waardoor je je niet kunt voorstellen dat mensen wel eens fouten maken.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee