Problem dotyczy routerów wykorzystwanych przez firmy i organizacje posiadające własne pule publicznych adresów IP. Urządzenia te stale komunikują się z innymi routerami, nieustannie aktualizując dane o adresach IP (często nawet do 400 tys. pozycji), wykorzystując do tego celu protokół o nazwie Border Gateway Protocol (BGP).

BGP umożliwia routerom szybkie znalezienie najszybszej ścieżki dostępu do danego IP, w sytuacji gdy przy próbie skontaktowania się np. z daną witryną standardową ścieżką pojawiają się problemy. Wtedy informacji o zmianach w routingu są błyskawicznie przekazywane do routerów na całym świecie (trwa to zwykle nie dłużej niż 5 minut).

Zobacz również:

• Netgear wkracza z Wi-Fi 7 dla klientów biznesowych

Okazuje się jednak, że routery nie sprawdzają, czy takie powiadomienia zawierają poprawne informacje - dlatego też jeśli pojawi się w nich jakiś błąd (przypadkowo lub celowo), może to skutkować poważnymi zakłóceniami funkcjonowania całej sieci.

Błąd ten może zostać wykorzystany np. do przeprowadzenia ataku o nazwie "route hijacking" - polega on na takim wpłynięciu na funkcjonowanie routerów, by ruch z lub do firmowej sieci został przekierowany przez sieć kontrolowaną przez przestępców. To daje im możliwość np. podsłuchania lub zmodyfikowania danych.

"Gdy pojawiają się problemy z routingiem, zwykle trudno jest powiedzieć, czy to efekt błędu, czy może jakichś przestępczych działań" - skomentował Joe Gersch, CEO firmy Secure64, produkującej oprogramowanie dla serwerów DNS. Problem jest o tyle poważny, że - jak zaznacza Gersch - w dowolnym momencie co najmniej 1/3 użytkowników Internetu ma problemy z dostaniem się do pewnych części zasobów globalnej sieci.

Warto przypomnieć np., że w lutym tego roku błąd w systemie routingu australijskiego operatora Telstra sprawił, że cały ruch z jego sieci został przekierowany do konkurenta (firmy Dodo), który nie był w stanie poradzić sobie z gwałtownym wzrostem ilości przesyłanych danych i zaliczył poważną awarię. Z podobnym indycentem mieliśmy do czynienia przed rokiem, gdy nagle znaczna część ruchu serwisu Facebook zaczęła być przesyłana przez jednego z chińskich operatorów.

"Najogólniej rzecz ujmując, problem polega na tym, że znaczna część infrastruktury niezbędnej do funkcjonowania Internetu działa w oparciu o założenie, że wszyscy gracze będą zachowywać się uczciwie i bezbłędnie. W tak dużym i skomplikowanym organizmie, jakim jest globalna sieć, takie założenie jest dość odważne - musimy mieć świadomość, że błędy będą się pojawiać" - dodał Dan Massey, profesor informatyki z Colorado State University.

Rozwiązaniem tego problem mogłoby być zmuszenie routerów do weryfikowania, czy inne routery poprawnie podają przypisane danej organizacji pakiety adresów IP. Można to zrobić np. wykorzystując oparty o RPKI (Resource Public Key Infrastructure) infrastrukturę certyfikatów kryptograficznych, które weryfikują poprawność przypisania danych bloków IP do danej organizacji. Problem w tym, że to rozwiązanie jest dość złożone, a jego wdrażanie jest procesem powolnym.

Dlatego też specjaliści zaproponowali ostatnio nową metodą - system o nazwie ROVER (Route Origin Verification). Zakłada on przechowywanie potwierdzonych informacji routingowych w ramach systemu DNS (mogą one być podpisane za pomocą popularnego protokołu DNSSEC, wykorzystywanego do podpisywania rekordów DNS).

Podstawową zaletą tego rozwiązania jest fakt, iż nie wymaga ono wprowadzania żadnych zmian do wykorzystywanych obecnie routerów. Co więcej - ROVER może z powodzeniem funkcjonować obok RPKI. "Cała infrastruktura niezbędna do jego wdrożenia już istnieje i działa" - powiedział Gersch.

Specyfikacja ROVER ma obecnie status szkicu, rozpatrywanego przez organizację Internet Engineering Task Force. Gdy zostanie ona zatwierdzona przez IETF, ROVER stanie się internetowym standardem.