A szoftverhibás otthoni forgalomirányítók még rengeteg gondot okozhatnak

[Australian IT, wisc.edu] Az idén májusban a Wisconsini Egyetem hálózati rendszergazdái felfigyeltek rá, hogy a campus NTP-szervere (Network Time Protocol, Hálózati Időegyeztetési Protokoll) felé az internetről másodpercenként több tízezer csomag érkezik, jelentős sávszélességet igényelve. Az egyetem munkatársai kiderítették, hogy a hálózatukba irányuló tömeges NTP-kérések mindegyike ugyanarról a forrásportról érkezik (23457) az NTP-szerverük 123-as portjára. A kezdetben elosztott szolgáltatásmegtagadási támadásnak (DDoS) vélt forgalmat a határátjárókon blokkolták, ám egy hónappal később a "támadás" még nem csillapodott, sőt egyre intenzívebbé vált, június elejére már a forgalomirányítók átlagosan 250 000 csomagot blokkoltak másodpercenként, ami több mint 150 Mb/s kényszerűen szűrt, internet felől érkező forgalmat jelentett.

Mivel az NTP-kérések szó szerint több százezer IP-címről érkeztek, és a címek egytől egyig valódinak tűntek, júniusban elkezdődött a komolyabb, számos hálózatra is kiterjedő vizsgálat, ami kiderítette, hogy a problémát a Netgear Inc. által gyártott, otthoni használatra szánt DSL routerek okozzák. A Netgear RP614, DG814, MR814 és HR314 típusjelű, hagyományos, illetve vezeték nélküli otthoni hálózatokhoz készült forgalomirányítói hibás NTP-kliens szoftvert tartalmaznak, amelynek a kódjába bedrótozva megtalálható a Wisconsini Egyetem NTP-szerverének IP-címe (128.105.39.11). A megadott típusokból a Netgear összesen több mint hétszázezer darabot adott el, így az egyetem hálózatába irányuló megnövekedett forgalommal járó problémát már azok a firmware-frissítések sem fogják megoldani, amelyeket a cég az utóbbi hetekben adott ki.

A szakemberek egyelőre keresik a hosszú távon is eredményes megoldást, és két lehetséges választ is találtak a kérdésre, ám valószínűleg az olcsóbb mellett döntenek, és a nagyteljesítményű NTP-szervereket, valamint komplex forgalomirányítási technikákat igénylő megoldás helyett az egyetem B osztályú hálózatának egy jelentős szeletét áldozzák fel úgy, hogy a 128.105.32.0/20-as hálózatot, (16 darab C osztályú hálózat, 4096 IP-cím!) az internet gerinchálózat forgalomirányítási protokolljának segítségével (BGP) eltüntetik, így a sok fejfájást okozó NTP-forgalom el sem jut Wisconsin államba.

Hasonló problémáról számolt be a Brit Nemzetközösség egy kutatószervezete, a CSIRO (Commonwealth Scientific & Industrial Research Organisation) 2002 nyarán, amikor kiderült, hogy a szintén hálózati eszközökben utazó SMC Networks Inc. egyes otthoni forgalomirányítói a CSIRO atomórával szinkronizált NTP időszerverét tartalmazó hálózatot terhelték túl. Az SMC hibás 7004VBR és 7004VWBR vezeték nélküli eszközeiből csupán 85000 darabot adtak el a világ különböző részein.