Kauanko Internetin uudelleenrakennus kestäisi, jos...

[Jere Sumell]

Kuten kaikkien meidän tiedossa hyvin on, Internetin jonkinlainen backbone, selkäranka, että tietoliikkenneyhteydet toimii, on 13 juuripalvelimessa, jotka on sijoitettuna ympäri maapalloa. Nehän on ne kaikkein alin taso, tai matalin taso, jonka kautta kulkee aivan kaikki palvelupyynnot, joita verkossa tapahtuu, sama mikä laite tai muu tahansa objekti on liitettynä verkkoon ja käyttää nykyaikaisia tietoliikenneyhteyksiä.

Eräs teknologiasta juuri mitään tietämäton maallikko, joka vastustaa kaikkia älylaitteita, eikä edes omista älytelevisiota, niin alkoi selittämään vakavasti asiaa, että !Sitten ollaan kusessa, kun jokin kaunis päivä kaikki menee pimeäksi, mikään ei toimi.", niin sen lisäksi, että yhteenvetona pienen johdannon pidin Internetin tuosta selkärangasta, ja totesin myos, että edellytyksenä, että kaikki lakkaisi toimimasta, niin olisi että syttyisi jokin hyvinkin koko maailman kattava suuri maailmansota tai ydinsota, jossa jokin taho pommittaisi maan tasalle samanaikaisesti kaikki nuo juuripalvelimet, mutta sittenkin käsittääkseni Internetin ja tietoliikenneyhteyksien uudelleenrakentaminen ei veisi kovinkaan pitkää aikaa välttämättä. Olenko tässä väärässä.

Muistaakseni vielä 1990-luvun lopussa noiden juuripalveimien määrä oli ainostaan oliko se 3 vai 4, joku voi korjata tuon määrän, jos muistan väärin, mutta muistan 1990-luvun lopulla ei varmaan ainut yrityskerta kaataa noita juuripalvelimia yhtäaikaisesti, mutta kenties ainakin omaan muistiini mittavin oli joskus 1990-luvun lopulla kun jokin ryhmittymä oli suunitellusti organisoinut laajamittaisen DDOS -hyokkäyksen, joka kohdistui noihin muutamaan juuripalvelimeen yhtäaikaisesti. Sekään onnistunut täysin, kun Internet ei kaatunut missään vaiheessa. Siitä oli sitten seurauksena tuo, että noita juuripalvelimien lukumäärää nostettiin. Ja tätä nykyä 2022 niitä on kaikkiaan 13 kappaletta.

Siinä nyt mitään ihmeellistä ole, että palvelupyyntojä kohdistaa niin voimakkaan määrän yhtäaikaisesti, että saa tuon palveluestohyokkäyksen käynnistettyä, mutta sitä vaaraa lienee enää sillä tavalla olemassa, kun on keinoja, joilla sitä vastaan voidaan suojautua, joskin on mahdollinen ylemmän tason palvelimille, mitä noiden juuripalvelimien osalta.

Mitä mieltä täällä palstalla koulutetut ja pitkään tietoliikennetekniikan parissa ja tietotekniikan parissa tätä alaa seuranneena olette mieltä, kestäisiko Internetin uudelleenrakennus kovinkaan kauaa, jos sattuisi jokin totaalinen globaali luonnonkatastrofi lähinnä kait jokin laajamittainen maailmansota tai ydinsota, mitä nyt ei varmaan elinaikanani tapahdu, eikä sitä kukaan toivokaan, vaikka maailmassa on paljonkin sotia ja Euroopankin turvallisuustilanne on kiristynyt.

En mene nyt syvemmälle noiden juuripalvelimien problematiikkaan, vaan yleinen kuva siitä nyt hahmotettuna, kun joku voi loytää ongelmallisena sen, että osa noista juuripalvelimista on yksityisen organisaation hallinnassa käsittääkseni, mutta en nyt nosta sitä ongelmana esiin.

[AimoE]

Tässä on nyt ollut puhetta sotilaaiisista liitoista ja liittoutumattomuudesta. Mutta Jeren kysymys herättää kysymyksen siitä, montako eri Internettiä maailmasa on ja miten resilienttejä ne ovat toisiinsa verrattuna, eli kuinka helposti Venäjä tai Kiina saa äntisen netin mahalleen ja oman nettinsä jaloilleen. Kilpavarustelua sekin.

[Jere Sumell]

Tosiaan, mitä puhuin tosiaan yksikössä yhdestä Internetistä, ja silläkin tarkoitan tosiaan tätä länsimaalaista, meidän suomalaistenkin käyttämää tietoverkkoa kaikkine palveluineen ja toimintoineen, joista world wide web on vain yksi monista koko Internetin palveluista, ehkä se tunnetuin tai arkipäiväisin, kaikki siis kattaen.

En tiedä, onko olemassa, tai onko mahdollista edes selvittää, paljonko maailmassa on erillään toisistaan, tai sellaisia suljettuja tietoverkkoja, joitain on tiedossa, Korea nyt ehkä tunnetuin esimerkki, mutta varmasti muissakin vastaavissa sotilaallisia intressejä edistävä vierasvalta omaa tällaisia. Voi olla, että on useampiakin sellaisia, joista ei ole mitään tietoa länsimaalaisten tiedotusvälineiden tietoon saatettuna.

[Jere Sumell]

Tuli mieleen vielä noista suljetuista verkoista, kun mainitsin pohjois-korean, niin tuli edellisessä tyopaikassa juttua, kun ei ollut juuri sillä hetkellä mitään erityistä tekemistä, kun roikuin siinä järjeston IT-tuessa, mitä joku kertoi, että Helsingissä on matkatoimisto, joka lienee Suomessa ainut lajiaan, joka järjestää ryhmämatkoja pohjois-koreaan, ja tämän jokin tuttu on käynyt siellä, niin hotellin ulkopuolella, kun kävi tupakalla, niin aseistetut vartijat kaksi kappaletta valvoi tarkasti toimintaa.

Sitten päädyttiin katsomaan Google Mapsista pohjois-koreaa, niin varmaan ainut alue maailmassa, josta Google Mapsissa ole lainkaan maantieteellistä dataa saatavilla tuo pk:n valtion alue. Vai onko jollakulla jotain tietoa, onko maapallolla muita alueita, joista Googlella olisi mitään maantieteellistä dataa omistuksessaan.

Sen lisäksi, että tuo pk:n verkko on ulkoapäin suljettu, niin myos sisältäpäin, että sieltä verkosta ei voi ottaa yhteyttä ulkopuolella sijaitsevaan koneeseen lähettää palvelupyyntoa. Opiskeluaikanani joku kertoi, että joku tämän kaveri oli lähtenyt pohjois-Koreaan ja yksi tämän syy korean matkalle olisi ollut se, että aikoo hankkia jonkin kokemuksen siitä tietoliikenneverkosta, joka niillä on siellä käytossä. Sitten opinto-ohjaaja kysyi, "Jaiks, aikooko kaverisi vielä palata sieltä myos takaisin."

[qwertyy]

Tästä "normaalista" internetistä, niin suurin uhka on esim. mitä venäläiset tällä hetkellä tekee, eli uittavat sotakalustoa uhkaillen valtamerien kuitukaapeleiden yllä. Tuollaisilla tuhoilla saisi monenlaista ikävää kansalaisille ja tietysti välillisesti koko infralle aikaiseksi. Ei siinä mitään palvelimia tarvi samanaikaisesti tuhota. Dataa liikkuu niin paljon, että kun muutama oleellisin datalinja on tuhottu, niin lähes varmasti alkaa pykimään tarpeeksi kaikki palvelut ylikuormittumisen takia. Mitä ihmiset vielä tietenkin yleensä tekee, niin kun jonkin häiriö tulee, niin sitten vasta sitä aletaan kokeilemaan viiden minuutin välein, että onko palvelu X jo pystyssä, vaikka se on tietysti nimenomaan se huonoin vaihtoehto kaikkien alkaa tekeen samanaikaisesti.

Sehän on ihan totta, että nykynetin katkaisulla saisi todella paljon ikäviä juttuja aikaiseksi. Jo pelkästään pankkiyhteyksien rampauttamisella saisi todella ikäviä vaikutuksia.

Mutta toki käytännössä joka maalla on omat varajärjestelmät, eli päällimmäisenä viranomaisverkko. En tiedä millä mallilla on, mutta venakoilla kait on ihan oma intranet olemassa. Samoin eikös Kiina ole pitkälti eristäytynyt muista verkoista, samoin kun P-Korea.

[nm]

Kuten kaikkien meidän tiedossa hyvin on, Internetin jonkinlainen backbone, selkäranka, että tietoliikkenneyhteydet toimii, on 13 juuripalvelimessa, jotka on sijoitettuna ympäri maapalloa. Nehän on ne kaikkein alin taso, tai matalin taso, jonka kautta kulkee aivan kaikki palvelupyynnot, joita verkossa tapahtuu, sama mikä laite tai muu tahansa objekti on liitettynä verkkoon ja käyttää nykyaikaisia tietoliikenneyhteyksiä.

Mainitsemasi 13 juuripalvelinta ovat DNS-järjestelmän juuripalvelimet, tai oikeastaan 13 kiinteää IP-osoitetta, joiden takana on todellisuudessa suurempi joukko palvelimia, tällä hetkellä 1490 kpl. Jokainen juuripalvelin on siis hajautettu useaan eri sijaintiin, ja Suomessakin palvelimia on 10 kpl. Kartta: https://root-servers.org/

DNS:n rikkominen tai häiritseminen maailmanlaajuisesti edellyttäisi suuren ja kohtalaisen heterogeenisen palvelinjoukon hakkerointia tai valtavat resurssit DDoS-hyökkäyksen toteuttamiseksi.

Sinänsä Internet ei lakkaa toimimasta, vaikka koko DNS-häkkyrä romahtaisi. IPv4 ja IPv6 -liikenne ei riipu DNS:stä, vaan suorilla osoitteilla olisi edelleen mahdollista käyttää palveluja. Osoitteiden selvittäminen voi tosin olla hankalaa, jos ne ehtivät hävitä käyttöjärjestelmän välimuistista ja Internet-operaattorin DNS-palvelimelta. Lisäksi pieni mutka matkaan tulee siitä, että sivustojen SSL/TLS-sertifikaatit on kytketty domain-nimeen, eli jos DNS ei toimi, osoitetta vastaava nimi pitäisi itse lisätä esimerkiksi /etc/hosts-tiedostoon:

Koodia: [Valitse]

216.58.207.228    www.google.com
Uskoisin, että oikeassa vikatilanteessa tai hyökkäyksessä juuripalvelimista vastaavat organisaatiot pystyisivät ratkaisemaan ongelman tunneissa.

[Jere Sumell]

Jos esittää Googlen hakukoneelle kysymyshakutermin "How many root servers are there?", niin ensimmäinen hakutulos on ruotsalaisen netnod-organisaation esitys, ja tuo netnod on yksi 12:sta noista juuripalvelimen ylläpitäjistä. Tuossa artikkelissa osoitteessa

https://www.netnod.se/i-root/what-are-root-name-servers

suora lainaus ":There are more than 1,300 root server instances around the world, on all six populated continents.", ja sitten todetaan, että noita organisaatioita on 12, ja Verisign hoitaa kahta juuripalvelinta, mutta tuossa listassa tuon esityksen alussa on listattuna kolmetoista kohtaa.

Tuossa viittaamassani nettilähteessä on myös esimerkki, että jos yksi nimipalvelin olisikin täysin toimintakyvytön, niin muut 12 sitten 750+ilmentymällä kuitenkin toimisi, ja yhteenvetona samassa kappaleessa on, että koska todennäköisyys on äärimmäisen pieni, että kaikki nuo juuri-nimipalvelimet olisi samaan aikaan saavuttamattomissa, niin johtuen siitä, tuo järjestelmä on hyvin luotettava, suora lainaus:

"If all instances of a single address are unreachable, either in general or for a specific part of the world, there are 12 more root server IP addresses to choose from. The  chances of all 750+ root server instances or all 13 root server IP addresses being unreachable at the same time are very small, and the root server system is, thus, very reliable."

Tuo nyt on sama johtoäätös tehtävissä ilman, että pitää lukea edes tuota kappaletta mistään lähteestä, mutta on nyt tuossa sitten "thus", josta johtuen järjestelmä on hyvin luotettava kirjoitettuna johtopäätös.

En tiedä, kuinka laaja bottikone-verkko pitäisi olla pystyssä, että pystyisi esimerkiksi Wiresharkilla monitoroimaan yhtä noista juuripalvelimien osotteista, ainakaan ihan kotikonstein se ei onnistu, tiedon määrä on niin valtava, että kone kaatuu, eikä muuta tapahdukkaan sitten.

Vaatii ihmisen ymmärryksen ulkopupolella olevan rahasumman taloudellisina  resursseina investoida rautaan, jolla sitten simultaanisesti samaan aikaan monitorosisi kaikkia 13 -noita palvelimelle tulleita pyyntökyselyitä, vaikka sitten reaaliaikaisen liikenteen seurannan ollen käynnissä filterin ohjelmointi, jolla seuloo sen tyyppistä liikennettä, mistä on kiinnostunut, niin ei ehkä tuottaisikaan ongelmia.

Se nyt on paras, jos Wireshark tuntuu kiinnostavalta ohjelmalta, pysytellä yhden itseään lähiympäristössä seijaitsevan IP-osoitteen reaaliaikaiseen seurantaan, siihen kotikone taipuu.

[_Pete_]

En tiedä, kuinka laaja bottikone-verkko pitäisi olla pystyssä, että pystyisi esimerkiksi Wiresharkilla monitoroimaan yhtä noista juuripalvelimien osotteista, ainakaan ihan kotikonstein se ei onnistu, tiedon määrä on niin valtava, että kone kaatuu, eikä muuta tapahdukkaan sitten.

Miksi kone kaatuu juuri tuossa tilanteessa ja mikä sen aiheuttaa? Onko tiedossa joku kernel bugi joka aiheuttaa kaatuimsen juuri tuossa tilanteessa ?

[Jere Sumell]

Miksi kone kaatuu juuri tuossa tilanteessa ja mikä sen aiheuttaa? Onko tiedossa joku kernel bugi joka aiheuttaa kaatuimsen juuri tuossa tilanteessa ?

No totta puhuen en ole tuota Wiresharkkia muuta kuin Windows -järjestelmillä katsonut ja testaillut, siitähän on Linux-versio olemassa, niin kokeile Pete itse Wiresharkilla, ja pistä monitorointi käyntiin jostain noista palvelimien IP-osotteista ja katso mitä tapahtuu. Kaatuuko kone ja jos kaatuu, antaako mitään herjaa tai ylipäätään mitään merkkejä, josta voisi päätellä missä on vika? Voihan sitä toki muutkin kokeilla, kuka tahansa, ja varmaan moni on tälläkin palstalla kokeillut, niin jos joku tietää noista kaatuamisen taustoista tai korjauksia siihen, niin ihan mielellään kuulisin tai lukisin ratkaisuista.

[nm]

No totta puhuen en ole tuota Wiresharkkia muuta kuin Windows -järjestelmillä katsonut ja testaillut, siitähän on Linux-versio olemassa, niin kokeile Pete itse Wiresharkilla, ja pistä monitorointi käyntiin jostain noista palvelimien IP-osotteista ja katso mitä tapahtuu.

Ei tapahdu mitään, eikä Wireshark näytä mitään liikennettä, koska et pysty kaappaamaan paketteja sellaisessa Internetin solmupisteessä, jossa liikkuisi juuripalvelimille suunnattuja viestejä.

[Jere Sumell]

Kai tuo on sitten se selitys, miksi mitään dataa ulostulona saanutkaan, kun ensimmäisen kerran AMK-opinnoissa tietoverkkokurssilla oli esillä tuo tyokalu, niin silloin taisin ainoan kerran kokeilla tuota juuripalvelin-kohdetta tietämättä vielä sen enempää taustoja.

Olen ainoastaan omassa verkossani olevia koneita niiden liikennettä seurannut tuolla Wiresharkilla, mutta hyvin alkeellisesti ja ei tuo nyt aivan kaukaa haettua ole ja turhaa ole, kun ajatellaan, että jos taloudessa olisi verkonkäyttäjinä ala-ikäisiä lapsia esim, niin vanhemmat valveutuneina tietoliikenteen seuraajina voi sitten puuttua johonkin epämääräiseen ei-toivottuun verkon käyttoon ajoissa, ennen kuin mitään vanhinkoa välttämättä ehtii tapahtumaan.

TCpDump kanssa toinen vapaa verkkopakettien nuuskimis ja analysointiohjelma, ja sitäkin voi hyodyntää Wiresharkin kanssa yhdessä, tuollaisessa, kuin Comparitechin verkkojulkaisussa on Aaron philipsin toimittama artikkeli otsikoituna "How to run a remote packet capture with Wireshark and tcpdump", jos jotakuta kiinnostaa tuo etänä sijaitsevan palvelimen liikenteen kaappaus ja/tai tutkiminen.

Suora osoite artikkeliin on
https://www.comparitech.com/net-admin/tcpdump-capture-wireshark/

Tuon jälkeen, kun tutustuin tuohon Wireshark -tyokaluun, aloin vähän enemmän kyseenalaistamaan julkisten verkkojen käyton kannattavuutta,  tai sitten muuttui käsitys loppuelämän ajaksi kotikaupunkini asuinalueista, että Turun ylioppilaskylään en olisi valmis muuttamaan mistään hinnasta, saati opiskelijasoluasuntoon, jossa on kiinteä opiskelija-asuntosäätion tarjoama verkkoyhteys.

[qwertyy]

No totta puhuen en ole tuota Wiresharkkia muuta kuin Windows -järjestelmillä katsonut ja testaillut, siitähän on Linux-versio olemassa, niin kokeile Pete itse Wiresharkilla, ja pistä monitorointi käyntiin jostain noista palvelimien IP-osotteista ja katso mitä tapahtuu.

Ei tapahdu mitään, eikä Wireshark näytä mitään liikennettä, koska et pysty kaappaamaan paketteja sellaisessa Internetin solmupisteessä, jossa liikkuisi juuripalvelimille suunnattuja viestejä.

Korjatkaa tyhmää ja tietämätöntä, mutta eikös tuo myös edellyttäisi, että käyttäjän pitäisi pystyä toimia ns. middleman toimena ja pystyä injektoimaan haluttua tietoa ja sekin pitäisi jotenkin muuttaa tai paremminkin ohjata kaikki liikenne haitallisiin palveluihin. Ja tämä kaikki joka paikassa samaan aikaan.

Olenko ihan pihalla perusteista? Wireshark ei kait tuohon pysty mitenkään? Eikös sen tarkoitus ole vain nuuhkia kaikki mahdolliset paketit liikenteestä, eli se kait pystyy kyllä selvittämään "helposti" salaamattomat salasanat yms. mutta eikait sillä mitään voi oikein tietovirtaan tehdä? Olen kyllä aika pahasti pihalla näin teknisestä aiheesta, mutta tämä on oma karkea käsitykseni.

Ja vielä täsmennettynä aiheeseen, niin eikös nuo nimipalvelimet vain tarjoa tavallaan sen ipv4 muodossa jos olisi vaikka xxx.xxx.xxx.xxx numeroisen osoitteen vaikka selaimen ymmärtämäksi, vaikka kotisivu.xxx osoitteeksi. Eli jos DNS olisi ihan kyykyssä, niin jos tietää IP-osoitteen, niin siihen voisi ihan hyvin edelleen yhdistää. Plus se että eikait nuo DNS-palvelut mitenkään liity itse datan siirtymiseen? Eli jos olet yhteydessä heitetään nyt vaikka google.com sivustoon, niin käsitykseni mukaan mitään ei voisi edes nähdä wiresharkilla nuuskiessa itse DNS-palvelinta kun se vain toimittaa tuon IP-osoite ja www.abc.def tyyliin? Eli esim. hakusanasi ei ainakaan oman käsitykseni mukaan liity koskaan tuon DNS-palvelimen kautta, eikä oikeastaan juuri mikään muukaan tieto.

Sitten eri asia jos wiresharkia ajaisi kotiverkossa tai yritysverkossa jossa data sattuisi liikkumaan täysin salaamattomana.

*edit*
Ja mitään kotitietokonetta tuskin on turha tarjota tuonne mainittuihin ns. pää DNS-palveluiden tilalle, vaikka onnistuisi ne jotenkin murtaan ja ohjaan tietoliikenteen 

[JaniAlander]

Sikäli kuin minä olen ymmärtänyt niin Wireshark nimenomaan on lähinnä yhteyden "nauhoittaja" ei sillä reaaliajassa voi pakettaja modailla, saatika sitten kryptoja availla.

[JaniAlander]

Ylipäätään sillä saat nauhoitettua lähinnä liikenteen mitä omasta koneestasi lähtee ja tulee.

[Jere Sumell]

Joo, ei Wiresharkilla pysty "manipuloimaan" paketteja, joissa tieto liikkuu netissä.

Ei se ainoastaan omasta koneesta lähtevä ja siihen tuleva liikenne ole, sanoisin, että laajentaen niistä kaikista koneista, jotka on verkossa, jokin yrityksen verkko tai kotiverkko esim. niin se organisaation IT-tukihenkilosto voi helpostikin monitoroida koko organisaation verkkoa sitä julkista liikennettä.

Tosiaan Wiresharkilla ei pysty manipuloimaan paketteja, mutta siitä liikenteestä, mitä on saatavilla reaali-ajassa, kun sitä seuraa, niin voi reaaliajassa myos suodattaa melko monimuotoisesti joko valmiilla filttereillä, tai sitten itse määäritelyllä filtterillä.

[JaniAlander]

Toki jos sulla on sinne solmukohtaan pääsy ja siihen monitoroinnin pistät.