Tato studie vysvětluje, jak selhání jednoho autonomního systému (AS) ovlivňuje globální konektivitu určitého regionu, zejména pokud jde o největšího poskytovatele internetových služeb (ISP) v dané zemi. Internetová konektivita na úrovni sítě je řízena interakcemi mezi autonomními systémy. S rostoucím počtem alternativních cest mezi AS vzniká odolnost proti chybám a zvyšuje se stabilita internetu v dané zemi. Některé cesty se však stávají důležitějšími než jiné a mít co nejvíce alternativních cest je nakonec jediným způsobem, jak zajistit spolehlivost systému (ve smyslu AS).
Globální konektivita jakéhokoli AS, ať už jde o menšího poskytovatele internetu nebo mezinárodního giganta s miliony spotřebitelů služeb, závisí na množství a kvalitě jeho cest k poskytovatelům Tier-1. Tier-1 zpravidla znamená mezinárodní společnost nabízející globální IP tranzitní službu a připojení k ostatním operátorům Tier-1. V rámci daného elitního klubu však není povinnost takové spojení udržovat. Pouze trh může takové společnosti motivovat, aby se navzájem bezpodmínečně propojovaly a poskytovaly vysoce kvalitní služby. Je to dostatečná motivace? Na tuto otázku odpovíme níže v části o IPv6 konektivitě.
Pokud ISP ztratí byť jen jedno ze svých připojení Tier-1, bude pravděpodobně v některých částech světa nedostupné.
Měření spolehlivosti internetu
Představte si, že AS zažívá významnou degradaci sítě. Hledáme odpověď na následující otázku: „Jaké procento AS v tomto regionu může ztratit spojení s operátory Tier-1, a tím ztratit globální dostupnost“?
Metodika výzkumuProč simulovat takovou situaci? Přesně řečeno, když byly BGP a svět mezidoménového směrování ve fázi návrhu, tvůrci předpokládali, že každý netranzitní AS bude mít alespoň dva upstream poskytovatele, aby byla zajištěna odolnost proti chybám v případě, že by jeden z nich selhal. Ve skutečnosti je však vše úplně jinak – více než 45 % ISP má pouze jedno připojení k tranzitu proti proudu. Soubor nekonvenčních vztahů mezi tranzitními ISP dále snižuje celkovou spolehlivost. Takže klesají poskytovatelé tranzitních služeb? Odpověď je ano a stává se to poměrně často. Správná otázka v tomto případě zní: „Kdy dojde u konkrétního ISP ke zhoršení konektivity? Pokud se takové problémy někomu zdají vzdálené, stojí za to si připomenout Murphyho zákon: „Všechno, co se může pokazit, se pokazí.
Abychom simulovali podobný scénář, provozujeme stejný model již třetí rok v řadě. V témže roce jsme nezopakovali pouze předchozí výpočty - podstatně jsme rozšířili rozsah našeho výzkumu. K vyhodnocení spolehlivosti AS byly provedeny následující kroky:
- Pro každý AS na světě získáváme všechny alternativní cesty k operátorům Tier-1 pomocí modelu vztahu AS, který slouží jako jádro produktu Qrator.Radar;
- Pomocí geodatabáze IPIP jsme namapovali každou IP adresu každého AS do příslušné země;
- Pro každý AS jsme vypočítali podíl jeho adresního prostoru odpovídající vybrané oblasti. To pomohlo odfiltrovat situace, kdy ISP může mít přítomnost na výměnném místě v určité zemi, ale nemá zastoupení v regionu jako celku. Názorným příkladem je Hongkong, kde si stovky členů největší asijské internetové burzy HKIX vyměňují provoz s nulovou přítomností v internetovém segmentu Hong Kong;
- Po získání jasných výsledků pro AS v regionu hodnotíme dopad případného selhání tohoto AS na ostatní AS a země, ve kterých působí;
- Nakonec jsme pro každou zemi našli konkrétní AS, které ovlivnily největší procento ostatních AS v daném regionu. Zahraniční AS nebudou brány v úvahu.
Spolehlivost IPv4
Níže vidíte 20 nejlepších zemí z hlediska spolehlivosti z hlediska odolnosti proti chybám v případě jediné poruchy AS. V praxi to znamená, že země má dobrou internetovou konektivitu a procento odráží podíl AS, které ztratí globální konektivitu, pokud největší AS selže.
Rychlá fakta:
- USA klesly o 11 pozic ze 7. na 18. místo;
- Bangladéš opustil top 20;
- Ukrajina vzrostla o 8 pozic na 4. místo;
- Rakousko vypadlo z první dvacítky;
- Do top 20 se vracejí dvě země: Itálie a Lucembursko po odchodu v roce 2017 a 2018.
V žebříčku udržitelnosti dochází každý rok k zajímavým pohybům. Loni jsme psali, že celkový výkon 20 nejlepších zemí se od roku 2017 příliš nezměnil. Stojí za zmínku, že rok co rok vidíme pozitivní globální trend směřující ke zlepšení spolehlivosti a celkové dostupnosti. Pro ilustraci tohoto bodu porovnáme průměrné a střední změny za 4 roky v celkovém hodnocení udržitelnosti IPv4 ve všech 233 zemích.
Počet zemí, kterým se podařilo snížit svou závislost na jediném AS na méně než 10 % (příznak vysoké odolnosti), se oproti minulému roku zvýšil o 5 a k září 2019 dosáhl 35 národních segmentů.
Jako nejvýznamnější trend pozorovaný během našeho studijního období tedy identifikujeme významný nárůst odolnosti sítí po celém světě, a to jak v IPv4, tak v IPv6.
Odolnost IPv6
Již několik let opakujeme, že mylný předpoklad, že IPv6 funguje stejně jako IPv4, je základním strukturálním problémem v procesu vývoje a implementace IPv6.
Minulý rok jsme psali o peeringových válkách přetrvávajících nejen v IPv6, ale i v IPv4, kde spolu Cogent a Hurricane Electric nekomunikují. Letos jsme s překvapením zjistili, že další dvojice loňských rivalů, Deutsche Telekom a Verizon US, úspěšně zavedla IPv6 peering v květnu 2019. Je nepravděpodobné, že byste o tom našli nějakou zmínku, ale je to obrovský krok - dva velcí poskytovatelé Tier-1 přestali bojovat a konečně vytvořili peer-to-peer připojení pomocí protokolu, který všichni chceme mnohem více rozvíjet.
Pro zajištění plné konektivity a nejvyšší spolehlivosti musí být cesty k operátorům Tier-1 vždy přítomny. Také jsme vypočítali procento AS v zemi, která má pouze částečnou konektivitu v IPv6 kvůli peeringovým válkám. Zde jsou výsledky:
O rok později zůstává IPv4 výrazně spolehlivější než IPv6. Průměrná spolehlivost a stabilita IPv4 v roce 2019 je 62,924 % a 54,53 % pro IPv6. IPv6 má stále vysoký podíl zemí se špatnou globální dostupností – tedy vysoké procento částečné konektivity.
Oproti loňskému roku jsme ve třech velkých zemích zaznamenali výrazné zlepšení, zejména v dimenzi částečné konektivity. Loni měla Venezuela 33 %, Čína 65 % a SAE 25 %. Zatímco Venezuela a Čína výrazně zlepšily svou vlastní konektivitu a vyřešily vážné problémy částečně propojených sítí, SAE zůstaly v této oblasti bez pozitivního impulsu.
Širokopásmový přístup a záznamy PTR
Zopakováním otázky, kterou si klademe od minulého roku: „Je pravda, že přední poskytovatel v určité zemi vždy ovlivňuje regionální spolehlivost více než kdokoli jiný nebo kdokoli jiný?“, vyvinuli jsme další metriku pro další studium. Snad nejvýznamnějším poskytovatelem internetu (podle zákaznické základny) v dané oblasti nemusí být nutně autonomní systém, který se stává nejdůležitějším při poskytování globální konektivity.
V loňském roce jsme zjistili, že nejpřesnějším ukazatelem skutečné důležitosti poskytovatele může být analýza záznamů PTR. Obvykle se používají pro zpětné vyhledávání DNS: pomocí adresy IP lze identifikovat přidružený název hostitele nebo název domény.
To znamená, že PTR může umožnit měření konkrétního zařízení v adresním prostoru jednotlivého operátora. Protože již známe největší AS pro každou zemi na světě, mohli jsme spočítat záznamy PTR v sítích těchto poskytovatelů a určit jejich podíl mezi všemi záznamy PTR v regionu. Okamžitě stojí za to učinit prohlášení o vyloučení odpovědnosti: počítali jsme PTR záznamy PTR a nepočítali jsme poměr IP adres bez záznamů PTR k IP adresám se záznamy PTR.
V následujícím textu tedy hovoříme výhradně o IP adresách s přítomnými záznamy PTR. Jejich vytváření není obecným pravidlem, a proto někteří poskytovatelé zahrnují PTR a jiní ne.
Ukázali jsme, kolik z těchto IP adres se zadanými záznamy PTR by bylo odpojeno v případě odpojení od/společně s největším (podle PTR) autonomním systémem v zadané zemi. Toto číslo odráží procento všech IP adres s podporou PTR v regionu.
Porovnejme 20 nejdůvěryhodnějších zemí z žebříčku IPv4 za rok 2019 s žebříčkem PTR:
Je zřejmé, že přístup, který bere v úvahu záznamy PTR, dává zcela odlišné výsledky. Ve většině případů se nejen mění centrální AS v regionu, ale procento nestability pro uvedený AS je zcela odlišné. Ve všech regionech, které jsou spolehlivé z hlediska globální dostupnosti, je počet IP adres s podporou PTR, které budou odpojeny kvůli pádu AS, desítkykrát vyšší.
To by mohlo znamenat, že přední národní ISP vždy vlastní koncové uživatele. Musíme tedy předpokládat, že toto procento představuje část uživatelské a zákaznické základny ISP, která bude v případě výpadku odříznuta (v případě, že přechod k alternativnímu poskytovateli nebude možný). Z tohoto pohledu se země již nejeví tak spolehlivé, jak vypadají z hlediska tranzitu. Možné závěry ze srovnání 20 nejlepších IPv4 s hodnotami hodnocení PTR necháme na čtenáři.
Podrobnosti o změnách v jednotlivých zemích
Jako obvykle v této sekci začínáme velmi speciální položkou AS174 - Cogent. Minulý rok jsme nastínili jeho dopad v Evropě, kde je AS174 identifikován jako kritický pro 5 z 20 nejlepších zemí v indexu odolnosti IPv4. V letošním roce si Cogent udržuje pozici v top 20 spolehlivosti, avšak s určitými změnami – zejména v Belgii a Španělsku byl AS174 nahrazen jako nejkritičtější AS. V roce 2019 se pro Belgii stal AS6848 - Telenet a pro Španělsko - AS12430 - Vodafone.
Nyní se podívejme blíže na dvě země s historicky dobrým skóre odolnosti, které za poslední rok provedly nejvýznamnější změny: Ukrajinu a Spojené státy americké.
Za prvé, Ukrajina výrazně zlepšila svou pozici v žebříčku IPv4. Podrobnosti o tom, co se stalo v jeho zemi za posledních 12 měsíců, jsme se obrátili na Maxe Tuljeva, člena představenstva Ukrajinské internetové asociace:
„Nejvýznamnější změnou, kterou na Ukrajině vidíme, je pokles nákladů na přenos dat. To umožňuje nejziskovějším internetovým společnostem získat několik upstream připojení mimo naše hranice. Hurricane Electric je na trhu obzvláště aktivní a nabízí „mezinárodní tranzit“ bez přímé smlouvy, protože neodstraňují předpony z burz – pouze oznamují zákaznický con na místních IXP.“
Hlavní AS pro Ukrajinu se změnil z AS1299 Telia na AS3255 UARNET. Pan Tulyev vysvětlil, že jako bývalá vzdělávací síť se UARNET nyní stala aktivní tranzitní sítí, zejména na západní Ukrajině.
Nyní se přesuneme do jiné části Země – do USA.
Naše hlavní otázka je docela jednoduchá – jaké jsou podrobnosti o 11stupňovém poklesu odolnosti USA?
V roce 2018 se USA umístily na 7. místě, přičemž 4,04 % země potenciálně ztratí globální dostupnost, pokud AS209 selže. Naše zpráva za rok 2018 poskytuje určitý přehled o tom, co se ve Spojených státech před rokem změnilo:
"Ale velkou zprávou je to, co se stalo ve Spojených státech." Dva roky po sobě – 2016 a 2017 – jsme identifikovali Cogent's AS174 jako změnu hry na tomto trhu. To již neplatí – v roce 2018 jej nahradil AS 209 CenturyLink, čímž se Spojené státy posunuly o tři místa na 7. místo v žebříčku IPv4.“
Výsledky za rok 2019 ukazují, že Spojené státy se umístily na 18. místě se skóre odolnosti, které kleslo na 6,83 % – což je změna o více než 2,5 %, což obvykle stačí na to, aby vypadly z 20 nejlepších v žebříčku odolnosti IPv4.
Oslovili jsme zakladatele Hurricane Electric Mikea Lebera, aby se k situaci vyjádřil:
„Je to přirozená změna, protože globální internet neustále roste. IT infrastruktura v každé zemi roste a modernizuje se, aby podporovala informační ekonomiku, která se neustále mění a vyvíjí. Produktivita zlepšuje zákaznickou zkušenost a příjmy. Místní IT infrastruktura zvyšuje produktivitu. To jsou makro-techno-ekonomické síly."
Vždy je zajímavé analyzovat, co se děje v největší světové ekonomice, zvláště když pozorujeme tak výrazný pokles v hodnocení spolehlivosti. Pro připomenutí, minulý rok jsme zaznamenali nahrazení AS174 Cogenta AS209 od CenturyLink ve Spojených státech. V letošním roce ztratil CenturyLink svou pozici kritického AS v zemi ve prospěch jiného samostatného systému, AS3356 Level3. To není překvapivé, protože tyto dvě společnosti od převzetí v roce 2017 účinně zastupovaly jednu organizaci. Od této chvíle je konektivita CenturyLink zcela závislá na konektivitě úrovně 3. Lze dojít k závěru, že celkový pokles spolehlivosti souvisí s incidentem, ke kterému došlo v síti Level3/CenturyLink na konci roku 2018, kdy 4 neidentifikované síťové pakety přerušily internet na několik hodin v rozsáhlé oblasti Spojených států. . Tato událost jistě ovlivnila schopnost CenturyLink/Level3 poskytovat tranzit největším hráčům v zemi, z nichž někteří možná přešli k jiným poskytovatelům tranzitu nebo jednoduše diverzifikovali svá upstream a downstream připojení. Navzdory všemu výše uvedenému však zůstává Level3 nejdůležitějším poskytovatelem konektivity pro USA, jehož odstavení by mohlo mít za následek nedostatek globální dostupnosti pro téměř 7 % místních autonomních systémů, které na tento tranzit spoléhají.
Itálie se vrátila do top 20 na 17. místě se stejným AS12874 Fastweb, což je pravděpodobně výsledek výrazného zlepšení kvality a kvantity cest k tomuto poskytovateli. Vždyť spolu s ním v roce 2017 klesla Itálie na 21. místo a zbyla tak první dvacítka.
V roce 2019 Singapur, který se do top 20 žebříčku dostal teprve loni, ale poskočil rovnou na 5. místo, opět získal nové kritické ASN. V loňském roce jsme se pokusili vysvětlit změny v regionech jihovýchodní Asie. V letošním roce se kritický AS pro Singapur změnil z loňského AS3758 SingNet na AS4657 Starnet. Touto změnou si kraj pohoršil pouze o jednu pozici a v roce 6 se propadl na 2019. místo žebříčku.
Čína zaznamenala pozoruhodný skok ze 113. místa v roce 2018 na 78. místo v roce 2019, přičemž podle naší metodiky došlo ke změně síly IPv5 asi o 4 %. V IPv6 klesla částečná konektivita Číny z loňských 65,93 % na letošních něco málo přes 20 %. Primární ASN v IPv6 se změnilo z AS9808 China Mobile v roce 2018 na AS4134 v roce 2019. V IPv4 je AS4134, který vlastní China Telecom, kritickým po mnoho let.
V IPv6 zároveň čínský segment internetu klesl v žebříčku udržitelnosti za rok 20 o 2019 míst – z 10 % v loňském roce na 23,5 % v roce 2019.
Pravděpodobně to vše naznačuje pouze jednu jednoduchou věc - China Telecom aktivně zlepšuje svou infrastrukturu a zůstává hlavní komunikační sítí pro Čínu s externím internetem.
S rostoucími riziky kybernetické bezpečnosti a vlastně neustálým přísunem zpráv o útocích na internetovou infrastrukturu je na čase, aby všechny vlády, soukromé i veřejné společnosti, ale především běžní uživatelé pečlivě zhodnotili své vlastní pozice. Rizika spojená s regionální konektivitou je třeba pečlivě a poctivě prozkoumat a analyzovat skutečnou úroveň spolehlivosti. I nízké hodnoty v hodnocení křehkosti mohou způsobit skutečné problémy s dostupností v případě masivního útoku na velkého celostátního poskytovatele kritické služby, řekněme DNS. Nezapomeňte také, že v případě úplné ztráty konektivity bude vnější svět odpojen od služeb a dat umístěných v regionu.
Náš výzkum jasně ukazuje, že konkurenční trhy ISP a operátorů se nakonec vyvíjejí, aby se staly mnohem stabilnějšími a odolnějšími vůči rizikům v daném regionu i mimo něj. Bez konkurenčního trhu může selhání jednoho AS vést a bude mít za následek ztrátu síťové konektivity pro významnou část uživatelů v zemi nebo širším regionu.
Zdroj: www.habr.com