コメント先週、Verizon 社が 3 時間にわたって引き起こしたインターネット ルーティングの失敗により、オンライン上で大混乱が発生し、マスコミの注目が集まり、業界からはネットワーク セキュリティの強化を求める声が上がりました。
その数週間前には、今度は中国電信が引き起こした別のパケットルーティングの失敗が2時間続き、欧州で大きな混乱を引き起こし、北京のスパイがインターネットの信頼に基づく構造を悪用して監視を行っているのではないかとの疑念も生じた。
どちらのケースでも、インターネットエンジニアたちは、通常は数分、あるいは数秒で済むトラフィックルーティングエラーの修正にどれほどの時間がかかったかに衝撃を受けました。しかし、今週起こったことに比べれば、それは取るに足らないことでした。
Cloudflareのネットワークエンジニアリング担当ディレクター、ジェローム・フルーリー氏は、大量のIPアドレスのルーティングが1週間にわたって誤ってアナウンスされていたことを明らかにしました。そして驚くべきことに、この重大なミスを引き起こしたCloudflareは、別のエンジニアによってこの重大なミスが指摘されるまで、そのことに気づいていませんでした。(この失態は、本日のCloudflareの障害とは全く別のものです。)
ネットワークルートが数日間も完全に間違ったままになるなんて、一体どうしてあり得るのでしょう? 実は、IPv6 だったからです。
「エアテルAS9498は、1週間にわたってIPv6ブロック2400::/12全体をアナウンスしたが、トム・ストリックスが発見し、/127の入力ミスであったと確認するまで、誰も気づかなかった」とフルーリー氏は週末、大規模なルーティングエラーを示す画像とともにツイートした。
/12は830兆個のIPアドレス、つまり4京個の/64ネットワークを表します。/127は2個、つまりたった2個のIPアドレスです。わずかな違いです。これはIPv6のアドレス空間の広大さ、そしてルーティングの失敗の間に実際には何も壊れていないように見えることから、おそらくその堅牢性を示すものですが、同時に、現在のIPv6がいかに希薄であるかを暗示しています。
公平に言えば、エアテルの場合、ネットワーク ルート エラー (通常は「7」を追加し忘れるなどの単純なタイプミスが原因) に気付くには、他の人が必要になることがよくあります。これは、テーブルを台無しにする組織が、その影響を直接確認したり感じたりしない傾向があるためです。
しかし、IPv4 から IPv6 への移行がいかに悲惨な状況にあるかを象徴するものがあるとすれば、それは、IPv4 エラーは通常数分以内に電話や電子メール、ソーシャル メディアでの抗議を引き起こすのに対し、重大な IPv6 ルーティング エラーが 1 週間にわたってまったく気付かれなかったという事実です。
確かに、IPv4の空間はIPv6よりもはるかに密度が高いので、当然ながら人々はエラーをはるかに早く発見するでしょう。しかし、何日もの間、/12の広告に誰も気づかなかったのでしょうか?確かに、この/127の誤植は直接的な影響はなかったとはいえ、これは将来にとって良い兆候ではないかもしれません。
日常の経験
ねえ、どうしたの?もしかしたら、エンジニアが既存のシステムに数え切れないほどの修正やごまかしを加え続けてきたせいで、IPv6 が少々不安定な状況に人々がすっかり慣れてしまっていたのかもしれない。IPv6 にきちんと移行する代わりに。だから、それほど異常なこととは思えなかったのかもしれない。
おそらく、自動化システムがより具体的で機能的なルートを優先してこれを無視し、まったく警告が出なかったために気付かなかったのでしょう。
なんてこった!オーストラリアのISP、IPv4の高額な請求書を受け、IPv6アドレスへ移行
続きを読む
IPv6の普及状況に関する様々な情報源が現在存在し、インターネット協会は優れた情報のほとんどを一箇所にまとめています。しかし、インターネット関連団体は、例えば南北アメリカ大陸のIPv6普及率が31%であるなど、状況は順調であると主張し続けていますが、本当に重要な統計、つまり実際の利用状況を掘り下げるべき時が来ているのかもしれません。
Googleは現在、訪問者の28%がIPv6を使用していると主張している。しかし、私たちはそれを信じていない。実際のユーザー数ではなく、接続数の割合が28%である可能性が高い。そして、そのうちどれだけがGoogle自身のシステムから発生する自動トラフィックなのか疑問に思う。
ルーティング エラーによって、インターネットが信頼に大きく依存し、しばしば糸と意志の力で結びついているという事実に注目が集まったのと同様に、このエラーは、導入から 20 年以上経過した IPv6 が、実際の導入において依然として危険なほど遅れていることを明らかにしています。
ブロック全体が行方不明になったことを考慮すると、すべてのインターネット プロバイダーとインフラストラクチャ組織がルーティング セキュリティに関する相互合意基準 (MANRS) に準拠し、フィルタリングやスプーフィング対策を追加し、調整と検証をさらに強化する必要があるという主張がさらに強まります。®
