TERZO AGGIORNAMENTO IN BASSO
E' noto che in questi giorni ci sono problemi sulla rete in Italia
Io nutro forti dubbi che il problema siano i DNS.
Se cosi' fosse, sarebbe diffuso praticamente su tutti gli operatori e cosi', vi assicuro, non e'.
Credo che se cosi' fosse, tutti gli utenti di uno stesso operatore dovrebbro avere il problema e cosi' non e'.
IMHO, a naso, questo e' un problema che nasce da lontano...
http://blog.quintarelli.it/2006/09/ed_una_pessima_.html
certo, potrei sbagliarmi...
credo sia possibile fare una controprova: chi ha problemi, scriva un commento a qs post con gli IP address dei DNS che sta usando, cosi' chiunque non ha problemi puo' provare a configurare quei DNS e vedere se gli si presentano i problemi.
AGGIORNAMENTO
ho fatto 4 telefonate in giro.
in realta' gia' sabato ero stato coinvolto in questa vicenda da alcuni operatori che lamentavano problemi ai DNS ma alcune cose erano strane
- non tutti gli operatori avevano problemi
- non tutti gili utenti di un operatore lamentava problemi
- sembrava esserci un accumulo di problemi in certe fasce orarie
nel frattempo alcuni operatori lamentavano problemi di saturazione che, dopo alcune analisi, si potevano ricondurre
- in alcuni casi a DSLAM apparentemente saturi e
- in alcuni casi a tratte ATM apparentemente sature
una cosa anomala e' che un attacco di Distributed Denial Of Service in genere avviene tramite malware che viene sparso in giro e, in un dato momento, tutti si attivano e colpiscono uno stesso bersaglio. e' per questo che in genere sono difficili da contrastare ed hanno effetti importanti, tutti vanno contro lo stesso bersaglio.
in questo caso, invece, apparentemente ogni utente bersaglia il DNS del suo operatore, per cui, essendo la potenza di fuoco distribuita su più operatori, i problemi dovrebbero essere minori.
questo spiegherebbe anche perché non si registrano attacchi da macchine presso un operatore verso i DNS di un altro operatore, cosa che invece si rileva abitualmente.
qualche mese fa ci fu un attacco DDOS verso i DNS di I.NET che fu prontamente identificato e bloccato fino ad individuare il responsabile con un blitz a casa sua. nonostante l'originatore fosse un italiano, i 3/4 degli attacchi arrivava dall'estero.
sempre dal mio giro di consultazioni telefoniche/mail, mi pare di avere capito che il problema sta solo in Italia ed anche questa e' una anomalia.
se c'e' un malware che attacca i DNS di un operatore, lo stesso problema lo dovrebbero lamentare piu' o meno tutti gli operatori, e non solo in Italia ma anche all'estero.
l'unica cosa che potrebbe spiegare questa anomalia, nasometricamente, sarebbe che la diffusione del malware sia avvenuta solo in Italia e prevalentemente su operatori che servono clientela residenziale
tra le varie che ho sentito l'ipotesi che mi pare ad oggi piu' accreditata e' che le mail che giravano da una decina di giorni di un fantomatico avvocato che diffidava dall'invio di spam (confesso che ho cancellato la mail senza leggerla tutta, ma mi dicono che in fondo c'era un URL da cliccare) installassero un bot.
questo da solo non spiega tutti i problemi per cui la saturazione in varie parti della rete pare proprio esserci sia a livello di DSLAM che di ATM.
ad oggi, quindi, sono portato a credere che ci siano due problemi simultanei: saturazione e un DDOS.
quanto la saturazione sia dovuta al DDOS, non so.
AGGIORNAMENTO 2
in linea teorica potrebbe anche accadere che, in prossimità di saturazione degli switch, la sera quando molti utenti accendono il PC, parta un elevato numero di richieste al DNS.
di per sé non pare molto plausibile che il traffico generato da pacchetti UDP quali quelli delle query DNS (che sono piccoli) possa posrtare a saturazione di throughput, pero' potrebbe essere che il numero di celle che arrivano sugli switch ATM sia molto elevato e quindi gli switch, pur avendo banda sufficiente, in realtà vanno in crisi di CPU.
che conclusione trarre ?
che e' opportuno che anche in Italia si faccia un ISAC, e si faccia presto.
tra qui e il 31.12 (quando finisco il mandato come presidente AIIP) cerchero' di avviare la cosa. spero che il Ministero mi appoggi.
AGGIORNAMENTO 3 - CORREZIONE
Sto invecchiando e perdo qualche colpo, evidentemente.
Meno male che ci sono gli amici e Giuliano da Latina mi ricorda che le celle ATM sono di 53 byte, più piccole delle query DNS, per cui in realtà la saturazione avviene sia di cpu che di throughput
Essendo cosi' la cosa, e dato che esistono dei "minimi garantiti" che vengono venduti da telecom agli operatori, potrebbe implicare che questi limiti non siano stati rispettati ? non lo so, bisogna fare delle analisi tecniche approfondite, ma ci sono menti brillanti che se ne stanno occupando.
La mia (momentanea e spannometrica) diagnosi non cambia: prossimità alla saturazione in vari punti della rete e il bot ha "fatto l'onda".
Che ci sia un Bot, lo do' per acquisito. Sia miei amici di Clusit che di AIPSI me lo confermano e mi hanno dato anche delle info sul codice che contiene. (e c'e' anche una valida ipotesi di perche' sia solo in Italia). (vedi anche il post di Gigi, presidente di Clusit)
Il dimensionamento delle reti e' difficile e certamente, con questo piccolo bot, l'integrita' della rete e' stata compromessa.
Per sapere cosa é accaduto, potrebbe essere utile scrivere ad AGCOM e al Ministero delle Comunicazioni chiedendo che venga fatta chiarezza.
Ricordo che la Legge (Codice delle comunicazioni elettroniche) all'articolo 13.6 recita:
Il Ministero e l’Autorità, nell’ambito delle rispettive competenze, promuovono gli interessi dei cittadini:
f) garantendo il mantenimento dell’integrità e della sicurezza delle reti pubbliche di comunicazione;
e, perché no, chiedendo al Ministero di collaborare ad istituire un ISAC italiano (non occorrono molti soldi, e' interesse di tutti gli operatori) un "imprimatur" istituzionale pero' sblocca e non poco.
la miglior medicina e' la prevenzione, ma la seconda miglior medicina é un coordinamento tempestivo per affrontare i problemi al primo segnale e non mettere la testa nella sabbia...
