Hack NRSR? Kdeže! Tam skôr zaúradovali Pat a Mat...

Alebo tiež, čo je to broadcast storm, spanning tree protokol a prečo ste o nejakých slučkách v počítačovej sieti až dodnes asi nepočuli.

 

Minulotýždňový incident v NRSR vo mne ako bývalom sieťarovi a aktuálnom bezpečákovi vyvolal zmes úzkosti, dvíhania obočia a krútenia hlavou. Podľa aktuálnych informácií totiž všetky problémy spôsobilo banálne, snáď nedbanlivé, prepojenie sieťových káblov tak, že vznikla slučka. A mne neustále behá hlavou – to vážne niekto nadizajnoval hlasovacie zariadenia, registračné pokladnice v jedálni a dokonca aj wifi do jednej broadcast domény? A bez STP

Takže možno aj vy, rovnako ako predseda parlamentu, sa pýtate: Ako je možné, že takáto banalita zablokovala celý parlament a priebeh schôdze?“

Na ozajstné pochopenie toho čo sa udialo by sme sa museli ponoriť do fungovania protokolov počítačových sietí relatívne hlboko, takže ja to skúsim zjednodušiť až do takej miery, že mi moji kolegovia budú musieť asi dosť odpustiť. Taktiež o presnej konfigurácií siete v NRSR, ako aj celkovom technickom riešení tamojšieho hlasovacieho systému nemám žiadne oficiálne informácie, takže budem vychádzať len z dohadov založených na mediálnych výstupoch. Preto nevylučujem, že to celé mohlo a môže byť úplne inak. Nevadí, poďme už na to:

Najbežnejšie usporiadanie zariadení v lokálnej sieti (topológia) je hviezda, či strom. Čiže máme nejaký centrálny bod, napr. switch, alebo váš domáci wifi router (ktorý v sebe ten switch má zabudovaný) do ktorého sa pripájajú všetky ostatné zariadenia, pekne jedno zariadenie do portu. Ak takto prepojíme dva switche – začíname budovať strom, ale to teraz už naozaj nechajme bokom. Každopádne – všade vedie práve jedna cesta a neexistuje tam žiaden okruh – slučka
Takéto usporiadanie siete umožňuje, že informácie v nej nemôžu blúdiť dookola, ale môžu ísť k svojmu cieľu pekne na priamo. Na to je ale nutné, aby zariadenia, ktoré spolu chcú komunikovať o sebe vedeli. Ak o sebe nevedia, prichádza na scénu tzv. broadcast (správa určená pre všetkých) – akýsi „výkrik do tmy“. Keď na switch dorazí broadcastová správa tak je slepo a bez rozmyslu rozposlaná všade – na všetky porty. Má to svoje opodstatnenie, je to úplne bežné a úplne neškodné, teda ak je usporiadanie našej siete korektné - bez slučiek. Pretože ináč sa ocitnete v situácii asi ako náš parlament.

Čo sa teda stane, ak dorazí broadcastová správa na switch do ktorého je pripojená slučka?  Slovami klasika – rozpúta peklo. Jednými dverami, teda portom, vlezie na switch a zreve: „Haló – správa pre všetkých...!“ a switch ju pekne nakopíruje a rozpošle do všetkých svojich portov, aj do tých nešťastných dvoch ktoré sú navzájom prepojené a tvoria slučku. Čiže okamžite prichádzajú na ten istý switch rovno dve nové broadcastové správy a obe revú: „Haló – správa pre všetkých...!“ a znova sa história opakuje a znásobuje, znova, znova a znova a všade. Hovorí sa tomu broadcast storm a je to naozaj búrka. Systémy ňou zasiahnuté ju obvykle dobre nezvládajú, pripojeným počítačom nezriedka vyskočí zaťaženie na maximum, seká aj obyčajný pohyb myši, zasiahnuté switche blikajú ako stromček na štedrý deň... nefungujú registračné pokladnice v jedálni, ani wifi. Jediné šťastie, že dosah takejto búrky je iba lokálny, a teda odstaví iba vašu lokálnu sieť, či jej časť (broadcastovú doménu) – áno, aj lokálna sieť sa môže deliť a členiť. Kým v domácich pomeroch je to rarita, vo väčších sieťach je to nevyhnutnosť, a to nielen kvôli broadcastovým búrkam. Tento incident naznačuje, že v NRSR toto potenciálne odflákli, a to mi naozaj dvíha obočie.

Mimochodom, odvážnejší a zvedaví si broadcast storm môžu vyskúšať jednoducho aj doma (a naozaj len doma – takýto experiment rozhodne neodporúčam skúšať na žiadnej sieti, ktorej nie ste výhradným pánom a kráľom). Stačí zobrať jeden sieťový kábel, zapojiť ho oboma koncami do vášho domáceho wifi routera a sledovať, čo sa bude diať. Následky viete odstrániť jednoduchým odpojením tohto diabolského prepojenia, poprípade ešte dodatočným reštartom sieťových prvkov, keby sa nevedeli rýchlo spamätať. 

Teraz si už vieme predstaviť čo sa možno stalo a trochu teda aj ako. Keďže ale netušíme ako naozaj vyzerá skutočná topológia siete NRSR a už vôbec nie ako funguje hlasovací systém, je nutné pripomenúť, že vo finále pracujeme s dohadmi. K tým patrí aj posledná časť tohto zamyslenia a skratka STP, za ktorou sa ukrýva Spanning Tree Protocol z podnadpisu. Opäť je to niečo, s čím sa v domácich podmienkach nestretávame často, ale v rozsiahlych sieťach je to nevyhnutnosť. Tento protokol totiž udržiava stromovú štruktúru bez slučiek aj v rozsiahlych sieťach, kde bolo potrebné vytvárať aj duplicitné prepojenia (ktoré nutne vedú k vytváraniu slučiek) na zabezpečenie nepretržitej prevádzky. Ak si odmyslíme krásnu, ale pre potreby tohto blogu zbytočne komplexnú matematiku na pozadí, tento protokol na switchoch jednoducho dočasne vypína porty na duplicitných prepojeniach, čím prerušuje slučky a znovu ich zapojí len v prípade, ak dôjde k prerušeniu pôvodnej trasy. Či bol tento protokol v NRSR vôbec použitý, alebo „iba“ zle nakonfigurovaný netušíme, ale na kľude mi to nepridáva. 

Do konšpirácií o tom, či to niekto urobil schválne ako sabotáž sa púšťať nechcem ale uštipačnosť si neodpustím – zdá sa, že duch nbusr123 túto krajinu ešte neopustil.

Pridať nový komentár

Filtered HTML

  • Webové a e-mailové adresy sú automaticky zmenené na odkazy.
  • Povolené sú HTML značky: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Riadky a odstavce sa zalomia automaticky.

Plain text

  • Nie sú dovolené žiadne HTML značky.
  • Webové a e-mailové adresy sú automaticky zmenené na odkazy.
  • Riadky a odstavce sa zalomia automaticky.
CAPTCHA
Táto otázka má overiť, či ste naozaj človek a obmedziť tak automatických spam botov.
Doplňte prázdne políčko.