前回 に続き、今回も2011年1月末にエジプトがインターネットから離脱した事件の仕組みを紹介します。
通常状態でのBGP
まずは、エジプト国内のISPとエジプト国外のISPがBGPを利用して、どのようにつながっているかの概念図です(IPアドレスとAS番号は実在しない値です) 。
図1
通常状態では、エジプト国内のISPは自分の内部にあるネットワークに関する経路をBGPで隣接するASに伝えています。隣接するASは、エジプト国内ISPの経路を必要に応じて他のASへと伝言ゲームのように伝えます。
離脱時の状況
エジプト国内ISPがインターネットから離脱したとき、BGPのWITHDRAWメッセージがエジプト国内ISPから送信され、それを受け取ったASは、WITHDRAWされた(引き揚げられた)経路を削除します。このとき、BGP接続そのものは、恐らく維持されていたと推測されます。
図2
エジプト国内ISPとBGPで接続されたASは、エジプト国内ISPへの経路を失ったことで、エジプト国内ISPが管理する内部ネットワークへの到達性を失ってしまいます。
伝言ゲーム
インターネットはネットワークのネットワークであり、世界中のASがエジプト国内ISPと直接つながっているわけではありません。そのため、エジプト国内ISPからの経路引き揚げメッセージは、伝言ゲームのように世界中のASへと伝えられて行ったものと思われます。
実際にどの組織がどのようにBGP上の経路を削除したのかの詳細は不明ですが、エジプト国内ISPがORIGIN AS(その経路にとっての生成元のAS)の場合を考えてみます。
図3
ORIGIN ASであるエジプト国内ISPがBGPでWITHDRAWメッセージを送信すると、それを受け取ったASは恐らくそこへの経路を失います。
代替経路があれば、それを次のASへ転送しますが、今回の場合は恐らく代替経路が存在しなかったと推測されるので、WITHDRAWメッセージを受け取ったASはメッセージ中に含まれる経路を削除したうえで、そのメッセージを隣接するASへと伝えたと推測されます。
実際にORIGIN ASであるエジプト国内ISPがBGPで経路を削除した可能性もありますが、恐らく各種ISPの経路をトランジットしているエジプトの通信事業者(テレコム事業者)がBGPによる広報を止めたのではないかとも思います。その詳細を述べている記事を今のところ発見できていませんが、Renesys Blog(A Hole in the Internet) で公開されているビデオを見ると、いくつかの組織がまとまった数の経路を止めて行ったと思われる挙動が見えます。
パラパラパラッと経路が消えて行くのが印象的です。
トランジットASがBGPでの広報を止めたのではなく、トランジットASが海外ASとのBGP接続を維持する一方で、顧客側とのBGP接続を落として行った可能性もあります。そうすれば、エジプト国内同士のASを跨ぐ通信も遮断できますし、このビデオで表現されている経路の減り方も納得できます。とはいえ、実際に何が行われたかに関する詳細は公表されていません。
最後に
おそらく、このような形でエジプトがインターネットから一時的に離脱し、国内ユーザがインターネットを通じて海外の情報を入手もしくは発信することを遮断したものと思われます。
BGPを利用したインターネットそのものの遮断は非常に簡単に行えるため、今後、このような手法が他の国でも行われる可能性は捨てきれないというのが今回の感想です。
ネット検閲を行う国は徐々に増えています。そして、それを実現するための技術も日々向上している気がしています。
BGPによるインターネットそのものの遮断という視点で考えた時、国によっては、重要な通信を維持しつつインターネット全体を遮断する方法を技術的に模索するような研究を行うかも知れないと今回の事例を見て思いました。
インターネットが社会的にとって重要になればなるほど、現実世界の国境がインターネットを構成する大きな要素となっていくような気がしている今日この頃です。
次回は、エジプトの事例に関連して「インターネットの敵」を紹介します。