[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] Mr Erkki Liikanen on Internet security and privacy

Hi,

On Fri, Oct 05, 2001 at 03:18:39PM +0200, Florian Weimer wrote:
> > On Thu, Oct 04, 2001 at 01:23:29PM +0200, Florian Weimer wrote:
> > > Implementationsfehler zurückzuführen ist. Ich habe mich immer noch
> >> nicht von dem Schock erholt, als ich erfuhr, daß in weiten Teilen des
> >> Internets nicht unüblich ist, IP stateful zu routen.
> >
> > Huh?  Was ist "stateful routing"?
> 
> Ein IP-Paket kann nur dann weitergeleitet werden, wenn ein Eintrag mit
> (QUELL-IP, ZIEL-IP) in einer internen Tabelle des Routers vorliegt.

Quell-IP?  Wer macht das denn, ausser fuer Kisten, die *zusaetzlich*
NAT bzw. Accounting machen?

(Wobei die Quell-IP in beiden Faellen nichts mit dem *Routing* zu tun
hat, sondern eben mit NAT bzw. Accounting)

> Das verführt dazu, den Router so zu dimensionieren, daß er keine
> signifikante Zahl von unabhängigen Routing-Entscheidungen pro Sekunde
> durchführen kann, und das wird in der Praxis offenbar auch gemacht.
> 
> Die Konsequenzen daraus sind äußerst unangenehm. Ein recht
> verbreiteter Hersteller läßt diese Routingentscheidungen auf dem
> Hauptprozessor vornehmen, der dann natürlich überlastet wird, was
> wiederum zu Fehlfunktionen in anderen Aufgaben, die der Hauptprozessor
> vornimmt, führt. Ich kann mir durchaus vorstellen, daß daraus ein
> gewisser Grad der beobachteten Netzinstabilität entstanden ist.

"Stateful routing" ist in jedem Fall ein etwas seltsamer Begriff dazu
- aber die Sache mit den ueberlaufenden Accounting- und NAT-Tabellen
ist natuerlich ein Grund fuer die Instabilitaeten rund um Nimda und
Code Red.  Hat aber mit *Routing* in diesem Fall gar nichts zu tun.

gert

-- 
Gert Doering
Mobile communications ... right now writing from *Prague*
... mobile phone: +49 177 2160221 ... or mail me:  gert@greenie.muc.de