BGP Looking Glass Nedir?

BGP Looking Glass Nedir?

İster deneyimli bir BGP yöneticisi olun, isterseniz BGP protokolünü yeni öğrenmeye başlayan biri, bu süreçte mutlaka Looking Glass servislerini kullanacaksınız.

Ayrı bir yazımızda BGP Protokolünü de detaylı ele alacağız.

Bgp Looking Glass ise kelime anlamını bilenler için şunu ifade eder , tabii burada önce son kullanıcı gibi ifade etmeye çalışacağız, mesela bir web siteniz var , bu web siteniz bir veri merkezindeki bir sunucuda barınıyor ve sitenizin ip adresini biliyorsunuz. Şunu merak edebilirsiniz, acaba örneğin Frankfurt’ta yaşayan biri benim web siteme erişirken hangi ISP’lerden route ediliyor, ya da benim ISP’mi yurtdışında frankfurt’a bağlayan ISP kim? Ya da trafiğim yurtiçinde nerelerde geziyor ve ya benim hizmet aldığım firma yurtdışından trafik alır iken buna komşuluk edip trafiğini yurtdışına çıkaran firma kim? Ya da normal bir ev interneti kullanıcısı olun , farketmez , dış ip adresiniz bellidir , bunu dns sorgu sitesinden görebilirsiniz , peki lokasyonunu bildiğiniz bir arkadaşınız ile internet üzerinden sohbet halindesiniz diyelim ya da kameralı şekilde görüşüyorsunuz , peki bu arkadaşınız ile görüşürken trafiğiniz yani bu yazışma, ses ya da görüntü kayıtlarınız hangi ISP’ler den geçiyor.

Belirtmek gerekir ki bu servisleri kullanmanın esas amacı öncelikle bir bgp yöneticisi iseniz trafiğiniz doğru anons ediliyor mu , komşuluğunuz kabul olmuş mu gibi sorular için bir problem çözme aracıdır.

Normal bir kullanıcı isek benim web hosting hizmeti aldığım firma hangi firmadan hat alarak yurtdışına ya da ülkemizdeki diğer ISP’lere erişiyor? Ya da yurtçi hangi firmalar ile komşuluk yapıyor. Hatta detaylandırma da sınırı aşalım , sunucunuzda çalışan bir cronunuz var , Ülke dışında bir firmaya curl atıyor , peki bu istek hangi isp’den geçiyor ya da hangi firmadan hangi rotayı izleyerek geri geliyor , aynı yerden gelmek zorunda da değil , bu firmanın stratejisi olabilir, mesela bir dönem yerli bir x firması, yurtiçi kullanıcılarını yine yurtiçi sunuculara eriştirirken nedeni belirsiz bir şekilde önce traği yurtdışına çıkarıp sonra tekrar yurtiçine döndürmeyi tercih ediyordu. Bu da bazı gecikmeler ya da bazı engellere sebep olabiliyordu ancak çoğu kullanıcı buna farketmediği için firma stratejileri maalesef bizim konumuz dışında kalıyor.

Bu gibi durumları tespit etmek için Bgp looking glass servisleri vardır. Kısaca bazı isp’ler router’larında kısıtlı komutları internete açarlar ve bizde bu servisler vasıtası ile dilediğimiz ip adresine ya da hostname’e bir sorgu atarız, arka planda bu komut isp’nin (internet servis sağlayıcı) router’ında çalıştırılır ve çıktısı bize yansıtılır, böylece bizde bize gelen yolu, çıktıda gördüğümüz AS Number’lar vasıtası ile öğrenmiş oluruz. Bunu örnekler ile açıklamaya çalışacağız.

Mesela dns sorgu sitesini ele alalım , bu site nerede barınıyor , yurtdışından bu siteye erişirken bu sitenin barındığı firma yurtdışı trafiğini nereden karşılıyor. Bir çok looking glass servisi olduğunu belirtmiştik , şimdilik bunlardan biri olan cogent’ın servisini kullanalım. Cogent looking Glass adresine giriyoruz. Ben seçeneklerde Frankfurt’u seçtim ve test kısmında ise BGP seçeneğini seçip ilgili alana dnssorgu.com yazdım. Çıktı aşağıdaki gibi olacak.

Resimde dikkat ettiyseniz kırmızı işaretli bir alan belirttim , genelde bu testlerde o bölümde sıralı şekilde as numberlar görürsünüz, as number ip sahibi firmaların kendilerine dedike edilen numaralarıdır. Yani her firmanın as number ı benzersiz ve farklıdır. Bu resimde en son alanda gördüğümüz numara olan 51559, Net İnternet firmasının AS numarasıdır. Peki bunu nereden kontrol edebiliriz. Genelde Ultra Tools firmasının ASN Lookup aracını kullanıyoruz.

Her As Number’ı tek tek sorgulamak yerine Türkiye’de IP sahibi kişi ya da kuruluşlarının As numberlarının listesini görmek isterseniz https://bgp.he.net/country/TR adresini’de kullanabilirsiniz.

Ayrıca DnsChecker AsNumber Lookup aracını kullanabilirsiniz.

Ayrıca konsolda çalışıyor ve firmaların tüm route’larını shell de görmek istiyorsanız aşağıdaki komutu kullanarak çıktı alabilirsiniz.

root@hostrazzi:~# whois -h whois.radb.net — ‘-i origin AS51559’ | grep ‘route:’
route: 91.227.4.0/24
route: 91.227.6.0/24
route: 91.229.35.0/24
route: 185.83.144.0/22
route: 185.95.84.0/22
route: 185.106.208.0/22
route: 185.126.216.0/22
route: 185.149.100.0/22
route: 89.252.178.0/23

Tabi bu liste uzayıp gidiyor.

Örneğin ülkemizde en fazla web sitesi barındıran Natro Web Hosting firmasını incelediğimizde, Natro’nun yurtdışı çıkışlarının Netdirekt üzerinden gerçekleştiğini görüyoruz, Netdirekt ise yurtdışına direkt olarak bağlı gözüküyor ve böylece Natro’nun mümkün olan en kısa yoldan yurtdışına eriştiğini görüyoruz.

Ya da Superonline kullanıcıları natro.com a nasıl erişiyor diye düşünür isek superonline looking glass servisini kullanabiliriz. Bu durumda çıktı aşağıdaki gibi oluyor. Yani ülkemizdeki bir Superonline kullanıcısı superonline routerından çıkıyor, ttnet’e ulaşıyor , oradan radore’ye ulaşıp son olarak natro.com un router’ına giriyor. http://lg.superonline.net/lg/

Eğer router Size ait ise ve bgp tanımlarını siz yapıyor iseniz farklı bir noktaya giderken hangi routerlar ile komşuluk yaptığınızı ise aşağıdaki şekilde görebilirsiniz , prefixler ile yolunuzu da değiştirebilirsiniz.

root@hostrazzi-router> show route protocol bgp 8.8.8.8 terse

• ? 8.8.8.0/24 B 170 100 AS1 AS2 AS3 I
  Buradaki as1 , as2 ve as3 yazan bölümlerde as numaralarını göreceksiniz. biz örnek olması için 1,2,3 diye doldurduk. Bu şu demek , Sizin bgp yapan routerınız google’ın 8.8.8.8 adresine gitmek isterken önce As1’e sonra As2’ye ve sonra As3 ile google a ulaşmakta.

Yani aslında Sizde, routerınıza sadece bu komutu ip değişkeni ile gönderip çıktıyı web’e yansıtabilecek bir web sayfası yaparak (ki github’da hazırı var – php Looking Glass), Dünya’ya bir looking glass servisi verebilir duruma gelebiliyorsunuz.

Bazı firmalar ise anonslarını Voxility üzerinden yapmayı tercih etmiş gözüküyor , böylece saldırgan trafik temizlenerek kendilerine ulaşıyor , buna bir örnek ise aşağıdaki şekilde gözüküyor.

Thu Feb  6 10:35:39.623 UTC
BGP routing table entry for 178.20.231.0/24
Versions:
  Process           bRIB/RIB  SendTblVer
  Speaker         1815653147  1815653147
Last Modified: Feb  5 20:32:08.571 for 21:03:31
Paths: (1 available, best #1)
  Advertised IPv4 Unicast paths to peers (in unique update groups):
    38.5.0.99       
  Path #1: Received by speaker 0
  Advertised IPv4 Unicast paths to peers (in unique update groups):
    38.5.0.99       
  6762 3223 43391 57844
    130.117.15.66 (metric 102020) from 38.28.1.83 (38.28.1.110)
      Origin IGP, metric 4294967294, localpref 100, valid, internal, best, group-best, import-candidate
      Received Path ID 0, Local Path ID 1, version 1815653147
      Community: 174:11401 174:20666 174:21100 174:22005
      Originator: 38.28.1.110, Cluster list: 38.28.1.83

Bu çıktıdaki firma Voxility’den hizmet almış ve bunu 3223 as numarasını gördüğümüz için söyleyebiliyoruz. Bu noktaya kadar anlatılanlar ile o firmayı artık Sizde bulabilir durumda olmalısınız. Bazı firmalar ise trafiği sürekli voxility’den geçirmek yerine bir atak durumunda route’larını değiştirerek ya da community girerek trafiği voxility gbi servisler üzerine çevirebilmekte.

Bgp looking glass ile ilgili bahsedeceklerimiz bu kadar, faydalı olmasını dileriz. Yorumlarınız bizim için çok önemli.