O “dia 768k” tem causado apreensão na comunidade brasileira por poder levar a uma espécie de apagão na internet entre o fim de maio e o início de junho. Mas será que é isto mesmo? Abranet procurou Antonio Moreiras, gerente de projetos e desenvolvimento no NIC.br, para entender melhor o assunto. O engenheiro da computação e especialista em internet esclareceu diversos pontos. Ele também publicou um artigo e um vídeo explicando tema.

A Internet é formada por aproximadamente 70.000 redes diferentes.  Cada rede — ou seja, cada sistema autônomo — tem uma visão ligeiramente diferente da tabela de rotas. “Isso é normal, porque cada rede está conectada de forma diferente às demais. Algumas vezes, os caminhos, as rotas, são apresentados de forma mais agregada (juntos), e algumas vezes de forma mais desagregada (separados, levando a mais caminhos)”, explica Moreiras.

Cada uma dessas redes utiliza o protocolo de roteamento da Internet BGP, que é um conjunto de regras de comunicação que especifica como uma rede conta à outra quais são seus endereços IP; e essa outra passa a informação para frente e assim sucessivamente, até que todas as 70 mil redes conheçam o caminho para chegar a cada um dos endereços da Internet. Assim, para cada rede, o número de rotas da tabela é diferente. “Então, o "768k day" pode ser diferente, pode acontecer em dias diferentes, para diferentes redes/organizações”, detalha.

Em 2014, quando houve o "512k day", foi um dia único, o problema aconteceu de uma vez só. “Mas isso, porque, quando já estava para acontecer o problema, quando já estava quase chegando aos 512k, uma grande rede (a Verizon) cometeu um também grande erro e acrescentou, de uma vez só, perto de 15 mil rotas novas à tabela. Então todo mundo chegou lá junto, todo mundo ‘estourou’ a tabela junto, em 12 de agosto de 2014”, lembra Moreiras.

Observando o cenário atual de provedores conectados à nossa rede, o gerente do NIC.br afirmou enxergar 77.3701 rotas; 76.9272 rotas e 74.8956 rotas. Já o CIDR Report mostra 78.1808 rotas. “O problema pode acontecer em alguns equipamentos quando se chegar a 768k = 768*1024 = 786432 rotas”, disse. Pelas contas dele, ainda não chegamos ao dia 768k, mas estamos bem próximos e poderia ocorrer entre o fim de maio e o início de junho.

Segundo Moreiras, dependendo da configuração dos equipamentos e da topologia da rede, as rotas internas também se somam às rotas que vêm do BGP (do restante da Internet). “Para redes muito grandes pode ser que essa tabela já tenha chegado "lá" e ultrapassado as 786432 rotas”, pontuou.

O que pode ser afetado e como se prevenir?

A atenção maior deve ser de quem tem equipamentos legados da Cisco (veja quais aqui), porque eles têm limitação conhecida, apresentaram problemas em 2014 e nos quais a solução adotada com mais frequência na época foi aumentar o limite, mudando a configuração de 512k para 768k. “Podem ser potencialmente afetados roteadores de borda das redes (roteadores rodando BGP) que, eventualmente, não tenham memória suficiente pra suportar o aumento (esperado e natural) da tabela de rotas, que vem junto com o crescimento contínuo da Internet”, alerta Moreiras.

Para se prevenirem a orientação para os administradores de rede é verificar se os seus roteadores têm possibilidade de serem afetados ou não. “Eles devem olhar a especificação técnica dos equipamentos e a configuração feita.” Se o problema, de fato, se manifestar, ele pode levar a rede a ficar sem conectividade.

Pequenos provedores podem estar em risco. Isto porque alguns deles, especialmente os de pequeno porte, costumam comprar roteadores Cisco usados (e antigos) em sites de e-commerce, como o Mercado Livre. “Acho mais provável que haja equipamentos desse tipo na função nobre de roteadores de borda em pequenos provedores do que em provedores médios ou grandes.”

Caso os ISPs cheguem à conclusão de que seu equipamento pode ser afetado, ou seja, de que realmente há um limite de memória para 768k rotas na tabela, eles têm de fazer filtros no BGP para receber menos rotas específicas (usando assim menos memória) e passar a usar rotas default. “Essa é uma configuração comum e até recomendada. Ou seja, o provedor nem sempre precisa obrigatoriamente trabalhar com a tabela de rotas completa, que iria estourar a capacidade de memória do equipamento dele. Pode-se também trocar esses equipamentos por outros mais modernos sem a limitação”, detalha Moreiras.

Depois de passarmos pelo dia 512k e agora estarmos na iminência do dia 768k, será que podemos ter outra ameaça? Moreiras diz que sim. “Temos de ter cuidado com o "dia 1M" agora”, diz.

No entanto, apesar de toda a preocupação em torno do "dia 768k", Moreira não acredita que este será, de fato, um problema e que não teremos apagões. “A chance de algo acontecer de verdade existe, mas em minha opinião é baixa, principalmente, se estivermos falando de algo em larga escala. Um ou outro probleminha aqui ou ali pode ocorrer. Vou ficar muito surpreso se for diferente”, aponta.

Vale lembrar que a infraestrutura de roteamento da Internet é suscetível a outros problemas e certamente passível de melhora. Os problemas envolvem a possibilidade de sequestro de prefixos IP ou vazamento de prefixos IP no BGP, que pode ocasionar falta de conectividade parcial ou quedas, lentidão, desvio do tráfego para espionagem, fraudes etc; a possibilidade de falsificação de IPs (spoofing), que é um dos pilares que fazem os ataques DDOS serem fáceis e baratos para os atacantes hoje, e tão caros e difíceis de impedir para as vítimas; equipamentos malconfigurados que permitem a amplificação dos fluxos de dados nos ataques, que é outro dos pilares dos DDOS;  más práticas de segurança em geral (tanto por fabricantes de equipamentos, como pelos operadores de redes na configuração desses equipamentos).

Moreiras lembrou que existem diversas campanhas para resolver os problemas. Uma delas é chamada MANRS (Mutually Agreed Norms for Routing Security), que incentiva a adoção de algumas práticas e procedimentos simples na operação das redes. “São práticas de baixo custo, mas que podem ter um imenso impacto positivo na estabilidade e segurança da Internet. É coordenada e promovida pela Internet Society.” — saiba mais aqui.

No Brasil, a campanha Programa Internet + Segura, promovida pelo NIC.br e pelo CGI.br, com parceria da Internet Society e apoio das principais associações de provedores de Internet e empresas de Telecomunicações, como a Abranet, apoia o MANRS e também trabalha com recomendações adicionais, além de envolver coordenação de ações com provedores, palestras, cursos e outras atividades. Conheça mais detalhes aqui.

IPv6 e dia 768k

migração para IPv6, dado o esgotamento dos endereços IPv4, não está diretamente ligada ao dia 768k, mas há uma relação entre eles. “Quando falamos dos 768k estamos nos referindo especificamente à tabela de rotas do IPv4. Mas o IPv6 também tem a sua tabela de rotas e ela compartilha a memória do equipamento com a tabela IPv4”, diz Moreiras.

Ele explica que, no caso dos equipamentos legados da Cisco que deram problema no dia 512k, a memória física deles é de 1M (1024k). Então, quando o pessoal mudou pra 768k, o tamanho da tabela IPv4 ficou apenas 256k para tabela”, detalha. A tabela IPv6 hoje tem apenas cerca de 40000 rotas. “Mas há quem tenha levantado a possibilidade de quem tem esse tipo de equipamento ainda simplesmente desligar o IPv6 e usar o 1M (1024k) inteiro pro IPv4.”