Het logo van RIPE Network Coordination Centre

Het RIPE Atlas

Heb je altijd al metingen op het internet willen doen? Ben je bijvoorbeeld benieuwd naar de tijd die het kost om je domein te resolven? En of dit wel het gewenste resultaat oplevert op diverse plaatsen in de wereld? Wil je weten hoe jouw IP-adressen mondiaal te benaderen zijn? Dan is RIPE Atlas iets om je verder in te verdiepen.

RIPE Atlas is een open, wereldwijd internetmeetplatform. Het is een initiatief van Reseaux IP Européens (RIPE) ondersteund door het Reseaux IP Européens Network Coordination Centre (RIPE NCC), één van de vijf Regional Internet Registries (RIR’s). In dit artikel laat ik zien hoe het systeem is opgebouwd, hoe je het kan gebruiken en hoe je er een bijdrage aan kan leveren.

Wat is RIPE NCC?

Voordat we in RIPE Atlas duiken, geef ik een korte introductie van RIPE NCC. Zoals bekend is het internet een internet van internets, dat op basis van IPv4 en IPv6 netwerken werkt. Om connectiviteit en netwerken tussen autonome systemen uit te wisselen, wordt het Border Gateway Protocol (BGP) gebruikt. Een autonoom systeem (AS) is een groep van netwerkapparaten en IP-netwerken, die onder één administratief domein vallen. IP-netwerken en AS-nummers zijn entiteiten, die over de hele wereld verdeeld zijn. De Internet Assigned Numbers Authority (IANA) heeft het beheer over deze entiteiten gedelegeerd naar vijf instanties. Dit zijn de Regional Internet Registries (RIR’s), die de rol van Number Resource Organisation (NRO) op zich nemen. Tegen jaarlijkse kosten kunnen de entiteiten ook worden gedelegeerd naar andere instanties zoals een Local Internet Registry (LIR). Deze instanties en de daarbij behorende gemeenschap hebben zeggenschap over de entiteiten. Verder discussiëren zij samen over hoe het internet wordt beheerd, gestructureerd en bestuurd, en werken ze aan oplossingen voor de toekomst.

Wat is RIPE Atlas?

RIPE Atlas is een netwerk van duizenden meetapparaten op het internet. Dit worden ook wel probes genoemd. Het kunnen kleine, fysieke apparaten zijn, gebaseerd op relatief kleine ARM-processoren, die makkelijk thuis achter een router van de Internet Service Provider (ISP) gehangen kunnen worden. In het netwerk van Atlas zijn echter sterkere probes beschikbaar. Deze zijn voorzien van x86 processoren en worden anchor probes genoemd. Later zijn hier ook software probes bijgekomen. Een software probe kan gehost worden op een Linux machine, ongeacht of die fysiek of virtueel is.

De hardware voor de ARM-probes wordt gefinancierd door één of meerdere sponsoren van RIPE Atlas. De probes worden in gebruik genomen door de RIPE-gemeenschap. Ik noem specifiek de gemeenschap, omdat je een RIPE NCC access account nodig hebt om een Atlas probe aan te vragen en te registreren, en om gebruik te maken van het platform. Omdat de RIPE-gemeenschap behoefte heeft aan veel diverse uitkijkpunten op het internet, is het juist een sterk platform. Dit is een drijfveer om probes zelf te hosten binnen de RIPE-gemeenschap.

Het systeem werkt op basis van credits. Wanneer je zelf één of meerdere probes host, krijg je hier continu credits voor. Hetzelfde geldt voor probes die zowel via IPv4 als via IPv6 benaderbaar en stabiel zijn. Het gebruik maken van de duizenden probes rond de hele wereld kan ook middels credits. Via de RIPE Atlas webpagina kan je diverse, periodieke, metingen uitvoeren.

Uiteraard brengt dit alles de vraag met zich mee wat de staat is van de veiligheid van deze probes en de daarbij behorende infrastructuur. Het antwoord is duidelijk. De RIPE NCC heeft de mogelijkheid om individuele probes uit te schakelen, wanneer deze vreemd gedrag vertonen. Ook luisteren de probes niet naar verkeer, ze faciliteren geen lokale services, er zijn geen lokale configuraties en er is geen webserver actief. Dit alles verkleint het aanvalsoppervlak aanzienlijk.

RIPE Atlas in aantallen

Als we naar de metingen kijken, zijn de uitgangspunten als volgt. Op het moment van schrijven kent Atlas zes soorten metingen, namelijk: Ping, Traceroute, DNS, SSL, HTTP, en NTP. Er zijn 12.967 probes actief, 1877 inactief en 19.676 verlaten. In figuur 1 zie je de geografische verdeling van de probes.

Geografische spreiding van probes in RIPE Atlas

Figuur 1: Geografische spreiding van probes.

Metingen

In het volgende voorbeeld ga ik in op hoeveel tijd het kost om een A- en AAAA-record te resolven van ‘ventus.nl’. In deze metingen gebruik ik resolvers die lokaal, daar waar de probe hangt, geconfigureerd zijn. Verder wordt de probe geforceerd om lokaal te resolven. Een voorbeeld van deze instellingen is te zien in figuur 2.Voorbeeld van meting in het Atlas portaal

Figuur 2: Voorbeeld van meting in het Atlas portaal.

Om een greep te nemen uit de beschikbare probes en een beeld te krijgen van hoe ‘ventus.nl’ mondiaal geresolved wordt, pak ik 100 probes in Nederland en in een andere meting 100 probes wereldwijd. Beide metingen doe ik ook voor het resolven van een AAAA-record. In totaal gaat het om vier metingen, die allemaal een zogenaamde ‘one-off’ zijn. Uiteraard is er ook de mogelijkheid om ze periodiek te plannen.

Resultaten

Vooralsnog zijn de vier genoemde metingen als voorbeeld uitgevoerd. Met de data van deze metingen is een kansdichtheid inclusief het gemiddelde en mediaan geplot. De resultaten kunnen worden gedownload via een API. Deze komen dan als een JSON-object terug. Hierop kan je diverse data-analyses toepassen, zoals hieronder te zien. De data is ook direct te plotten in bijvoorbeeld een monitoringsysteem. De metingen en de resultaten zijn als volgt:

  • De tijd die het kost om met een A-record terug te komen vanaf 100 vantage points in Nederland, over IPv4;

Kansdichtheid, gemiddelde en mediaan van het resolven van het A-record in Nederland over IPv4.

Figuur 3: Kansdichtheid, gemiddelde en mediaan van het resolven van het A-record in Nederland over IPv4.

  • De tijd die het kost om met een AAAA-record terug te komen vanaf 100 vantage points in Nederland over IPv6;

Kansdichtheid, gemiddelde en mediaan van het resolven van het AAAA-record in Nederland over IPv6.

Figuur 4: Kansdichtheid, gemiddelde en mediaan van het resolven van het AAAA-record in Nederland over IPv6.

  • De tijd die het kost om met een A-record terug te komen vanaf 100 vantage points wereldwijd, over IPv4;

Kansdichtheid, gemiddelde en mediaan van het resolven van het A-record, wereldwijd, over IPv4.

Figuur 5: Kansdichtheid, gemiddelde en mediaan van het resolven van het A-record, wereldwijd, over IPv4.

  • De tijd die het kost om met een AAAA-record terug te komen vanaf 100 vantage points wereldwijd, over IPv6.

Kansdichtheid, gemiddelde en mediaan van het resolven van het AAAA-record, wereldwijd, over IPv6.

Figuur 6: Kansdichtheid, gemiddelde en mediaan van het resolven van het AAAA-record, wereldwijd, over IPv6.

Met de gegeven dataset wordt aangetoond dat het resolve proces sneller is in Nederland dan elders op de wereld. Ook is te zien dat een groot gedeelte van de metingen grofweg onder de 500 milliseconden plaatsvindt. Uiteraard zijn dit relatief weinig datapunten en is de informatie summier. Het dient ten slotte als voorbeeld.

Tot slot

Deze metingen kunnen op reguliere basis worden uitgevoerd, waardoor er meer datapunten verzameld worden over een langere termijn. Zo kunnen verschillen in tijd gemeten worden. Atlas is ook aan te spreken via een API, waarbij metingen kunnen worden geconfigureerd en geïnitieerd. De data die het oplevert, is vervolgens als JSON-object te downloaden. Dit maakt integratie met de gebruikte monitor of logging tooling mogelijk. Houd er wel rekening mee dat de in dit artikel gemeten data hevig afhankelijk is van lokale instellingen, resolvers en caches die zijn geconfigureerd. Het internet is dynamisch en DNS is daarbij geen uitzondering.

Ben je geïnteresseerd in meer informatie en hoe deze data je bedrijfsvoering kunnen helpen? Dan is de RIPE NCC website een goede start. Uiteraard kunnen wij meedenken over hoe je aspecten van diverse soorten netwerken en publieke diensten kunt meten. Ben je al in het bezit van bronnen van de RIPE NCC en zoek je een specialist op het gebied van routing en security? Ook dan kan je bij Ventus terecht om te sparren. We denken graag met je mee!

Geschreven door
Sander Post
netwerk specialist

-> Bekijk de mogelijkheden voor professionals
-> Bekijk de mogelijkheden voor werkgevers