Voici un passionnant article sur l’utilisation de l’#IBR pour mesurer les effets sur l’Internet d’évenements comme les censures étatiques ou comme les tremblements de terre. Mais d’abord, c’est quoi, l’IBR ? L’Internet Background Radiation (ainsi nommé en allusion au fond de rayonnement cosmique, celui qu’on a hérité du Big Bang) désigne le trafic non sollicité émis par toutes les machines zombies et les logiciels malveillants de l’Internet, soit directement lorsqu’ils sondent l’Internet à la recherche de machines à spammer, soit indirectement (le « backscatter » en anglais), lorsque les machines zombies usurpent des adresses IP pour sonder ou faire une attaque par déni de service, déclenchant ainsi l’émission de réponses vers les adresses IP usurpées.
L’IBR est suffisamment intense pour être mesuré. On utilise pour cela des « darknets » des réseaux qui n’émettent jamais rien mais reçoivent du trafic pour un préfixe IP donné. Dès que ce préfixe est annoncé avec BGP, le darknet reçoit du trafic, machines qui recherchent des victimes, et backscatter pour les cas où le méchant a usurpé une adresse du darknet. Pour continuer la métaphore astronomique, le darknet est un téléscope, collectant passivement l’IBR comme le téléscope optique collecte passivement la lumière.
Tout cela est bien connu et l’IBR avait déjà fait l’objet de plusieurs articles de recherche (même s’il n’a pas encore de page Wikipédia, au contraire du fond de rayonnement cosmique). Mais l’article « Extracting benefit from harm : using malware pollution to analyze the impact of political and geophysical events on the Internet » de A. Dainotti, R. Amman, E. Aben, et K. Claffy, utilise l’IBR pour un nouvel usage, détecter des évenements influençant la connectivité. L’idée de base est que le téléscope compte, non pas le trafic (trop variable) mais le nombre d’adresses IP distinctes qui émettent pendant un intervalle de temps. Une diminution brusque de ce nombre indique une grande perturbation dans la Force, pardon une grande perturbation de l’Internet, qui a empêché les machines malveillantes d’émettre. Il n’y a plus qu’à géolocaliser pour savoir où était le problème (si on ne l’a pas déjà appris sur CNN ou Twitter).
Les auteurs ont testé leur hypothèse avec les censures égyptiennes et lybiennes, puis avec les tremblements de terre de Christchurch en février 2011 et de Tohoku en mars 2011. Conclusion : l’IBR baisse bien de manière mesurable lorsque un de ces évenements se produit. Et on peut quantifier cette baisse (les auteurs proposent des métriques) afin de caractériser de manière chiffrée les perturbations de l’Internet.
►http://www.caida.org/publications/papers/2012/extracting_benefit_from_harm
