今天分享的论文主题为乌克兰互联网络在俄乌冲突期间的稳定性。该工作由来自美国卡内基梅隆大学以及谷歌公司的研究人员共同完成。该论文利用Measurement Lab网络测量工具Network Diagnostic Tool (NDT)在乌克兰的用户数据,基于冲突前后时期的网络性能对比,分析冲突对乌克兰用户网络的影响,发现性能出现了显著下降,且与军事活动及路由线路变化相关。论文发表于国际网络测量领域顶级会议ACM IMC 2022。
全文约2800字,阅读时间约8分钟。
01
【背景介绍】
保障韧性(resilience)是互联网设计的一项重要原则,即当战争等外部冲击出现时,部分基础设施的损坏不应导致整个网络瘫痪[1]。2022年的俄乌冲突,为安全社区提供了观测当前互联网在国家级别冲突中稳定性的机会。特别地,乌克兰作为一个新兴的互联网络经济体,近年在网络建设方面发展迅速,互联网渗透率(网民占整体人口比例)已超过75%[2]。而俄乌冲突的爆发导致乌克兰多个城市遭受重创,是对其国家互联网络韧性的一次重大考验。
图表1:2022年3月20日前后乌克兰军事活动地区分布
冲突发生后,网络社区非常关注乌克兰网络设施遭受的影响。许多工程师和研究人员在博客上发表相关文章,指出部分炮火密集城市网络IP地址可达性下降[3],并观测到运营商级别的网络中断[4];社会新闻报道多例网络工程师在该国修复受损基础设施的英勇行为[5,6];一些著名的互联网研究者和撰稿人在社交平台也对此展开讨论[7,8]。但已有研究报告与报道均以第三方视角、从外部进行观察分析,乌克兰国内用户的网络体验究竟受到何种程度的影响还不得而知。
本次介绍的论文利用Measurement Lab的网络测量工具Network Diagnostic Tool (NDT),以众包模式从网络用户处收集测试数据,从而开展了首个用户视角的乌克兰互联网络稳定性分析。数据分析涵盖了2022年2月24日至2022年4月18日,即俄乌冲突发生后的54天,包括此次冲突的一些关键事件时间节点(如4月3日乌克兰军队赢得基辅之战并迫使俄罗斯军队退出[9])。整体而言,该论文期望基于对乌克兰地区NDT用户数据集的分析,回答以下问题:
(1)冲突期间用户的网络性能是否受到影响,影响程度如何?
(2)网络性能影响是否与军事活动具有统计意义上显著的相关性?
(3)网络性能的影响是否与核心路由的切换有关?
02
【数据收集】
论文分析数据来自于开源的全球网络性能测量平台,Measurement Lab(M-Lab)。其在47个国家部署了210个测量站点,用于测量位于不同地理的客户端的网络性能。Network Diagnostic Tool (NDT)是M-Lab维护的一款测量工具,可为用户提供可视化的网络性能即时测试结果。通过与谷歌搜索合作,目前NDT每天可采集到200个多个国家超过400万次的测试数据。
作者根据NDT日志中的客户端IP信息,利用MaxMind数据库查找对应的地理位置,筛选出来自乌克兰客户端的数据用于论文研究。数据时间跨度为2022年1月1日至2022年4月18日,即俄乌冲突开始前的54天(对应数据集记作prewar)与冲突开始后的54天(对应数据集记作wartime)。为排除正常情况下单日网络性能的自然波动带来的影响,论文对NDT网络性能数据以周为粒度进行平均处理。此外,作者还将2021年1月1日至4月18日的数据作为baseline进行对照分析,前54天记为baseline Jan-Feb, 2021,后54天记为baseline Feb-Apr, 2021。
局限性说明:论文数据分析存在一些局限性。首先,NDT能够收集到数据的客户端起码拥有可连通的网络。也就是说,那些受到严重冲击导致网络彻底中断的用户数据并未纳入分析范围。因此相比于网络性能指数的变化(例如延迟是否增加),似乎应该更优先分析活跃用户数量的变化。不过,根据论文收集到的数据,wartime的用户数仅比prewar下降了约2%,说明用户彻底断网的情况也并不严重,对分析结果影响不大。其次,根据IP地址定位的地理位置可能会有误差。不过根据MaxMind自我评估的结果,其60%的定位精确度可达到25km,以城市为粒度进行分析影响不严重。
此外,作者强调,不要过于关注论文中用户网络性能评估指标的绝对数值,它们并不能反映乌克兰整体网络的真实情况。论文分析的重点为不同地区、不同时间网络性能指标的区别与变化。
03
【主要发现】
1. 网络服务质量
图表2:2022.1.1-2022.4.18 乌克兰境内NDT性能测试情况(虚线标识俄乌冲突开始日期)
从国家整体层面来看,冲突开始后,用户网络的平均最小往返时延(Minimum RTT)增加、平均有效吞吐量(Goodput)下降,连接丢包率(Loss Rate)显著提高,而且日均抖动也比冲突发生前更剧烈,证实了冲突期间乌克兰网络状态的不稳定。值得注意的是,图表2(a)中3月10日附近出现了一次测试数量高峰。根据新闻报道,当天乌克兰地区发生了AS级别的大规模网络中断[10],可能导致用户频繁对网络性能进行测试。
图表3:乌克兰各州冲突发生前后网络性能指标变化情况
若以州为粒度来看,如图表3所示,冲突发生后受影响较为显著地区多分布于乌克兰北部和东南部,和军事活动的密集区域是相吻合的(参考图表1)。值得注意的是,4类指标中测试数量(Test Counts)的影响最小,说明论文数据采集的频率较为稳定,保障了结果的可信性。
图表4:乌克兰四个城市在冲突前后的网络性能指标变化(*代表具有统计显著性)
论文还选取了4个城市进行比较分析,包括:Kyiv(乌克兰首都,人口最多的城市)、Kharkiv(乌克兰第二大城市,位于受冲击比较严重的东部地区)、Mariupol(乌克兰人口最多的十个城市之一,受冲击比较严重的东南部)、Lviv (乌克兰西部城市,军事活动没有其它城市密集),结果如图表4所示。可以看到,位于军事活动密集区的Kyiv、Kharkiv及Mariupol性能下降显著,而Lviv也受到了一定影响。
图表5:Kharkiv与Mariupol 每日NDT测试数量的变化
不过,军事冲突对于网络性能的实际影响是非常复杂的,很难单纯地从某个性能指标推断得出结论。例如,文中提到,NDT测试数量的增加可能意味着出现“断网”(如图表2(a)),但NDT数量的下降不一定意味着网络性能的恢复。如图表5所示,Kharkiv的NDT测试数量在3月14号出现明显下降,原因是当天发生了针对居民区的军事冲突,超过600栋居民建筑被摧毁[11]。这种冲击并不针对网络基础设施,但会导致居民无家可归。当生存成为首要需求,网速如何甚至能否上网都不重要,这也导致该城市的NDT测试量急剧下降,后续的测试结果也会存在较大的统计偏差。
2.路由线路变化
除网络性能外,论文还使用了M-Lab的scamper数据集,即traceroute测试数据,来分析冲突期间乌克兰路由线路受到的影响。作者认为,当冲突造成基础设施断电或者设备故障时,两个测试点之间原有路由可能被中断,新的(备用)路由线路将被启动。因此,两个测试点之间路由路径数量变化(增加)可以作为其网络受到影响的判断依据。为验证这一想法,作者对冲突时期各测试点间路径数量与网络性能指标相关性进行了分析。如图表6所示,路由数量与丢包率呈正相关性、与下载速度呈负相关性,一定程度上验证了网络性能影响会导致路由线路变化的假设。
图表6:路由路径数量与网络性能指标的相关关系
此外,作者还统计了在乌克兰国内路由路径中较为活跃的AS的网络性能变化情况。图表7展示了2022年乌克兰国内活跃程度排名前10的AS,在wartime与prewar期间的性能变化,Baseline则为2021年相应时期的变化情况。可以看到,即使是在wartime期间最“活跃”的10个AS,其网络性能也出现了非常显著的下降,有一半的AS在冲突开始后RTT增长超过100%。此外,即使位于相同城市的AS,其受到冲击导致的影响也存在差别。例如Kyivstar与SKIF ISP均位于Kyiv附近,但前者的性能下降就比后者更加显著。
图表7:乌克兰国内活跃程度前10的AS在冲突前后性能变化情况(_指变化程度超过baseline,*指具有统计显著性)
除关注乌克兰国内网络影响外,由于NDT在国际上有很多测量节点,还可以根据乌克兰境内节点到境外节点的路由变化,分析其在出入境网络流量方面受到的影响。图表8给出了一个案例。AS 199995位于乌克兰境内,冲突开始前,其境外流量主要来自于AS 6663及AS 28917(图表8(a)),但冲突开始后,其与AS 6663之间的丢包率显著增加(图表8(b)),流量显著地向AS 6939发生了转移。
图表8:乌克兰境内AS 199995到3个境外AS的流量占比变化
04
【结论】
整体而言,该论文从乌克兰网络用户的视角出发,对其在冲突期间的网络性能影响程度及原因展开分析。实验表明,冲突期间乌克兰用户网络的确受到显著影响,影响程度和军事活动的激烈程度有关。不过,乌克兰境内的网络设施也呈现出一定的“韧性”,可能是通过启动路由备用线路等方法对受损网络进行了修复,即使不能避免性能受到影响,也尽可能地保障网络的连通性。
原文链接
https://dl.acm.org/doi/pdf/10.1145/3517745.3561449
参考文献
[1] D. Clark. 1988. The Design Philosophy of the DARPA Internet Protocols. InSymposium Proceedings on Communications Architectures and Protocols(Stanford,California, USA)(SIGCOMM ’88). Association for Computing Machinery, NewYork, NY, USA, 106–114. https://doi.org/10.1145/52324.52336
[2] International Telecommunication Union. (2019).Individuals using the Internet(population) – Ukraine. https://data.worldbank.org/indicator/IT.NET.USER.ZS?locations=UA&most_recent_value_desc=true
[3] Emile Aben. (2022-03-10).The Resilience of the Internet in Ukraine.https://labs.ripe.net/author/emileaben/the-resilience-of-the-internet-in-ukraine/
[4] Emile Aben. (2022-02-28).The Ukrainian Internet. https://labs.ripe.net/author/emileaben/the-ukrainian-internet/
[5] Thomas Brewster. (2022-03-22).Ukraine’s Engineers Battle To Keep The InternetRunning While Russian Bombs Fall Around Them.https://www.forbes.com/sites/thomasbrewster/2022/03/22/while-russians-bombs-fall-around-them-ukraines-engineers-battle-to-keep-the-internet-running/?sh=1d168a015a4c
[6] JJ Rosen. (2022-03-06).Ukraine’s resilience also shows in its strong technologyexperts. https://www.tennessean.com/story/money/tech/2022/03/06/ukraines-resilience-also-shows-its-strong-technology-experts/9345361002/
[7] Jim Cowie. (2022-03-04).This is consistent with what’s currently visible at theCogent looking glass; namely, no direct adjacencies to Vimpelcom, but the much more substantial connections to Rostelecom 12389, Vkontakte 47541, and Megafon31133 remain.https://mobile.twitter.com/jimcowie/status/1499838091191889925
[8] Suhail. (2022-02-24).1/ Cyber attack thread of the ongoing invasion:.https://twitter.com/suhail/status/1496876355664822272?lang=en
[9] Mason Clark, George Barros, Frederick W. Kagan, Kateryna Stepa-nenko, and Karolina Hird. (2022-04-20).Ukraine Conflict Updates.https://www.understandingwar.org/backgrounder/ukraine-conflict-updates
[10] Doug Madory. (2022-03-10).Large outages today in #Ukraine. Ukrtelecom(AS6849) down nationally at 9:35 UTC (11:35am local) for 40min. Triolan(AS13188) has been down nationally for over 12hrs due to reported cyber at-tack. Still almost entirely offline. Vizes from @gatech_ioda and @kentikinc:.https://twitter.com/DougMadory/status/1501910709734678529
[11]Ivana Kottasová and Yulia Kesaieva. (2022-03-15).Kharkiv was struck 65 timeson Monday and 600 residence buildings have been destroyed so far, officials say.https://www.cnn.com/europe/live-news/ukraine-russia-putin-news-03-15-22/h_3799075fd4af25327b19f6496cbb1bc0
编辑&审校|张一铭、赵汉卿
原文始发于微信公众号(NISL实验室):【论文分享】从用户视角评估俄乌冲突中乌克兰互联网稳定性