2014年におけるBGPハイジャックの検出

Size: px

Start display at page:

Download "2014年におけるBGPハイジャックの検出"

あおしささおか
5 years ago
Views:

1 2014 年における BGP ハイジャックの検出ギョームバラドン - Guillaume Valadon ニコラスヴィヴェ - Nicolas Vivet Agence nationale de la sécurité des systèmes d information PacSec - November 12th, 2014 ANSSI 年における BGP ハイジャックの検出 1/53

2 暗号通貨取得のための BGP ハイジャッキング 2014/8/7 Dell SecureWorks のレポートより «2014 年の 2 月から 5 月で一人のハイジャック犯によって暗号通貨がマイナーから自分のプールにリダイレクトされたその金額はおよそ 83,000$ にのぼる» 攻撃要件マイナーとプールの間に認証が無い BGP のプレフィックスハイジャックを利用したトラフィックのリダイレクト ANSSI 年における BGP ハイジャックの検出 2/53

3 BGP 101

4 BGP とは (Border Gateway Protocol)? すべてのインターネット事業者によって使用されるルーティングプロトコルいくつかの BGP の特徴 179/TCP を使用オペレータが IP プレフィックスを担当していることを通知オペレータが嘘をついている場合はそれを保証できない ANSSI 年における BGP ハイジャックの検出 4/53

5 BGP とは (Border Gateway Protocol)? すべてのインターネット事業者によって使用されるルーティングプロトコルいくつかの BGP の特徴 179/TCP を使用オペレータが IP プレフィックスを担当していることを通知オペレータが嘘をついている場合はそれを保証できないインターネット事業者を相互接続 ANSSI 年における BGP ハイジャックの検出 4/53

6 BGP とは (Border Gateway Protocol)? すべてのインターネット事業者によって使用されるルーティングプロトコルいくつかの BGP の特徴 179/TCP を使用オペレータが IP プレフィックスを担当していることを通知オペレータが嘘をついている場合はそれを保証できないインターネット事業者を相互接続 ANSSI 年における BGP ハイジャックの検出 4/53

7 BGP とは (Border Gateway Protocol)? すべてのインターネット事業者によって使用されるルーティングプロトコルいくつかの BGP の特徴 179/TCP を使用オペレータが IP プレフィックスを担当していることを通知オペレータが嘘をついている場合はそれを保証できないインターネット事業者を相互接続 ANSSI 年における BGP ハイジャックの検出 4/53

8 オペレータは数字! オペレータと BGP: 自律システム固有の番号をもっている ANSSI 年における BGP ハイジャックの検出 5/53

9 オペレータは数字! オペレータと BGP: 自律システム固有の番号をもっている ANSSI 年における BGP ハイジャックの検出 5/53

10 BGP を使用するのに何が必要? ネットワーク AS42 ANSSI 年における BGP ハイジャックの検出 6/53

11 BGP を使用するのに何が必要? ネットワーク AS 番号 IP プレフィックス AS /16 ANSSI 年における BGP ハイジャックの検出 6/53

12 BGP を使用するのに何が必要? ネットワーク AS 番号 IP プレフィックス BGP ルーター AS /16 ANSSI 年における BGP ハイジャックの検出 6/53

13 BGP を使用するのに何が必要? ネットワーク AS 番号 IP プレフィックス BGP ルーター BGP の相互接続 AS /16 AS transit ISP providing BGP Internet ANSSI 年における BGP ハイジャックの検出 6/53

14 インターネットのリソース割り当て AS とプレフィックスは各地域のインターネットレジストリで割り当てられる : ヨーロッパアジアアフリカ北アメリカラテンアメリカ & カリブ海ヨーロッパでは ASN のコストは年間 50 ユーロか /22 50 ユーロ ANSSI 年における BGP ハイジャックの検出 7/53

15 インターネットリソース割り当ての確認 WHOIS プロトコル $ whois AS4713 ANSSI 年における BGP ハイジャックの検出 8/53

16 インターネットリソース割り当ての確認 WHOIS プロトコル $ whois AS4713 aut-num: AS4713 as-name: OCN descr: NTT Communications Corporation [..] country: JP admin-c: AY1361JP tech-c: TT10660JP tech-c: TT15086JP changed: apnic-ftp@nic.ad.jp changed: apnic-ftp@nic.ad.jp source: JPNIC ANSSI 年における BGP ハイジャックの検出 8/53

17 インターネットリソース割り当ての確認 ANSSI 年における BGP ハイジャックの検出 9/53

18 AS 通知 & プレフィックスの削除 BGP ではオペレータが使う : AS43515 Internet AS / /24 AS /16 ANSSI 年における BGP ハイジャックの検出 10/53

19 AS 通知 & プレフィックスの削除 BGP ではオペレータが使う : UPDATE メッセージで IP プレイフィックスを通知 AS43515 Internet / /24 AS / / /24 AS /16 ANSSI 年における BGP ハイジャックの検出 10/53

20 AS 通知 & プレフィックスの削除 BGP ではオペレータが使う : UPDATE メッセージで IP プレイフィックスを通知 WITHDRAW メッセージで IP プレフィックスを削除 AS43515 Internet / /24 AS / / /24 AS /16 ANSSI 年における BGP ハイジャックの検出 10/53

21 3 つのシンプルな BGP ルール 1. メッセージは ASN を追加した後にネイバー (Neighbor) に転送される 2. 最短のパスのみが転送される 3. パケットは最も特徴的なプレフィックスに送信される AS1 AS2 AS3 Internet ANSSI 年における BGP ハイジャックの検出 11/53

22 3 つのシンプルな BGP ルール 1. メッセージは ASN を追加した後にネイバー (Neighbor) に転送される 2. 最短のパスのみが転送される 3. パケットは最も特徴的なプレフィックスに送信される BGP /24 AS1 AS1 AS2 AS3 Internet /24 ANSSI 年における BGP ハイジャックの検出 11/53

23 3 つのシンプルな BGP ルール 1. メッセージは ASN を追加した後にネイバー (Neighbor) に転送される 2. 最短のパスのみが転送される 3. パケットは最も特徴的なプレフィックスに送信される BGP /24 AS1 BGP /24 AS1 AS2 AS1 AS2 AS3 Internet / /24 ANSSI 年における BGP ハイジャックの検出 11/53

24 3 つのシンプルな BGP ルール 1. メッセージは ASN を追加した後にネイバー (Neighbor) に転送される 2. 最短のパスのみが転送される 3. パケットは最も特徴的なプレフィックスに送信される BGP /24 AS /24 AS1 AS3 AS1 AS2 AS4 Internet AS3 ANSSI 年における BGP ハイジャックの検出 11/53

25 3 つのシンプルな BGP ルール 1. メッセージは ASN を追加した後にネイバー (Neighbor) に転送される 2. 最短のパスのみが転送される 3. パケットは最も特徴的なプレフィックスに送信される BGP /24 AS /24 AS1 AS3 BGP /24 AS1 AS2 AS1 AS2 AS4 Internet AS /24 ANSSI 年における BGP ハイジャックの検出 11/53

26 3 つのシンプルな BGP ルール 1. メッセージは ASN を追加した後にネイバー (Neighbor) に転送される 2. 最短のパスのみが転送される 3. パケットは最も特徴的なプレフィックスに送信される AS4 AS1 AS2 Internet AS3 ANSSI 年における BGP ハイジャックの検出 11/53

27 3 つのシンプルな BGP ルール 1. メッセージは ASN を追加した後にネイバー (Neighbor) に転送される 2. 最短のパスのみが転送される 3. パケットは最も特徴的なプレフィックスに送信される /16 AS4 AS /24 AS2 Internet AS3 ANSSI 年における BGP ハイジャックの検出 11/53

28 3 つのシンプルな BGP ルール 1. メッセージは ASN を追加した後にネイバー (Neighbor) に転送される 2. 最短のパスのみが転送される 3. パケットは最も特徴的なプレフィックスに送信される /16 AS /24 AS4 BGP /16 AS4 AS /24 AS3 AS1 AS2 Internet AS3 ANSSI 年における BGP ハイジャックの検出 11/53

29 3 つのシンプルな BGP ルール 1. メッセージは ASN を追加した後にネイバー (Neighbor) に転送される 2. 最短のパスのみが転送される 3. パケットは最も特徴的なプレフィックスに送信される /16 AS /24 AS4 AS3 BGP /16 AS4 AS /24 AS3 AS1 AS Internet ANSSI 年における BGP ハイジャックの検出 11/53

30 ハイジャック 101

31 プレフィックスのハイジャックとは? アクション上の BGP のルール #2 ハイジャック : BGP アナウンスの競合 BGP /23 AS1 AS0 AS /23 AS0 AS1 AS2 ANSSI 年における BGP ハイジャックの検出 13/53

32 プレフィックスのハイジャックとは? アクション上の BGP のルール #2 ハイジャック : BGP アナウンスの競合 /23 BGP /23 AS1 AS /23 AS3 AS3 AS0 AS1 AS /23 ANSSI 年における BGP ハイジャックの検出 13/53

プレフィックスのハイジャックとは? アクション上の BGP のルール #2 ハイジャック : BGP アナウンスの競合 AS3 BGP 192.0.2.0/23 AS1 AS0 192.0.2.0/23 192.

33 プレフィックスのハイジャックとは? アクション上の BGP のルール #2 ハイジャック : BGP アナウンスの競合 AS3 BGP /23 AS1 AS / /23 AS /23 AS0 AS1 AS2 トラフィックは AS3 にリダイレクト ( 転送 ) される! ANSSI 年における BGP ハイジャックの検出 13/53

34 積極的な対策 BGP ルール #3 の利用! /23 BGP /23 AS1 AS /23 AS3 AS3 AS0 AS1 AS /23 オリジンの AS は特徴的なプレフィックスを通知する ANSSI 年における BGP ハイジャックの検出 14/53

35 積極的な対策 BGP ルール #3 の利用! /23 AS3 AS0 AS1 AS / /24 BGP /23 AS1 AS /23 AS /24 AS1 AS /24 AS1 AS /23 オリジンの AS は特徴的なプレフィックスを通知する ANSSI 年における BGP ハイジャックの検出 14/53

36 積極的な対策 BGP ルール #3 の利用! /23 AS1 AS /23 AS /24 AS1 AS /24 AS1 AS /23 AS3 AS0 AS1 AS / /24 BGP /23 オリジンの AS は特徴的なプレフィックスを通知する ANSSI 年における BGP ハイジャックの検出 14/53

37 積極的な対策 BGP ルール #3 の利用! /23 AS1 AS /23 AS /24 AS1 AS /24 AS1 AS /23 AS3 AS0 AS1 AS / /24 BGP /23 オリジンの AS は特徴的なプレフィックスを通知するトラフィックは AS0 に送られる! ANSSI 年における BGP ハイジャックの検出 14/53

38 10/16 におこった最近の事例フランスの AS に対してのハイジャック x ANSSI 年における BGP ハイジャックの検出 15/53

39 10/16 におこった最近の事例フランスの AS に対してのハイジャック ANSSI 年における BGP ハイジャックの検出 15/53

40 消極的な対策相互接続上の厳格なフィルタ /23 BGP / AS3 AS0 AS1 AS2 BGP ルータは UPDATE メッセージ中のプレフィックスをフィルタリングする便利なフィルタは上位のプロバイダーのみ使用できる ANSSI 年における BGP ハイジャックの検出 16/53

41 消極的な対策相互接続上の厳格なフィルタ /23 BGP / AS3 AS0 AS1 AS /23 BGP ルータは UPDATE メッセージ中のプレフィックスをフィルタリングする便利なフィルタは上位のプロバイダーのみ使用できる ANSSI 年における BGP ハイジャックの検出 16/53

42 消極的な対策フィルタのメンテナンスの自動化ルートオブジェクト : IP プレフィックスを担当している AS によって宣言されている誰が BGP のプレフィックスを通知するか問い合わせるオペレータ, DDoS を緩和させるプロバイダ, クライアント, $ whois -T route /22 route: /22 descr: Observatory IPv4 prefix. origin: AS mnt-by: ASOBS-MNT source: RIPE # Filtered ANSSI 年における BGP ハイジャックの検出 17/53

43 オフラインのハイジャック検知

44 BGP messages ANSSI 年における BGP ハイジャックの検出 19/53

45 BGP アーカイブの収集 AS5 AS4 BGP collector AS1 AS2 AS3 AS6 AS / /24 Routing Information Service (RIS) 13 の BGP 世界中のコレクター 263 の BGP ピア BGP メッセージをバイナリファイルにダンプ年間 550 GB ANSSI 年における BGP ハイジャックの検出 20/53

46 BGP アーカイブの解析 Raw BGP BGP parser 専用の BGP パーサーが必要速く & 信頼できるパーサ OCaml で記述されている BGP メッセージを JSON に変換人間が読み書きできるフォーマット ANSSI 年における BGP ハイジャックの検出 21/53

47 BGP アーカイブの解析 { "timestamp": , "collector": "rrc07", "as_path":" ", "announce":[" /24 "], "withdraw":[] } { "timestamp": , "collector": "rrc07", "as_path":" ", "announce":[" /24 "], "withdraw":[] } 専用の BGP パーサーが必要速く & 信頼できるパーサ OCaml で記述されている BGP メッセージを JSON に変換人間が読み書きできるフォーマット ANSSI 年における BGP ハイジャックの検出 21/53

48 BGP アーカイブの解析 { "timestamp": , "collector": "rrc07", "as_path":" ", "announce":[" /24 "], "withdraw":[] } { "timestamp": , "collector": "rrc07", "as_path":" ", "announce":[" /24 "], "withdraw":[] } 専用の BGP パーサーが必要速く & 信頼できるパーサ OCaml で記述されている BGP メッセージを JSON に変換人間が読み書きできるフォーマット ANSSI 年における BGP ハイジャックの検出 21/53

49 BGP アーカイブの解析 { "timestamp": , "collector": "rrc07", "as_path":" ", "announce":[" /24 "], "withdraw":[] } { "timestamp": , "collector": "rrc07", "as_path":" ", "announce":[" /24 "], "withdraw":[] } 専用の BGP パーサーが必要速く & 信頼できるパーサ OCaml で記述されている BGP メッセージを JSON に変換人間が読み書きできるフォーマット ANSSI 年における BGP ハイジャックの検出 21/53

50 競合の検出方法は? 1. BGP ルーターのエミュレート 2. フローにそってメッセージを処理 UPDATE WITHDRAW UPDATE UPDATE WITHDRAW Time ANSSI 年における BGP ハイジャックの検出 22/53

51 BGP ルータのエミュレート /8 AS /22 AS2 AS /10 AS4 AS /11 AS /22 AS42 ルーティングテーブルを構築高速に IP を探し出すライブラリルーターと Linux カーネルに似ているそれぞれの BGP メッセージでツリーが更新される重複エントリーが競合のもの ANSSI 年における BGP ハイジャックの検出 23/53

52 BGP ルータのエミュレート /8 AS /22 AS2 AS /10 AS4 AS /11 AS /22 AS42 UPDATE メッセージの処理 { "timestamp": , "peer_as":25152, "as_path":" ", "announce":[" /24 "], "withdraw":[] } ANSSI 年における BGP ハイジャックの検出 23/53

53 BGP ルータのエミュレート /8 AS /22 AS2 AS /10 AS4 AS /11 AS /22 AS42 UPDATE メッセージの処理 { "timestamp": , "peer_as":25152, "as_path":" ", "announce":[" /24 "], "withdraw":[] } ANSSI 年における BGP ハイジャックの検出 23/53

54 BGP ルータのエミュレート /8 AS /22 AS2 AS /10 AS4 AS /11 AS /22 AS42 UPDATE メッセージの処理 { "timestamp": , "peer_as":25152, "as_path":" ", "announce":[" /24 "], "withdraw":[] } ANSSI 年における BGP ハイジャックの検出 23/53

55 すべてを一緒にする Raw BGP BGP parser Emulate BGP { } JSON シンプルな処理チェイン月ごとに分けて処理いくつかの AS を監視するには充分な速度 ANSSI 年における BGP ハイジャックの検出 24/53

56 すべてを一緒にする Raw BGP BGP parser Emulate BGP { } JSON 5 万の AS を処理する場合エミュレートしたルータは異なる AS として振る舞う 8 コアで 1 ヶ月分は 10 時間の処理量 13 のコレクタで年間 156 ヶ月分の処理をしなければならない! ANSSI 年における BGP ハイジャックの検出 24/53

57 より速い競合の検知コアを追加してスケールさせる { } { } Raw BGP BGP parser Emulate BGP JSON Raw BGP BGP parser Emulate BGP JSON { } { } Raw BGP BGP parser Emulate BGP JSON Raw BGP BGP parser Emulate BGP JSON 競合検知 1 週間分は 5 つのサーバで 120 コアで処理できる年間で 130 GB のデータを生成の競合 ANSSI 年における BGP ハイジャックの検出 25/53

58 より速い競合の検知コアを追加してスケールさせる { } { } Raw BGP BGP parser Emulate BGP JSON Raw BGP BGP parser Emulate BGP JSON { } { } Raw BGP BGP parser Emulate BGP JSON Raw BGP BGP parser Emulate BGP JSON 競合の例 { "timestamp": , "collector": "rrc07", "announce": { "prefix": " /24 ", "asn": 666, "as_path": " "}, "conflict_with": {"prefix": " /24 ", "asn": 7500 }} ANSSI 年における BGP ハイジャックの検出 25/53

59 データへのアクセスディスコ? 自動データ配信と分配 HDFS のように Python による MapReduce フレームワーク Hadoop のように ANSSI 年における BGP ハイジャックの検出 26/53

60 データへのアクセスビックデータからスモールデータへ 1 時間で 1000 の AS の競合を抽出するフランスと日本の AS は似ている物がいくつかある 7000 万の競合が 1 カ国である 200MB ANSSI 年における BGP ハイジャックの検出 26/53

61 競合のクラスタ分類 - 1/3 ルートオブジェクトを使用単一競合の検証 { "timestamp": , "collector": "rrc07", "announce": { "prefix": " /24 ", "asn": 666, "as_path": " "}, "conflict_with": {"prefix": " /24", "asn": 7500}} ANSSI 年における BGP ハイジャックの検出 27/53

62 競合のクラスタ分類 - 1/3 ルートオブジェクトを使用単一競合の検証 { "timestamp": , "collector": "rrc07", "announce": { "prefix": " /24 ", "asn": 666, "as_path": " "}, "conflict_with": {"prefix": " /24", "asn": 7500}} $ whois -T route /24 route: /24 descr: Example prefix origin: AS666 mnt-by: AS666-MNT ANSSI 年における BGP ハイジャックの検出 27/53

63 競合のクラスタ分類 - 1/3 ルートオブジェクトを使用単一競合の検証 { "timestamp": , "collector": "rrc07", "announce": { "prefix": " /24 ", "asn": 666, "as_path": " "}, "conflict_with": {"prefix": " /24", "asn": 7500}} $ whois -T route /24 route: /24 descr: Example prefix origin: AS666 mnt-by: AS666-MNT ANSSI 年における BGP ハイジャックの検出 27/53

64 競合のクラスタ分類 - 1/3 ルートオブジェクトを使用 7000 万の競合の検証全てが検証されなければならないオンラインクエリーは遅すぎる WHOIS データベースは毎日 PostgreSQL にロードされる ip4r タイプは高速プレフィックス検索に使用される >>> client = Client("ripe") >>> client.check(" /24", 17676, "2014/07/28") True 0.01% の競合を削除 32% の競合を削除 ANSSI 年における BGP ハイジャックの検出 27/53

65 競合のクラスタ分類 - 2/3 AS オブジェクト間の関連を使用 $ whois AS15557 aut-num: as-name: descr: org: admin-c: tech-c: status: mnt-by: mnt-routes: mnt-routes: source: AS15557 LDCOMNET SFR ORG-LA7-RIPE LD699-RIPE LDC76-RIPE ASSIGNED LDCOM-MNT FMCF-MNT LDCOM-MNT RIPE $ whois AS41272 aut-num: as-name: descr: org: admin-c: tech-c: status: mnt-by: mnt-routes: source: AS41272 MOSELLE-TELE-AS MOSELLE TELECOM ORG-MT18-RIPE LD699-RIPE LDC76-RIPE ASSIGNED MOSELLE-TELE-MNT MOSELLE-TELE-MNT RIPE 2% の競合を削除 54% の競合を削除 ANSSI 年における BGP ハイジャックの検出 28/53

66 競合のクラスタ分類 - 3/3 クライアント / プロバイダーの接続性を使用 { "timestamp": , "announce": { "prefix": " /24", "asn": 666, "as_path": " " }, "conflict_with": {"prefix": " /16", "asn": 1000 } } ANSSI 年における BGP ハイジャックの検出 29/53

67 競合のクラスタ分類 - 3/3 クライアント / プロバイダーの接続性を使用 { "timestamp": , "announce": { "prefix": " /24", "asn": 666, "as_path": " " }, "conflict_with": {"prefix": " /16", "asn": 1000 } } BGP / / Internet AS1000 AS666 ANSSI 年における BGP ハイジャックの検出 29/53

68 競合のクラスタ分類 - 3/3 クライアント / プロバイダーの接続性を使用 { "timestamp": , "announce": { "prefix": " /24", "asn": 666, "as_path": " " }, "conflict_with": {"prefix": " /16", "asn": 1000 } } BGP / / Internet AS1000 AS666 Client/Provider relation 5% の競合を削除 3% の競合を削除 ANSSI 年における BGP ハイジャックの検出 29/53

69 競合のクラスタ分類要約 Percentage of conflicts 90 % 60 % 30 % 0 % Validated Related Connected Abnormal France Japan 4200 万の異常な競合 800 万の異常な競合 ANSSI 年における BGP ハイジャックの検出 30/53

70 計算期間競合からイベントまで Time 集約後集約前 { "timestamp": , "collector": "rrc99", "type": "RELATION", "announce": { "prefix": " /24", "asn": 666 } "conflict_with": {"prefix": " /18", "asn": 1000 } } { "timestamp": , "collector": "rrc66", type": "RELATION", "announce": { "prefix": " /24", "asn": 666 } "conflict_with": {"prefix": " /18", "asn": 1000 } } ANSSI 年における BGP ハイジャックの検出 31/53

71 計算期間競合からイベントまで Time 集約後集約後 { "conflict_with" : { "prefix" : " /18", "asn" : 1000 }, "origin" : { "prefix" : " /24", "asn" : 666 }, "begin": , "end" : , "peers" : [ "rrc99", "rrc66" ], "type" : "RELATION" } イベント ANSSI 年における BGP ハイジャックの検出 31/53

72 イベントの可視化フランスの AS 10/28/2014 localhost:2807/timeslots/as February March April May June July August September October No ANSSI 年における BGP ハイジャックの検出 32/53

73 イベントの可視化日本の AS 10/28/2014 localhost:2807/timeslots/as February March April May June July August September October ANSSI 年における BGP ハイジャックの検出 32/53

74 イベントの数を減らす自動的に簡単なルールカテゴリを変更するイベントを削除 AS が同じ国に属しているイベントを削除 6ヶ月より長いイベントを削除 2154 のプレフィックスから 557 の競合 4519 のプレフィックスから 289 の競合 ANSSI 年における BGP ハイジャックの検出 33/53

75 ハイジャックを探して ANSSI 年における BGP ハイジャックの検出 34/53

攻撃を緩和する会社のアナウンス /24 AS 番号のミスタイプ 2208 や 208

76 イベントの数を減らす手動的に興味深い結果似たような AS 名 PACNET-MY Pacnet MY や PACNET Pacnet Global Ltd DDoS 攻撃から守られた AS DDoS 攻撃を緩和する会社のアナウンス /24 AS 番号のミスタイプ 2208 や 208 ビットコインを盗むためにハイジャックされたもの... ANSSI 年における BGP ハイジャックの検出 35/53

77 閉会挨拶もしかすると 69 の疑わしいイベント 102 の疑わしいイベント ANSSI 年における BGP ハイジャックの検出 36/53

78 リアルタイム BGP ハイジャックの検知

79 Targeted Internet Traffic Misdirection Renesys が 2013/11/19 に報告している ANSSI 年における BGP ハイジャックの検出 38/53

80 リアルタイム検知のゴール Alerts BGP messages Hijacks Measurements ANSSI 年における BGP ハイジャックの検出 39/53

81 検知に必要なものタスク 1/2 インターネットレジストリすぐに利用できる生の BGP データを取得 ANSSI 年における BGP ハイジャックの検出 40/53

82 検知に必要なもの { } タスク 1/2 インターネットレジストリすぐに利用できる生の BGP データを取得タスク 2/2 WHOIS データベースと同期 BGP データを JSON に整形 IP プレフィックスから AS の位置マップを生成 ANSSI 年における BGP ハイジャックの検出 40/53

83 BGP ハイジャックの報告報告疑わしいハイジャックだけ 50 のイベントについて毎週 ANSSI 年における BGP ハイジャックの検出 41/53

84 BGP ハイジャックの報告 IRC は 2014 報告疑わしいハイジャックだけ 50 のイベントについて毎週 < hadron> 2a04:8000::/29 is announced from multiple origins: < hadron> SFR-BUSINESS-TEAM (AS12566) < hadron> Ukraine-AS (AS200000) < hadron> First originated from SFR-BUSINESS-TEAM (AS12566) ANSSI 年における BGP ハイジャックの検出 41/53

85 BGP ハイジャックのトラブルシューティング < hadron> 2a04:8000::/29 is announced from multiple origins: < hadron> SFR-BUSINESS-TEAM (AS12566) < hadron> Ukraine-AS (AS200000) < hadron> First originated from SFR-BUSINESS-TEAM (AS12566) ANSSI 年における BGP ハイジャックの検出 42/53

86 BGP ハイジャックのトラブルシューティング < hadron> 2a04:8000::/29 is announced from multiple origins: < hadron> SFR-BUSINESS-TEAM (AS12566) < hadron> Ukraine-AS (AS200000) < hadron> First originated from SFR-BUSINESS-TEAM (AS12566) $ whois 2a04:8000::/29 inet6num: 2a04:8000::/29 netname: UA-UAHOSTING descr: Hosting Ukraine country: UA org: ORG-HUL6-RIPE ANSSI 年における BGP ハイジャックの検出 42/53

87 BGP ハイジャックのトラブルシューティング < hadron> 2a04:8000::/29 is announced from multiple origins: < hadron> SFR-BUSINESS-TEAM (AS12566) < hadron> Ukraine-AS (AS200000) < hadron> First originated from SFR-BUSINESS-TEAM (AS12566) $ whois 2a04:8000::/29 inet6num: 2a04:8000::/29 netname: UA-UAHOSTING descr: Hosting Ukraine country: UA org: ORG-HUL6-RIPE $ whois -i org ORG-HUL6-RIPE ANSSI 年における BGP ハイジャックの検出 42/53

88 BGP ハイジャックのトラブルシューティング < hadron> 2a04:8000::/29 is announced from multiple origins: < hadron> SFR-BUSINESS-TEAM (AS12566) < hadron> Ukraine-AS (AS200000) < hadron> First originated from SFR-BUSINESS-TEAM (AS12566) $ whois 2a04:8000::/29 inet6num: 2a04:8000::/29 netname: UA-UAHOSTING descr: Hosting Ukraine country: UA org: ORG-HUL6-RIPE $ whois -i org ORG-HUL6-RIPE aut-num: AS as-name: Ukraine-AS descr: Hosting Ukraine org: ORG-HUL6-RIPE ANSSI 年における BGP ハイジャックの検出 42/53

89 BGP ハイジャックのトラブルシューティング < hadron> 2a04:8000::/29 is announced from multiple origins: < hadron> SFR-BUSINESS-TEAM (AS12566) < hadron> Ukraine-AS (AS200000) < hadron> First originated from SFR-BUSINESS-TEAM (AS12566) $ whois 2a04:8000::/29 inet6num: 2a04:8000::/29 netname: UA-UAHOSTING descr: Hosting Ukraine country: UA org: ORG-HUL6-RIPE $ whois -i org ORG-HUL6-RIPE aut-num: AS as-name: Ukraine-AS descr: Hosting Ukraine org: ORG-HUL6-RIPE ANSSI 年における BGP ハイジャックの検出 42/53

90 BGP ハイジャックのトラブルシューティング < hadron> 2a04:8000::/29 is announced from multiple origins: < hadron> SFR-BUSINESS-TEAM (AS12566) < hadron> Ukraine-AS (AS200000) < hadron> First originated from SFR-BUSINESS-TEAM (AS12566) Analysis Result 2a04:8000::/29 ウクライナのオペレータのプレフィックス ANSSI 年における BGP ハイジャックの検出 43/53

91 BGP ハイジャックのトラブルシューティング < hadron> 2a04:8000::/29 is announced from multiple origins: < hadron> SFR-BUSINESS-TEAM (AS12566) < hadron> Ukraine-AS (AS200000) < hadron> First originated from SFR-BUSINESS-TEAM (AS12566) Analysis Result 2a04:8000::/29 ウクライナのオペレータのプレフィックス 2a04: 0 800::/29 フランスのオペレータのプレフィックスフランスのオペレーターからの返事には矛盾があった ANSSI 年における BGP ハイジャックの検出 43/53

92 BGP ハイジャックのトラブルシューティング < hadron> 2a04:8000::/29 is announced from multiple origins: < hadron> SFR-BUSINESS-TEAM (AS12566) < hadron> Ukraine-AS (AS200000) < hadron> First originated from SFR-BUSINESS-TEAM (AS12566) Analysis Result 2a04:8000::/29 ウクライナのオペレータのプレフィックス 2a04: 0 800::/29 フランスのオペレータのプレフィックスフランスのオペレーターからの返事には矛盾があったとても疑わしいハイジャックイベントはフォールスポジティブであった route6 オブジェクトはウクライナのオペレーターによって数日後に作成された ANSSI 年における BGP ハイジャックの検出 43/53

93 Malicious BGP Hijack < hadron> /22 is announced from multiple origins: < hadron> ALPHALINK-AS (AS25540) < hadron> TEHNOGRUP (AS198596) ANSSI 年における BGP ハイジャックの検出 44/53

94 Announces from September to October 2014 ANSSI 年における BGP ハイジャックの検出 45/53

95 Malicious BGP Hijack Infected AS_PATH < hadron> /22 is announced from multiple origins: < hadron> ALPHALINK-AS (AS25540) < hadron> TEHNOGRUP (AS198596) < hadron> AS_PATH: ANSSI 年における BGP ハイジャックの検出 46/53

96 Malicious BGP Hijack Infected AS_PATH < hadron> /22 is announced from multiple origins: < hadron> ALPHALINK-AS (AS25540) < hadron> TEHNOGRUP (AS198596) < hadron> AS_PATH: Definition コレクターのピアまでアナウンスを転送するすべての AS を含むこのゾーンから送信されたトラフィックはハイジャックネットワークまで到達しなけれ ANSSI 年における BGP ハイジャックの検出 46/53

97 Malicious BGP Hijack Infected AS_PATH < hadron> /22 is announced from multiple origins: < hadron> ALPHALINK-AS (AS25540) < hadron> TEHNOGRUP (AS198596) < hadron> AS_PATH: Definition コレクターのピアまでアナウンスを転送するすべての AS を含むこのゾーンから送信されたトラフィックはハイジャックネットワークまで到達しなければならないどのようにこのゾーンの内側からアクティブな測定ができるか? ANSSI 年における BGP ハイジャックの検出 46/53

98 RIPE Atlas プロジェクト probes in around 2000 ASes コミュニティがホストする調査ユーザー定義済みの測定 ping, traceroute, HTTP, TLS and DNS パブリックな API ANSSI 年における BGP ハイジャックの検出 47/53

99 ANSSI 年における BGP ハイジャックの検出 48/53

100 Atlas は我々の要件を満たしている We always found a probe to launch our measurements! 250 possible hijacks from september to november 2014 AS_PATH are from the London based RIPE collector ANSSI 年における BGP ハイジャックの検出 49/53

101 Atlas は我々の要件を満たしている We always found a probe to launch our measurements! 250 possible hijacks from september to november 2014 AS_PATH are from the London based RIPE collector Number of probes found in infected ASes: 20 % Hijacks 15 % 10 % 5 % 0 % Num of probes ANSSI 年における BGP ハイジャックの検出 49/53

102 Traceroute Example < hadron> /22 is announced from multiple origins: < hadron> ALPHALINK-AS (AS25540) < hadron> TEHNOGRUP (AS198596) < hadron> AS_PATH: ANSSI 年における BGP ハイジャックの検出 50/53

103 Traceroute Example < hadron> /22 is announced from multiple origins: < hadron> ALPHALINK-AS (AS25540) < hadron> TEHNOGRUP (AS198596) < hadron> AS_PATH: ANSSI 年における BGP ハイジャックの検出 50/53

104 Traceroute Example < hadron> /22 is announced from multiple origins: < hadron> ALPHALINK-AS (AS25540) < hadron> TEHNOGRUP (AS198596) < hadron> AS_PATH: Traceroute to ANSSI 年における BGP ハイジャックの検出 50/53

105 Traceroute Example < hadron> /22 is announced from multiple origins: < hadron> ALPHALINK-AS (AS25540) < hadron> TEHNOGRUP (AS198596) < hadron> AS_PATH: Traceroute to ANSSI 年における BGP ハイジャックの検出 50/53

106 Traceroute Example < hadron> /22 is announced from multiple origins: < hadron> ALPHALINK-AS (AS25540) < hadron> TEHNOGRUP (AS198596) < hadron> AS_PATH: * * * ANSSI 年における BGP ハイジャックの検出 50/53

107 Traceroute Example < hadron> /22 is announced from multiple origins: < hadron> ALPHALINK-AS (AS25540) < hadron> TEHNOGRUP (AS198596) < hadron> AS_PATH: Closing Remarks traceroute stops at AS44050 (PIN-AS) AS and AS are most certainly placeholders AS44050 (PIN-AS) is already known for previous hijacks ANSSI 年における BGP ハイジャックの検出 51/53

108 結論大規模な BGP ハイジャックの自動検出フランスと日本に関しては年間わずかなハイジャック早期発見と報告トラフィックのリダイレクトの識別を継続的に調査メッセージの窃取 1. インターネット上のパケットはリダイレクト可能 2. トラフィックは暗号化と認証される必要がある 3. オペレータはプレフィックスを監視し具体的なアナウンスの準備をする必要がある 4. ネットワーキングのベストプラクティスを実施しなければならない ANSSI 年における BGP ハイジャックの検出 52/53

109 質問? 関連研究 BGP 設定のベストプラクティス ( 英語とフランス語 ) ANSSI 年における BGP ハイジャックの検出 53/53

Microsoft PowerPoint - janog15-irr.ppt

Microsoft PowerPoint - janog15-irr.ppt JPIRR IRRの未来 JPNIC 川端宏生 NTT コミュニケーションズ JPNIC IRR 企画策定専門家チーム Chair 吉田友哉発表内容 JPNIC IRR(JPIRR) の正式サービス化へ向けた検討報告川端宏生 JPIRR IRR の未来吉田友哉 2005/1/21 copyright (c) JPNIC