More Related Content
More from Chika Yoshimura (12)
JANOG37 2015定に軟きたBGPハイジャック
- 2. Who am I? ?? 耳翫 岑歪 (Chika Yoshimura) ?? NTT Communica=on侭奉 C? AS2914のネットワ`クエンジニ ア C? 今翌竃鰆 C? GIN (AS2914) で3定くらい C? OCN (AS4713)で10定くらい ?? 箸龍 C? ドヤリング (Starbucksでmac を_いて碧並をしているフリを する) C? 唾佩 C? iPhoneで亟寔顔唹 (Y創坪で 聞ってます) 2 Starbucks!
- 7. BGP Hijack ?? 麿ASのIPアドレス。を、掲屎、ASから拱屬BGPレ御 する(*) こと C? (*) BGP Origin ASを里辰レ御 ?? たとえば 2.16.65.0/24 C? AS2914のIPアドレス。囃です C? AS2914參翌が徭蛍のものとしてBGPレ御した栽 P BGPU 揃hijack ?? hijackされたBGPU揃を、屎、僚U揃と佚じてしまうことが あります。 ?? 屎スU揃と佚じた栽、hijack圷のASへトラフィックが送 れることがあります。 ?? けっこうk伏してます。 C? 2015/08/01-2015/12/31 850指參貧 (BGPStream{べ) 7
- 8. Typical Root Causes ?? 吭躓弔法吭を隔ってやる (Maliciously) ?? 掲吭躓弔法吭なくやる (Non-maliciously) C? つまり、\喘ミス C? (箭) U揃のリ`ク ?? 箭えば、eBGPで鞭佚したU揃をIGPにre-distribute ?? そのIGPU揃を、書業はeのeBGPにリ`クしちゃうとか C? (箭)編^喘に聞ってたU揃を翌にリ`ク ?? 編^h廠でフルル`トを聞うことはたまにある C? BGPフィルタ`のミスが謹いと容y ?? (FYI) Mul=ple origin C? 2つ參貧のOrigin ASからU揃レ鵑垢襪海 C? U揃hijackではない 8
- 9. BGP Hijack Issue on Nov 6 ?? BGPMonによると C? 2015/11/06 05:52 C 14:40 UTC C? AS9498 (Bhar= Airtel) が、9498をOrigin ASとして}方 のpre?xをBGPレ御 C? およそ2000AS、16123pre?xがhijackされた ?? AS3257/GTT, AS4755/Tata Communica=ons etc ?? AS2914/NTT Communica=ons (Yes it¨s us!) C? hijackは晩械議に軟きているが、曳^議寄きなhijack の匯つだった。方認ネットワ`クが唹を鞭けた。 ?? hTp://www.bgpmon.net/large-scale-bgp-hijack- out-of-india/ 9
- 10. Root Cause of the Hijack Issue ?? 書のところ音苧 C? AS2914からAS9498にヒアリング★卦基なし C? BGPMonも秤鵑覆 C? NANOG ML吉でも秤鵑覆 ?? gHのhijackU揃から容yするに´ C? eBGPからもらった -> IGP -> eBGP とリ`クしたのかな´? C? BGPフィルタ`きg`っちゃったのかな´? ?? いろいろ容yはできるが、Y蕉のところRoot Cause はよく蛍からない 10
- 12. AS2914 Opera=onal Timestamp ?? Nov 06 揖租がhijackに櫃鼎 ?? Nov 06 AS2914 NOC -> AS9498へメ`ル ?? Nov 07 AS2914 NOC -> AS9498へ壅業メ`ル ?? Nov 07 AS9498から卦佚あり C? 圻咀については冱式なし ?? Nov 07 AS2914 NOC -> AS9498へメ`ル。圻咀に ついて壅業ヒアリング ?? その瘁は卦基なし ?? BGPMonのメンバ`とB亊して唹譴鰌{ 12
- 13. 13 Monterey, CA
- 14. (A) Other ASes Pre?xes Hijacked and Adver=sed to Our ASes ?? hijackU揃が徭ASへ送秘する C? トラフィックへの唹は殖困△ ?? 徭AS -> hijackU揃あてのトラフィックが、hijack圷に送れる。 C? どこから送秘殖砦にピアや貧送ASから ?? 人ASからも送秘する辛嬬來はあるが、匯違議には深えにくい ?? pre?x-based ?lterをいていることが謹いため C? 契囮貨はないの殖困△襪砲呂△ ?? Origin Valida=on (參和宴卷議にOV) を佩えば C? hijackU揃の送秘を契ぐことができる C? ´が、OVを佩うためには光pre?xのROAが駅勣 C? ROAの恬撹は光ASに販されている C? つまり、徭ASだけで頼Yする契囮貨ではない ?? BGPフィルタをm俳にけば C? hijackU揃の送秘を契ぐことができる C? 徭ASでできる、ほぼ率匯の契囮貨 C? ただし、\喘貧、しいフィルタをけないところもある 14
- 15. (B) Our Pre?xes Hijacked and Adver=sed to the Internet ?? 徭ASのU揃がhijackされ、弊の嶄に送宥する C? トラフィックへの唹は殖困△ ?? 麿AS -> 徭ASあてのトラフィックが、hijack圷に送れる C? どこへ送宥 ?? U揃送秘ポイントでBGPフィルタをしてなかったり、しててもすり iけてしまったAS ?? OVをしてないAS C? 契囮貨は殖困曚oい ?? 弊の嶄へのU揃送宥を峭めることは、児云議にできない ?? U揃の鞭け秘れポリシ`やフィルタO協は、光ASに販されてい るため┯ASでとてもしいフィルタをいたり、OVをO協する 駅勣がある ?? ROAをk佩しておけば C? OVを佩っているASへの送宥を峭めることができる C? ´が、OVを麿ASへ崙することはできない C? つまり、徭ASだけで頼Yする契囮貨ではない 15
- 18. 送秘しました Yes, we received some of them ?? 2015/11/06 05:52:05 - 14:37:41 UTC ?? 4513 pre?xes (IPv4: 4512, IPv6: 1) C? BGPMonのk燕と餓蛍があるのは、hijackの唹譴 そもそもASによってなるためです。ここからおせする デ`タは、AS2914でQyしたデ`タです。 C? 唹U揃が富ない尖喇は殖叉曳孅圓い泙 ?? 麼にピアから送秘しました C? 貧了ASはもともと贋壓しない C? 人AS鬚韻砲魯チガチの?lterをいている C? ピアAS鬚韻砲蓮△兇辰りとした?lterをいている ?? 徭ASのU揃は送秘しませんでした C? 徭ASのU揃は、もともとAS2914坪何に互LPで贋壓 ?? Origin Valida=onはやってません 18
- 19. BGP Update of Hijacked Pre?xes ?? hijackU揃のBGP Updatet方 C? ibgp: 70255 updates C? eBGP: 286282 updates ?? AS2914の畠バックボ`ンル`タはs200岬。弊順光忽にs70 POP。 19 05:52:05-5:54:35 (AS2914のconfedera=on AS坪で 住QされたBGP Updatet方) (AS2914 -> eBGPあてに僕佚され たBGP Updatet方) Y: # of update X: UTC of Nov 6 9:54:24-9:57:15 10:11:14-10:15:43 10:39:31-10:40:48 14:36:12-14:37:30
- 20. Hijacked pre?x ranges received from other ASes ?? 1.x、5.x、8.x などのアド レス。囃がhijackされて いる ?? (壅) AS2914のQy デ`タです。gHには、 ここにかれていない Pre?xもhijackされてい たと容yしています。 20 range # of hijacked pre?x 1.x 1331 2.x 175 5.x 1771 6.x 34 8.x 858 12.x 229 14.x 8 23.x 1 24.x 2 27.x 96 61.x 1 64.x 1 125.x 1 177.x 4 2c0f:fe90:: 1 total 4513
- 21. (a part of) Original ASes of Hijacked Pre?xes ?? hijackU揃が云栖奉するAS ?? AS2914のQyデ`タから10周だけをiしたものです ?? gHにはもっと謹くのASがあります 21 ASN Name Country 39891 Saudi Telecom Company SA 24378 Total Access Communica=on TH 12586 GHOSTnet DE 18403 The Corpora=on for Financing & Promo=ng Technology VN 35819 E=had E=salat Company SA 4788 TM Net MY 38266 Vodafone Essar IN 23089 Hotwire Communica=ons US 45083 Beijing CheeryZone Scitech CN 21299 2DAY Telecom KZ
- 22. Where did the hijack pre?xes come from? ?? hijackU揃がどこから送秘してきたか ?? AS2914のピア (麼にTier1 ISPs) から送秘してきている 22 38.87% 23.06% 13.23% 10.51% 8.56% 1.90% 1.53% 2.33% _174_9498_ (Cogent) _6762_9498_ (Telcom Italia) _3491_9498_ (PCCW) _1299_9498 (TeliaSonera) _1299_10026_9498 (TeliaSonera_Pacnet) _3257_7473_9498 (Tinet_Singtel) _7473_9498 (Singtel) Others
- 23. AS2914 BGP Import Filters ?? Peer C? Bogon etc C? uRPF C? Max pre?x ?lter C? (a kind of) AS path ?lter C? 猜屬Tier1なので、ほぼフルル`トをレ御してくる。この ため、きめかなフィルタ`をくことは掲Fg議。 ?? Customer C? Bogon etc C? uRPF C? Max pre?x ?lter C? Pre?x ?lter (based on IRR) 23
- 26. Hijackされました Yes, our pre?xes were hijacked ?? AS2914のCIDRのうち、およそ300pre?xがhijackされ、イン タ`ネットへ送宥 ?? AS2914のCIDRは、お人へのサ`ビス喘余にBい竃して いない (匯何箭翌あり。BGPの俊A喘アドレスなど) ?? このため、g|議な唹はなかった。 26 announced_pre?x base_as src_AS start_Kme Peer_count 2.16.65.0/24 2914 9498 2015-11-06 05:52:14 68 2.16.110.0/23 2914 9498 2015-11-06 05:52:20 49 2.17.196.0/22 2914 9498 2015-11-06 05:52:15 47 5.158.208.0/21 2914 9498 2015-11-06 05:52:19 37 2.21.16.0/20 2914 9498 2015-11-06 05:52:15 33 23.55.208.0/20 2914 9498 2015-11-06 05:52:26 10 23.67.64.0/22 2914 9498 2015-11-06 05:52:26 10 23.55.80.0/20 2914 9498 2015-11-06 05:52:26 10 23.38.110.0/23 2914 9498 2015-11-06 05:52:26 10 23.11.192.0/22 2914 9498 2015-11-06 05:52:23 10 23.4.32.0/20 2914 9498 2015-11-06 05:52:20 10 23.11.196.0/22 2914 9498 2015-11-06 05:52:23 10 23.200.240.0/20 2914 9498 2015-11-06 05:52:27 8 23.201.96.0/23 2914 9498 2015-11-06 05:52:27 8 (A part of) Hijacked Pre?xes C BGPMon{べ
- 27. 唹がない ?? 徭ASのPre?xがhijackされたr、g|議な唹嗤 oは、仝そのpre?xを聞ってどのようなサ`ビスを してるか々に卆贋する ?? IP Whole Sale (Transitサ`ビスを咾襪海)では、 徭ASのpre?xは児云議に聞わない C? お人ご徭附のASでpre?xをお隔ちのため ?? Consumer Services: 徭ASのpre?xをお人にBい 竃し、聞っていただく ?? 揖じTier1でも´ C? AT&Tなど: IP Whole Sale + Consumer Services C? GIN: IP Whole Sale Only 27
- 28. 28 Sedona, AZ
- 29. Monterey, CA 29