Juniper の Private Forum で経路ハイジャックのお話を聞いた時のメモ。

いまのところは、まだ件数的には、設定ミスの原因によるものが多いらしいのだけど、今後は、故意の犯行によるハイジャックの割合も増えてくるのだろう。

スパムも DoS も含めていろいろな abuse incident を減らす事は大変なのだけど、いまどういう事が起こっているかを知っているか知らないかは前提条件として、すごく重要なので、こういうお話を聞ける機会はとても大切だと思った。

情報を提供してくれる人が偏らないように、いろいろな情報が相互に行きかうようになったら良いなと思う。

• ハイジャックとは...？
  • 不正な BGP の経路広告が行われて、トラフィックを他のところに行ってしまう
  • 被害 AS 内からでは、気づきにくいが、外から見ると、AS が見えない (ハイジャックが起こっている) ところがわからないのが特徴

• ハイジャックの影響
  • トラフィックが別のところに持っていかれてしまう
  • DNS の root server の経路が持っていかれている。時には、alternate root server がある場合もあるので、その場合は影響が大きい。
  • 瞬間的なハイジャックは結構発生している (spam など)
  • 被害 AS への迷惑よりも、まわりにある他の AS の方への迷惑が大きい

• いろいろなケース
  • global diversion
    • 不正な longer prefix は簡単に見つけられる
  • local diversion
    • 不正な same length prefix を広告される
    • 発見が難しい場合がある
    • アサインはされているが、広告をしていない prefix は吸い込まれてしまう
  • no diversion

• ハイジャックの原因
  • いまのところは、経路広告、フィルタなどのオペミス (fat finger) が多い
    • ハイジャックされていると、ハイジャックをやめてくれと言う email も届かないので、気をつけよう
  • spam、DoS、Phishing などの為に故意に行われるものもある (こっちの方が問題)

• ハイジャック検知システム
  • RIPE/NCC MyASN Service
  • PHAS (Prefix Hijack Alert System)
  • IAR (Internet Alert Registry)
  • ENCORE
  • 経路奉行

• 解決方法
  • 電話やメールなどでの連絡先が分からない場合もある (特に中国などが多いかも？)
  • ハイジャック経路よりもさらに specific な cure route を広告する時に、その経路を受け取ってもらえるようにしないといけないと言う問題もある
    • IRR に cure route を登録しないといけない

• 復旧方法
  • 事前に、上流 ISP と取り決めをしておいたり、NSP-SEC、xNOG で相談をしてみたり。
  • cure route も有効ではあるが、ハイジャックである面もきちんと認識をしておく必要がある。

• まとめ
  • 検知システムはいろいろあるが、IRR に不正な prefix を書かれた例もあったりするので、将来的には、IRR に認証システムの実装が必要だろう。
  • 復旧方法については、現在のところはコミュニティへの参加・連携などの人的なソリューションが有効となっている。
  • 保護方法も sBGP、IRR の secure 化などいろいろ検討されている。