Understanding the Capabilities of Route Collectors to Observe Stealthy Hijacks : Does adding more monitors or reporting more paths help? / Förståelse av ruttsamlares förmåga att observera smygkapningar : Hjälper det att lägga till fler övervakningsenheter eller rapportera fler rutter?

Milolidakis, Alexandros

January 2022

Routing hijacks have plagued the Internet for decades. These attacks corrupt the routing table entries that networks use to forward traffic, causing affected network devices to route private and possibly sensitive Internet traffic towards the hijacker. Despite many failed attempts to thwart hijackers, recent Internet-wide routing monitoring infrastructures give us hope that future systems can quickly and ultimately mitigate hijacks. Such monitoring infrastructures consist of multiple globally distributed monitoring entities, called Route Collectors. To enable the whole community to monitor the validity and stability of the exchanged routing information, network volunteers disclose their routes to public route collectors. However, hijackers can also exploit this information to avoid being reported to route collectors. This thesis evaluates the effectiveness of monitoring infrastructures against two kinds of hijack scenarios: (i) an omniscient attacker with complete knowledge of both the Internet topology and the routing preferences of networks, and (ii) a realistic attacker which lacks such knowledge but gathers routing information from what networks themselves disclose to the public route collectors. Prior simulations showed that hijacks that affect more than 2% of the Internet are always visible to the public route collector infrastructure. However, our simulations show that omniscient and realistic hijackers that react to the deployment of public collectors could stealthily hijack up to 11.7× more (i.e., 23.5%) and 8.1× (i.e., 16.2%) more of the Internet (respectively) without being observed by the existing public route collector infrastructure. Having evaluated the effectiveness of the existing public route collector infrastructure with current Internet datasets, we evaluated the effectiveness in realistic future scenarios of (i) more interconnected (flatter) Internet topologies as well as (ii) topologies where more network volunteers disclose their routes to the public collectors. Unfortunately, both types of hijackers are more effective in flatter Internet topologies. Omniscient hijackers could stealthily hijack up to 24.5× (i.e., 49.0%) more of the Internet while realistic hijackers up to 22.7× (i.e., 45.5%) more without being observed by route collectors. In topologies with up to 4× more volunteers disclosing their routes to the public route collectors, hijackers could react to these new monitors by modifying their attacks to stealthily hijack up to 4× (i.e., 8.2%) and 2.9× (i.e., 5.9%) more of the Internet (respectively). Finally, we conclude with an analysis of two suggestions for improving the existing public route collector infrastructure: (i) selecting new network volunteers in more strategic locations and (ii) having volunteers disclose more routes to the route collectors. We hope that our findings in simulations will help towards the design of more reliable public route monitoring infrastructures. / Ruttkapningar har plågat internet i årtionden. Dessa attacker korrumperar poster i routingtabeller som används av nätverket för att vidarebefordra trafik, på ett sådant sätt att påverkade enheter dirigerar privat och tänkbart känslig trafik till kaparen. Trots många misslyckade försök att hindra kapare, ger på senare tid internetbred ruttövervakningsinfrastruktur oss förhoppningen att framtida system snabbt och slutgiltigt kan förhindra kapningar. Sådan övervakningsinfrastruktur består av flera globalt distribuerade övervakningsenheter kallade ruttinsamlare. Nätverksvolontärer uppger sina rutter till sådana publika ruttinsamlare så att hela nätverket kan övervaka validiteten och stabiliteten av den utbytta ruttinformationen. Dessvärre kan kapare utnyttja denna information för att undvika att bli rapporterade till ruttinsamlare. I denna avhandling utvärderar vi effektiviteten av sådan övervakningsinfrastruktur mot två typer av kapnings scenarier: Det första innefattar en allvetande attackerare med fullständig vetskap om både internettopologin och ruttpreferenser i nätverken. Det andra innefattar en realistisk attackerare som saknar sådan kunskap men som samlar upp den ruttinformation som nätverken själva lämnar ut till publika ruttinsamlare. Tidigare simuleringar har visat att kapningar som påverkar mer än 2% av internet alltid är synliga för den publika ruttinsamlarinfrastrukturen. Vår simulering visar däremot att allvetande och realistiska kapare som reagerar på utplaceringen av publika ruttinsamlare i smyg kan kapa upp till 11.7 gånger (d.v.s. 23.5%) respektive 8.1 gånger (d.v.s. 16.2%) mer av internet, utan att upptäckas av den existerande publika ruttinsamlarinfrastrukturen. Efter att ha utvärderat effektiviteten i den existerande publika infrastrukturen med nuvarande internet datamängder, utvärderade vi effektiviteten i realistiska framtida scenarier av för det första fler sammanlänkad (plattare) internet topologier samt för det andra topologier där fler nätverksvolontärer uppger sina rutter till publika ruttinsamlare. Dessvärre är båda typer av kapare mer effektiva i plattare internet topologier. Allvetande kapare kunde i smyg kapa upp till 24.5 gånger (d.v.s. 49.0%) mer av internet, medan realistiska kapare kunde kapa upp till 22.7 gånger (d.v.s. 45.5%) mer av internet, utan att upptäckas av ruttinsamlare. I topologier med upp till 4 gånger fler nätverksvolontärer som uppger sina rutter till publika ruttinsamlare, kunde allvetande och realistiska kapare reagerar på nya övervakare genom att modifiera sina attacker till att i smyg kapa upp till 4 gånger (d.v.s. 8.2%) respektive 2.9 gånger (d.v.s. 5.9%) mer av internet. Slutligen sammanfattar vi med en analys av två förslag till förbättring av den existerande ruttinsamlarinfrastrukturen: I det första väljes nya nätverksvolontärer på mer strategiska platser och i det andra låter vi nätverksvolontärer uppge fler rutter till ruttinsamlare. Vi hoppas att våra simuleringsresultat kan bidra till en design av en mer pålitlig publik rutt övervakningsinfrastruktur. / <p>QC 20220524</p>

Border gateway protocol

Stealthy hijacking

BGP hijacking

Route collector

Computer Sciences

Datavetenskap (datalogi)

Communication Systems

Kommunikationssystem

<b>Classifying and Identifying BGP Hijacking attacks on the internet</b>

Kai Chiu Oscar Wong (18431700)

26 April 2024

<p dir="ltr">The Internet is a large network of globally interconnected devices p used to facilitate the exchange of information across different parties. As usage of the Internet is expected to grow in the future, the underlying infrastructure must be secure to ensure traffic reaches its intended destination without any disruptions. However, the primary routing protocol used on the Internet, the Border Gateway Protocol (BGP), while scalable and can properly route traffic between large networks, does not inherently have any security mechanisms built within the protocol. This leads to devices that use BGP over the internet to be susceptible to BGP Hijacking attacks, which involve maliciously injected routes into BGP’s Routing Information Base (RIB) to intentionally redirect traffic to another destination. Attempts to solve these issues in the past have been challenging due to the prevalence of devices that use BGP on the existing Internet infrastructure and the lack of backward compatibility for proposed solutions. The goal of this research is to categorize the different types of BGP Hijacking attacks that are possible on a network, identify indicators that an ongoing BGP Hijacking attack based on received routes from the Internet locally without access to machines from other locations or networks, and subsequently leverage these indicators to protect local networks from external BGP Hijacking attacks.</p>

Network engineering

System and network security

Networking and communications

BGP

network security analysis

routing attacks

BGP Hijacking