Monitor the IPv6 Internet

In this work we have focused our attention on the IPv4 Internet for one reason: we lack security-related data in IPv6, in particular logs of spam sent from IPv6 network ranges. However, the recent exhaustion of the Internet Assigned Numbers Authority

5.2. Future research and perspectives 115 (IANA) unallocated IPv4 address pool in 2011 [135] and the reduction of available IP address space from Regional Internet Registries (RIRs)¹ is reducing the amount of unused IP address space, which appeared from our data to be specifically targeted by hijackers. As of today, as much as 20% of the IPv4 address space appears to be allocated yet not publicly announced². Moreover, the progressive adoption of IPv6 by ISPs on the Internet³suggests that malicious BGP hijack attacks are or will occur in the IPv6 world similarly to IPv4. Since the version of BGP running in IPv6 is not different from the one used in IPv4, the BGP hijack attack model built for IPv4 can also be applied to the IPv6 world. As of the writing of this document, we are not aware of any reported cases of BGP hijack in the IPv6 Internet, though.

1http://www.potaroo.net/tools/ipv4/

2Based on statistics published by RIR’s and available athttp://bgp.potaroo.net/ipv4-stats/

prefixes.txt

3http://bgp.potaroo.net/v6/as2.0/index.html

6

Résumé en français

Contents

6.1 Introduction . . . 118 6.1.1 Exposé du problème . . . 119 6.1.2 Objectifs de recherche . . . 120 6.1.3 Structure de la thèse . . . 122 6.2 Positionnement par rapport à l’état de l’art . . . 122 6.2.1 Les attaques par détournement BGP malveillant . . . 122 6.2.2 Le filtrage anti-spam . . . 123 6.2.3 La sécurité du routage inter-domaine dans l’Internet . . . . 123 6.3 SpamTracer . . . 124 6.3.1 La collecte de données de routage. . . 125 6.3.2 Processus d’extraction et d’évaluation des anomalies de

routage . . . 126 6.3.3 Validation des cas suspects de détournements BGP . . . 128 6.3.4 Analyse de l’origine des détournements BGP . . . 130 6.4 Résultats . . . 131 6.4.1 Résultats : la collecte des données de routage . . . 131 6.4.2 Résultats : processus d’extraction et d’évaluation des

ano-malies de routage. . . 131 6.4.3 Résultats : validation des cas suspects de détournements

BGP . . . 132 6.4.4 Résultats : analyse de l’origine des détournements BGP . . 139 6.4.5 Efficacité des contres-mesures . . . 140 6.4.6 Opérationnalisation de SpamTracer . . . 143 6.4.7 Enseignements . . . 145 6.5 Conclusion et perspectives futures de recherches . . . . 146 6.5.1 Contributions scientifiques. . . 146 6.5.2 Perspectives futures de recherche . . . 148

6.1 Introduction

L’infrastructure de routage de l’Internet de connue pour être vulnérable aux at-taques par détournement BGP. Cette attaque consiste en la prise de contrôle d’un bloc d’adresses IP sans le consentement de son propriétaire légitime. Cette attaque est rendue possible par le fait que dans BGP [150] - le protocole utilisé pour le rou-tage inter-domaine dans le l’Internet - l’échange d’information de rourou-tage est basé sur la confiance mutuelle entre les réseaux (communément appelés « autonomous sys-tems (ASes) » dans le jargon BGP) interconnectés. Des attaques par détournement BGP accidentels, donc pas nécessairement malveillant, surviennent régulièrement dans l’Internet. Ils sont généralement dus à des erreurs de configurations de la part des opérateurs réseau. Quelques cas ont été publiés sur des forums d’opérateurs ré-seau, comme NANOG, ou des sites web [40,44,46,91]. Des techniques permettant de détecter ce type d’attaques ont été proposées afin d’aider les opérateurs réseaux à surveiller leur propre réseau et ainsi réagir rapidement en cas de possibles pertur-bations dues à ces attaques. Ces approches souffrent d’un taux de fausses alarmes très élevé [96, 116, 157, 194], ce qui est acceptable pour ces utilisateurs puisqu’ils connaissent leur réseau. D’autres techniques ont été proposées pour empêcher que ce type d’attaques puissent se produire [101, 102,119] mais leur adoption à grande échelle est sérieusement freiné par le coût de leur déploiement.

En 2006, Ramachandran et al. [148] ont introduit une nouvelle menace pour la sécurité de l’Internet appelée« BGP spectrum agility ». Les auteurs expliquent avoir observé, sur une période de quelques mois, des courriers indésirables (ci-après désignés comme « spam ») envoyés depuis un ensemble de larges blocs d’adresses IP (i.e., /8) ; chacun de ces blocs, précédemment non annoncés dans BGP, ayant été annoncés pendant une très courte période de temps (i.e., moins de 24 heures).

Plus tard, d’autres travaux de recherche ont rapporté avoir observé des courriers indésirables venant de préfixes IP détournés [70, 96]. En outre, complémentant le travail de Schlamp et al. [154], nous avons récemment exposé dans [47, 178] le cas d’une attaque par détournement BGP ayant affecté quelques blocs d’adresses IP utilisés par la suite pour envoyer du spam. Plus récemment, nous avons montré dans [177], grâce à un cas d’étude réel, que la corrélation d’anomalies de routage et de trafic réseau malveillant, comme par exemple du spam, est à elle seule insuffisante pour conclure qu’il s’agit d’une attaque par détournement BGP malveillant.

Hormis ces quelques cas et en dépit de la volonté apparente de certains proprié-taires de réseaux d’être capables de détecter le vol de leurs blocs d’adresses IP, à notre connaissance, il n’existe à l’heure actuelle aucune preuve que ce type d’attaques vaut la peine qu’on s’en préoccupe ; puisque personne n’a montré jusqu’à présent que les cybercriminels utilisent ce type d’attaques de façon régulièrement pour commettre différentes activités malveillantes. S’ils en étaient capables, cela constituerait une menace sérieuse pour la sécurité de l’Internet, puisque cela leur permettrait non seulement d’envoyer du spam en déjouant les classiques listes noires (ou « black-lists »), mais cela leur permettrait surtout de lancer de larges attaques par déni de service distribué (ou « DDoS ») avec un coût presque nul, ou bien encore de lancer des attaques dites de « l’homme du milieu » (ou « man-in-the-middle ») contre

6.1. Introduction 119 n’importe quelle cible. Ainsi, nous pensons qu’il est nécessaire d’évaluer de façon rigoureuse l’existence et l’importance de cette menace potentielle.

Ce phénomène soulève différentes questions actuellement sans réponse et aux-quelles ce travail à pour objectif de répondre. A savoir, en 2014, les cybercriminels utilisent-ils les attaques par détournement BGP afin de réaliser d’autres activités malveillantes depuis les adresses IP volées ? Si non, quelles sont les hypothèses qui nous permettent de conclure que ce phénomène n’existe pas ? Si oui, à quel point cette attaque est-elle répandue dans l’Internet et quel est le mode opératoire des attaquants ?