AS-Defender: Mitigando o sequestro de prefixos IP no entorno de um AS de trânsito

Marcio Vinicius de Queiroz Santos; Sidney Cunha de Lucena

doi:10.5753/wgrs.2020.12451

Marcio Vinicius de Queiroz Santos Universidade Federal do Estado do Rio de Janeiro http://orcid.org/0000-0002-4593-7644
Sidney Cunha de Lucena Universidade Federal do Estado do Rio de Janeiro https://orcid.org/0000-0002-4742-1561

DOI: https://doi.org/10.5753/wgrs.2020.12451

Resumo

O protocolo BGP, apesar da sua importância, foi concebido sem qualquer mecanismo de segurança para garantir a autenticidade de um anúncio. Diante disso, atacantes podem desviar o tráfego na Internet mediante o anúncio de rotas falsas, realizando o ataque conhecido como sequestro de prefixo. Por outro lado, as redes definidas por software (SDN) têm conferido um grande poder de inovação aos administradores de rede, através da programabilidade e do controle logicamente centralizado da rede. Este trabalho apresenta o AS-Defender, uma solução baseada em SDN que visa combater o sequestro de prefixos IP no entorno de um sistema autônomo, detectando e mitigando ataques direcionados a seus vizinhos. Nossos experimentos mostraram a eficácia da solução e como variáveis presentes em um ambiente de comunicação interdomínios podem influenciar sua eficiência.

Palavras-chave: BGP, SDN, segurança, sequestro de prefixo

Referências

Balu, K., Pardal, M. L., and Correia, M. (2016). Darshana: Detecting route hijacking for communication confidentiality. In Network Computing and Applications (NCA), 2016IEEE 15th International Symposium on, pages 52-59. IEEE.

Chi, Y.-J., Oliveira, R., and Zhang, L. (2008). Cyclops: the as-level connectivity obser-vatory. ACM SIGCOMM Computer Communication Review, 38(5):5-16.

Horn, C. (2009). Understanding ip prefix hijacking and its detection. In Seminar internet routing, intelligent networks (INET).

Lad, M., Massey, D., Pei, D., Wu, Y., Zhang, B., and Zhang, L. (2006). Phas: A prefixhijack alert system. In USENIX Security symposium, volume 1, page 3.

ONF (2012). Software-defined networking: The new norm for networks. ONF WhitePaper, 2:2-6.

RIPE NCC (2018). RIPE Network Coordination Center. https://www.ripe.net/. [Online, accessed on 29-April-2018].

University of Oregon (2018). Route Views Project. http://www.routeviews.org/routeviews/. [Online, accessed on 29-April-2018].

Sermpezis, P., Chaviaras, G., Gigis, P., and Dimitropoulos, X. (2016). Monitor, detect, mitigate: Combating bgp prefix hijacking in real-time with artemis. arXiv preprintarXiv: 1609.05702.

Sermpezis, P., Kotronis, V., Gigis, P., Dimitropoulos, X., Cicalese, D., King, A., and Dainotti, A. (2018). Artemis: Neutralizing bgp hijacking within a minute. arXivpreprint arXiv:1801.01085.

Shi, X., Xiang, Y., Wang, Z., Yin, X., and Wu, J. (2012). Detecting prefix hijackings inthe internet with argus. In Proceedings of the 2012 Internet Measurement Conference, pages 15-28. ACM.

Traina, P. (1995). Bgp-4 protocol analysis. IETF RFC 1774.

Zhang, Z., Zhang, Y., Hu, Y. C., Mao, Z. M., and Bush, R. (2008). Ispy: detecting ipprefix hijacking on my own. In ACM SIGCOMM Computer Communication Review, volume 38, pages 327-338. ACM.