Modular platform for detection of BGP routing attacks

Abstract

In order for Internet connectivity to be possible, routing protocols have been created to assist in this task. The global routing protocol in use is BGP, which uses the aggregation of several network prefixes into ASes to create a graph containing information regarding routes to all public network prefixes, leading to global connectivity. Despite serving its purpose, this protocol is based on blind trust between all the BGP peers and as such leaves it exposed to attacks. Since this protocol is responsible for global connectivity, an attack carried on this protocol can have traffic re-routed from its normal path, and right into the attackers’ hands, which may then be able to read and or alter the information contained in the traffic. Although security measures have been created for this protocol, they are not widely deployed, and, as such, most of the BGP devices’ routing tables can still be compromised by a rogue BGP peer. ISPs have ways to detect these kind of attacks, and act upon them but the users, such as private users or companies, are left at the mercy of their ISPs ability to detect and notify their clients of such attacks. That being the case, this dissertation proposes a platform capable of monitoring networks in order to detect BGP routing attacks. The platform has been made as modular as possible, to facilitate changes, and addition of new methods to detect such anomalies, and has also implemented two different methodologies for the detection of BGP routing anomalies. One of them based in an already published paper while the other one is proposed by the author of this dissertation. From data collection with the use of several probes, to the analysis of said data to detect the anomalies, all of that will be presented and explained to demonstrate that the platform does indeed detect BGP routing attacks with an accuracy of over 90%. This platform can then help the users to defend themselves against such attacks, by providing information of when those are happening in near realtime as well as allow for the deployment of custom countermeasures, which can be set to activate when an alarm is raised, giving more control to the users and making them less reliant on their ISPs for information and action.

Para a conectividade da Internet ser possível, foram criados protocolos de encaminhamento para esse propósito. O protocolo de encaminhamento global utilizado é o BGP, que utiliza a agregação de vários prefixos de redes em ASes de maneira a criar um grafo que contém a informação sobre as rotas para os diversos prefixos de redes públicas, criando assim as condições para conectividade global. Apesar de satisfazer o seu propósito, este protocolo é baseado em confiança cega entre pares de BGP levando a que este fique exposto a ataques. Sendo este protocolo responsável pela conectividade global, um ataque efetuado através deste protocol pode levar a que o tráfego seja desviado da sua rota normal e vá parar às mãos do atacante, dando a possibilidade de este conseguir ler e ou alterar o seu conteúdo. Apesar de medidas de segurança já terem sido propostas, estas não estão atualmente implementadas na maioria dos dispositivos que utilizam este protocolo, deixando-os assim vulneráveis a dispositivos comprometidos, podendo comprometer as suas tabelas de encaminhamento. Os ISPs (provedor de serviço de Internet) têm metodologias para detetar este tipo de ataques e agir sobre eles mas os utilizadores, tais como privados e ou empresas, são deixados à mercê da capacidade dos seus ISPs detetarem e os notificarem de tais ataques. Sendo esse o caso, esta dissertação propõe uma plataforma capaz de monitorizar a conectividade entre redes de modo a detetar ataques de encaminhamento BGP. Esta plataforma foi construída de forma a ser o mais modular possível, de modo a facilitar a alteração ou adição de novos métodos de deteção de anomalias. A plataforma no estado atual tem já integrada duas metodologias. Uma das metodologias é baseada em um artigo já publicado, sendo a outra proposta pelo autor desta dissertação. Desde recolha de dados utilizando várias sondas, à sua análise de modo a detetar possíveis anomalias, tudo isto será apresentado e explicado de maneira a demonstrar que a plataforma proposta é realmente capaz de detetar em tempo útil este tipo de ataques, com uma precisão superior a 90%. Esta plataforma pode então ajudar o utilizador a defender-se contra estes ataques, dando a informação de quando estes ataques estão a ocorrer, quase em tempo real, permitindo também que os utilizadores possam empregar contra medidas que serão acionadas automaticamente pela plataforma, caso estejam ativas, oferecendo assim um maior controlo aos utilizadores e menor dependência dos ISPs.