11/07/2018

チャイナ・テレコムによるインターネット・トラフィックの誤指示

オラクルのInternet Intelligenceのブログより。中国がアメリカの技術をスパイしていた方法の一つ。

Nov 05, 2018 // Doug Madory

最近、米海軍大学がインターネット・トラフィックを傍受するためにBGPルーティングを操作する中国政府の試みについての多くの主張を含む論文を発表しました。

このブログ記事で、私は敢えてこれらの行動の動機に関するこの論文の主張には触れていません。しかし、チャイナ・テレコム(意図的であってもなくても)が近年インターネット・トラフィック(米国外を含む)を誤って送ってきたという主張には真実があります。私は、2017年にそれを止めようと多くの努力をしたので、分かっています。

Ii image 1

AS4134によるトラフィックの誤指図

2015年12月9日、SKブロードバンド(旧Hanaro)は、1分未満の短いルーティング漏洩を経験しました。この事件で、SKのAS番号AS9318は、OpenDNSのBGPstreamサービスによって選ばれた300以上のVerizon経路を広告しました。

ワァーオ、韓国のASNがAPACの向こうのかなりの数の他のASNをハイジャックした。 pic.twitter.com/46Ih5CaVmi

— Compose Button               Richard Westmoreland (@RSWestmoreland) December 9, 2015

この漏洩は、SKブロードバンドのトランジット・プロバイダーの1つであるチャイナ・テレコム(AS4134)を通じて独占的に広告されたものです。その後、AS9318は、Verizon APAC(AS703)からチャイナ・テレコム(AS4134)への同じ経路のトランジットを開始し、その後Telia(AS1299)、Tata(AS6453)、GTT(AS3257)、Vodafone(AS1273)のような国際的なキャリアにそれらを広告し始めました。この結果、次のようなASパスが発生しました。

... {1299, 6453, 3257, 1273} 4134 9318 703

これらの経路を受け入れた世界中のネットワークは、誤ってチャイナ・テレコム(AS4134)を通じてVerizon APAC(AS703)にトラフィックを送信しました。以下は、ロンドンからオーストラリア政府に属するアドレス空間へのインターネット・トラフィックの経路をマッピングするtracerouteです。このルーティング現象以前は、チャイナ・テレコムを通過したことはありませんでした。

Ii image 2

昨年数ヶ月に渡って、私はVerizonや他のTier 1キャリアにこの状況を警告しました。最終的にTeliaとGTT(これらの経路の最大キャリア)は、中国からのVerizonの経路を受け入れないようにフィルタを設置しました。この行動は、これらの経路のフットプリントを90%削減しましたが、チャイナ・テレコムと直接ピアリングしている人たちに到達することを妨げることはできませんでした。

過去1年間で、Verizon APACはVerizon North America(AS701)からこのASパス経由でASパスを作成しました:

... (peers_of_4134) 4134 9318 703 701

これらの経路が流布していた時、チャイナ・テレコムとピアリングしているネットワークは(米国を含む)、AS4134経由でAS701の経路を受け入れ、中国本土経由で米国から米国へのトラフィックを送りました。影響を受けた顧客の1つは、米国の主要インターネット・インフラ会社でした。状況を知らせた直後に、チャイナ・テレコムとのピアリング・セッションでフィルタを導入し、Verizonの経路が受け入れられないようにしました。以下は、米国内からVerizon(米国内)までの何千ものtraceroutesのうちの一つのスクリーンショットで、国外からのトラフィックの経路を示します。

Ii image 3

インターネット・パスの監視

BGPハイジャック警告の共通の焦点は、ルーティングされたアドレス空間の予期せぬオリジン、あるいは直接の上流を探す事です。但し、ASパスの他の部分でトラフィックの誤指示が発生する可能性があります。この場合、Verizon APAC(AS703)は、AS9318がVerizonの経路をチャイナ・テレコムに独占的に送信し、次にそれらをグローバル・インターネットに送信することに気付かず、SKブロードバンド(AS9318)と精算不要のピアリング関係を確立していた可能性が高い。

私たちはこれをピア漏洩と分類し、チャイナ・テレコムのネットワークはVerizonへのトラフィックのインバウンド・パスに挿入されました。問題のあるルーティングの決定は、その直ぐ上流を超えて、オリジンから複数のASホップが発生していました。

逆に、ピアから受け入れられた経路も監視が必要です - かなりまれな慣行です。闇雲にピアからの経路を受け入れることで、あなたのアウトバウンド・トラフィックのパスに自身を挿入することができます(意図的でも、そうでなくても)。

結論

2014年に、私は、上記の事件のような偽の経路の伝播に関する問題を強調した「Use Protection if Peering Promiscuously」と題するブログ記事を書きました。このような問題は、QRator Labsの友人Alexander AzimovにRPKIベースのASパス検証のためのIETF標準を作成するための継続的な努力を指導するよう促しました。このようなメカニズムを導入すると、たとえばAS-AS関係の既知のセットに基づいて、Valley-free規則(*)に違反するASパスを使用してBGP広告をドロップします。このようなメカニズムは、少なくとも、上記の偽ルーティングのいくつかを含んでいます。

その間、ルーティングのセキュリティを強化のためにインターネット協会のMANRSプロジェクトにサインインして、経路を監視して下さい!

Hacker Newsars technicaCircleIDSlashdot