attacks on routing ip hijacks how internet number
play

Attacks on routing: IP hijacks How Internet number resources are - PowerPoint PPT Presentation

Aug 29, 2022 •507 likes •919 views

Attacks on routing: IP hijacks How Internet number resources are managed IANA ARIN LACNIC APNIC RIPE NCC AfriNIC ISP #1 ISP NIC.br NIC.MX LIRs/ISPs

  2. Attacks on routing: IP hijacks

  3. How ¡Internet ¡number ¡resources ¡are ¡managed ¡ IANA ¡ ARIN ¡ LACNIC ¡ APNIC ¡ RIPE ¡NCC ¡ AfriNIC ¡ ISP ¡#1 ¡ ISP ¡ NIC.br ¡ NIC.MX ¡ LIRs/ISPs ¡ LIRs/ISPs ¡ End ¡users ¡ ISP ¡mx ¡

  4. How ¡Internet ¡number ¡resources ¡are ¡managed ¡ (ii) ¡ • What ¡do ¡we ¡mean ¡by ¡resources ¡ – IPv4 ¡Addresses ¡ – IPv6 ¡Addresses ¡ – Autonomous ¡System ¡Numbers ¡ • Both ¡16 ¡and ¡32 ¡bits ¡ • FoundaOonal ¡document: ¡RFC ¡2050 ¡ – “ IP ¡Registry ¡Alloca1on ¡Guidelines ” ¡ • Each ¡RIR ¡is ¡the ¡ authorita(ve ¡source ¡on ¡the ¡ relaOonship ¡between ¡ users/holders ¡ and ¡resources ¡ – Each ¡RIR ¡operates ¡a ¡registry ¡database ¡

  5. RouOng ¡in ¡the ¡Internet ¡ ASN ¡20 ¡ ¡ announces ¡ 10.1.0.0/16 ¡ The ¡10.1.0.016 ¡prefix ¡ propagates ¡across ¡ASs ¡(via ¡BGP ¡ ASN ¡10 ¡receives ¡ sessions) ¡ the ¡prefix ¡ AZributes: ¡ ¡ 10.1.0.0/16 ¡ 10.1.0.0/16 ¡ AS_PATH ¡ASN1 ¡ASN3 ¡ ASN20 ¡

  6. RouOng ¡in ¡the ¡Internet ¡(ii) ¡ • BGP ¡chooses ¡routes ¡using ¡a ¡ decision ¡algorithm ¡and ¡the ¡ values ¡of ¡the ¡available ¡ a=ributes ¡ • AS_PATH ¡is ¡a ¡list ¡of ¡the ¡ autonomous ¡systems ¡a ¡given ¡ UPDATE ¡has ¡traversed ¡ In ¡this ¡case ¡ASN ¡20 ¡is ¡ – The ¡first ¡entry ¡is ¡the ¡AS ¡ the ¡"origin-­‑as" ¡for ¡ originaOng ¡the ¡route ¡("origin-­‑ 10.1/16 ¡ as") ¡

  7. Who ¡has ¡the ¡"right" ¡to ¡use ¡resources? ¡ • When ¡an ¡ISP ¡obtains ¡resources ¡from ¡its ¡RIR ¡(IPv6/IPv4/ ASN): ¡ – The ¡ISP ¡has ¡to ¡noOfy ¡its ¡upstream ¡ASNs ¡which ¡prefixes ¡are ¡ going ¡to ¡be ¡announced ¡via ¡BGP ¡ – This ¡is ¡usually ¡done ¡via ¡e-­‑mail, ¡web ¡forms ¡or ¡by ¡updaOng ¡an ¡ IRR ¡( Internet ¡Rou1ng ¡Registry) ¡ • Upstreams ¡verify ¡( or ¡at ¡least ¡they ¡should ) ¡the ¡right ¡of ¡ use ¡for ¡the ¡announced ¡resources ¡ – RIR ¡WHOIS ¡Text-­‑based ¡and ¡not ¡really ¡suitable ¡for ¡automaOc ¡ usage ¡ – IRR ¡WHOIS ¡Non-­‑signed ¡informaOon, ¡liZle ¡addiOonal ¡tools ¡ provided ¡for ¡verificaOon ¡of ¡usage ¡rights ¡except ¡for ¡names, ¡ phone ¡numbers ¡and ¡email ¡POCs ¡ • This ¡verificaOon ¡process ¡is ¡someOmes ¡not ¡as ¡thorough ¡ as ¡it ¡should ¡be ¡

  8. Checking ¡usage ¡rights ¡for ¡a ¡resource ¡ • Network ¡administrators ¡ – Local ¡checks ¡in ¡rouOng ¡infrastructure ¡ • Require ¡previous ¡step ¡(registering ¡the ¡route ¡object ¡with ¡an ¡IRR) ¡ – Router ¡protecOon ¡ – RouOng ¡protocol ¡integrity ¡ • Peer ¡authenOcaOon ¡ • Filtering ¡known-­‑invalid ¡routes ¡ – ¡RFC ¡1918 ¡prefix ¡filtering ¡ – ¡Bogon ¡filtering ¡ ¡ • In ¡the ¡end ¡the ¡integrity ¡of ¡the ¡rouOng ¡system ¡depends ¡ on ¡ ad-­‑hoc ¡trust ¡rela(onships ¡between ¡peers ¡

  9. Route ¡Hijacking ¡ • When ¡an ¡enOty ¡parOcipaOng ¡in ¡Internet ¡rouOng ¡ announces ¡a ¡prefix ¡without ¡authorizaOon ¡we ¡face ¡a ¡ route ¡hijack ¡ • It ¡can ¡be ¡either ¡malicious ¡or ¡due ¡to ¡operaOonal ¡ mistakes ¡ • Some ¡well-­‑known ¡cases: ¡ – Pakistan ¡Telecom ¡vs. ¡You ¡Tube ¡(2008) ¡ – China ¡Telecom ¡(2010) ¡ – Google ¡in ¡Eastern ¡Europe ¡(various ¡ASs, ¡2010) ¡ – Some ¡ocurrences ¡in ¡our ¡region ¡(January/February ¡2011) ¡

  10. Route ¡Hijacking ¡(ii) ¡ AS ¡6057 ¡ announces ¡ 200.40/16 ¡ AS ¡15358 ¡ AS ¡8158 ¡gets ¡ announces ¡ 200.40.0.0/16 ¡ 200.40/24 ¡ AS ¡8158 ¡gets ¡ and ¡ 200.40.0.0/16 ¡ 200.40.235.0/24 ¡ 200.40.0.0/16 ¡AS_PATH ¡ASN1 ¡ASN3 ¡ ASN6057 ¡ 200.40.235.0/24 ¡AS_PATH ¡ASN1 ¡ASN3 ¡ ASN6057 ¡

  11. Route ¡Hijacking ¡(iii) ¡ • RIPE ¡NCC ¡Video ¡ – hZp://www.youtube.com/watch?v=IzLPKuAOe50 ¡

  12. Resource ¡PKI ¡ • Resource ¡Public ¡Key ¡Infraestructure ¡ – Goal: ¡create ¡a ¡system ¡that ¡allows ¡the ¡cerOficaOon ¡of ¡ usage ¡rights ¡for ¡Internet ¡numbering ¡resources ¡ – High-­‑level ¡overview ¡ • Use ¡of ¡X.509 ¡v3 ¡cerOficates ¡ ¡ • Apply ¡RFC ¡3779 ¡extensions ¡to ¡these ¡cerOficates. ¡These ¡extensions ¡ allow ¡Internet ¡resources ¡(IPv4/IPv6/ASNs) ¡fields ¡within ¡ cerOficates ¡ ¡ ¡ • A ¡way ¡to ¡automaOcally ¡validate ¡the ¡ origin-­‑as ¡of ¡a ¡BGP ¡UPDATE ¡ – StandardizaOon ¡AcOviOes ¡ • IETF ¡SIDR ¡working ¡group ¡ – ImplementaOon ¡AcOviOes ¡ • RIRs ¡

  13. Resource ¡PKI ¡(ii) ¡ • Automated ¡ origin ¡valida(on ¡for ¡route ¡ announcements ¡ • The ¡enOty ¡with ¡usage ¡rights ¡for ¡a ¡resource ¡ signs ¡ the ¡ origin-­‑as ¡field ¡of ¡a ¡PKI ¡object ¡ • The ¡following ¡procedures ¡are ¡applied ¡to ¡validate ¡ RPKI ¡cerOficates ¡and ¡rouOng ¡informaOon ¡objects: ¡ – The ¡cryptographic ¡validity ¡of ¡the ¡RPKI ¡cerOficate ¡chain ¡ (just ¡like ¡any ¡other ¡PKI) ¡ – The ¡CIDR ¡inclusion ¡properOes ¡of ¡IP ¡addresses ¡ • In ¡this ¡way ¡it ¡becomes ¡more ¡difficult ¡for ¡a ¡third ¡ party ¡to ¡inject ¡invalid ¡data ¡into ¡the ¡rouOng ¡system ¡

  14. Resource ¡PKI ¡(iii) ¡ RPKI ¡ Management ¡ System ¡ Cache ¡ Repository ¡

  15. Resource ¡PKI ¡(iv) ¡ • All ¡RPKI ¡signed ¡objects ¡are ¡listed ¡in ¡public ¡ repositories ¡ • Aoer ¡verificaOon, ¡these ¡objects ¡can ¡be ¡used ¡to ¡ configure ¡filtering ¡in ¡routers ¡ • ValidaOon ¡Process ¡ – Signed ¡objects ¡have ¡references ¡to ¡the ¡cerOficate ¡used ¡to ¡ sign ¡them ¡ – Each ¡cerOficate ¡has ¡a ¡pointer ¡to ¡an ¡upper ¡level ¡cerOficate ¡ – The ¡resources ¡listed ¡in ¡a ¡cerOficate ¡MUST ¡be ¡valid ¡subsets ¡ of ¡the ¡resources ¡listed ¡in ¡its ¡parent's ¡cerOficate ¡ – In ¡this ¡way ¡a ¡trust ¡chain ¡can ¡be ¡traced ¡to ¡a ¡"trust ¡anchor" ¡ both ¡cryptographically ¡as ¡well ¡as ¡in ¡CIDR ¡terms ¡

  16. X.509 ¡v3 ¡cerOficates ¡with ¡RFC ¡3779 ¡ extensions ¡ • X.509 ¡Digital ¡CerOficates ¡ Version ¡ – Subject, ¡validity ¡period, ¡public ¡key ¡and ¡ Serial ¡Number ¡ other ¡fields ¡ Signature ¡Algorithm ¡ • With ¡extensions: ¡ Issuer ¡ – RFC ¡3779 ¡defines ¡extensions ¡that ¡allow ¡the ¡ Subject ¡ representaOon ¡of ¡Internet ¡resources ¡as ¡ Subject ¡Public ¡Key ¡ cerOficate ¡fields ¡ Extensions ¡ • List ¡of ¡IPv4, ¡IPv6 ¡and ¡ASNs ¡assigned ¡to ¡ Subject ¡InformaOon ¡ ¡Authority ¡(SIA) ¡ an ¡organizaOon ¡ Authority ¡InformaOon ¡ ¡ Access ¡(AIA) ¡ • Implemented ¡in ¡OpenSSL ¡1.0c ¡onwards ¡ Addr: ¡10.10.10.0 ¡ Asid: ¡65535 ¡ – It ¡has ¡to ¡be ¡specifically ¡enabled ¡when ¡ running ¡"./configure" ¡

  17. CerOficates ¡with ¡RFC ¡3779 ¡extensions ¡ • "IP ¡DelegaOon" ¡SecOon ¡ Version ¡ – Special ¡value: ¡"INHERITED" ¡ ¡ Serial ¡Number ¡ • "AS ¡DelegaOon" ¡SecOon ¡ Signature ¡Algorithm ¡ – Special ¡value: ¡"INHERITED" ¡ Issuer ¡ Subject ¡ • ValidaOon ¡Process ¡ Subject ¡Public ¡Key ¡ – It ¡involves ¡the ¡validaOon ¡of ¡the ¡resources ¡ ¡ Extensions ¡ Subject ¡InformaOon ¡ ¡Authority ¡(SIA) ¡ Authority ¡InformaOon ¡ ¡ Access ¡(AIA) ¡ Addr: ¡10.10.10.0 ¡ Asid: ¡65535 ¡

  18. RPKI ¡Structure ¡ RTA ¡is ¡the ¡self-­‑ signed ¡cerOficate ¡ LACNIC ¡RTA ¡ in ¡the ¡hierarchy ¡ LACNIC ¡resources ¡ Signature ¡ chain ¡ LACNIC ¡ ProducOon ¡ <<INHERITED>> ¡ ISP ¡#2 ¡ ISP ¡#1 ¡ ISP ¡#2 ¡Resources ¡ ISP ¡#1 ¡Resources ¡ End ¡User ¡CA ¡ ROA ¡ ROA ¡ #1 ¡ End ¡EnOty ¡cert. ¡ End ¡EnOty ¡cert. ¡ (EU ¡#1 ¡Resources) ¡ ROA ¡ ROA ¡ End ¡EnOty ¡cert. ¡ End ¡EnOty ¡cert. ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Internet routing is based on routing protocols that collect the input data No off-line route

Internet routing is based on routing protocols that collect the input data No off-line route

Introduction to Routing in Internet Internet basics IPv4 and ICMP Internet Addressing ARP - Address Resolution Protocol Routing Information (Distance Vector ) Protocol Principles 3-1 S-38.121 S-02 Rka, NB Internet routing is based on

214 views • 18 slides
Internet Resiliency to Attacks and Failures under BGP Policy Routing D. Dolev, S. Jamin, O.

Internet Resiliency to Attacks and Failures under BGP Policy Routing D. Dolev, S. Jamin, O.

Internet Resiliency to Attacks and Failures under BGP Policy Routing D. Dolev, S. Jamin, O. Morkyn, Y. Shavitt Presenter: Shiva Kasiviswanathan Pennsylvania State University University Park Internet Resiliency to Attacks and Failures under BGP

920 views • 61 slides
Internet Resource Certification (RPKI) Building a More Secure Internet Sint-Maarten Internet Week

Internet Resource Certification (RPKI) Building a More Secure Internet Sint-Maarten Internet Week

Internet Resource Certification (RPKI) Building a More Secure Internet Sint-Maarten Internet Week Carlos Mar2nez Cagnazzo carlos @ lacnic.net A9acks on rou;ng: IP hijacks How Internet number resources are managed IANA ARIN LACNIC APNIC

788 views • 31 slides
Introduction to routing in the Internet Ethernet, switching vs. routing Internet architecture

Introduction to routing in the Internet Ethernet, switching vs. routing Internet architecture

Introduction to routing in the Internet Ethernet, switching vs. routing Internet architecture Addressing, routing principles Protocols: IPv4, ICMP, ARP (Chapters 23 in Huitema) Internet-1 S-38.2121 / Fall-07 / RKa, NB Ethernet Most

635 views • 26 slides
CS 557 Routing Measurements End to End Routing Behavior in the Internet Vern Paxson, 1996

CS 557 Routing Measurements End to End Routing Behavior in the Internet Vern Paxson, 1996

CS 557 Routing Measurements End to End Routing Behavior in the Internet Vern Paxson, 1996 Internet Routing Instability Labovitz, Malan, Jahanian, 1997 Spring 2013 End to End Routing Behavior Objective: Understand the actual behavior of

595 views • 22 slides
Internet Protocol: Routing Algorithms Internet Protocol: Routing Algorithms Srinidhi Varadarajan

Internet Protocol: Routing Algorithms Internet Protocol: Routing Algorithms Srinidhi Varadarajan

Internet Protocol: Routing Algorithms Internet Protocol: Routing Algorithms Srinidhi Varadarajan Routing Routing Rout ing prot ocol 5 Goal: det ermine good pat h (sequence of rout ers) t hru 3 B C net work f rom source t o dest .

636 views • 40 slides
IP datagram format IP protocol version 32 bits total datagram number length (bytes) header

IP datagram format IP protocol version 32 bits total datagram number length (bytes) header

Routing in the Internet* The Global Internet consists of Autonomous Systems (AS) interconnected with each other: o Stub AS : small corporation o Multihomed AS : large corporation (no transit) o Transit AS : provider Two-level routing: o

889 views • 12 slides
Routing Jeff Chase Duke University IP Routing From Click IP Routing From Click Internet Map

Routing Jeff Chase Duke University IP Routing From Click IP Routing From Click Internet Map

Routing Jeff Chase Duke University IP Routing From Click IP Routing From Click Internet Map The Internet From CAIDA IP Address Allocation Originally (classful addrs), 4 address classes A: 0 | 7 bit network | 24 bit

573 views • 21 slides
Securing Internet Routing Securing Internet Routing $ Local ISP Sharon Goldberg g Princeton

Securing Internet Routing Securing Internet Routing $ Local ISP Sharon Goldberg g Princeton

Jobtalk Securing Internet Routing Securing Internet Routing $ Local ISP Sharon Goldberg g Princeton University Based on work with: Based on work with: Boaz Barak, Shai Halevi, Aaron Jaggard, Vijay Ramachandran, Jennifer Rexford, Eran

1.12k views • 42 slides
10/20/08 Today P561: Network Systems Internet routing (BGP) Week 4: Internetworking II

10/20/08 Today P561: Network Systems Internet routing (BGP) Week 4: Internetworking II

10/20/08 Today P561: Network Systems Internet routing (BGP) Week 4: Internetworking II Tunneling and MPLS Wireless routing Wireless handoffs Tom Anderson Ratul Mahajan TA: Colin Dixon 2 Internet today Key goals for Internet routing

488 views • 11 slides
End-to-End Routing Behavior in the Internet in the Internet

End-to-End Routing Behavior in the Internet in the Internet

End-to-End Routing Behavior in the Internet in the Internet Objective Understand the large-scale behavior of routing in the

533 views • 25 slides
End-to-end principle All control in end stations by Dave Clark e.g. error and flow

End-to-end principle All control in end stations by Dave Clark e.g. error and flow

Introduction to routing in the Internet Internet architecture IPv4, ICMP, ARP Addressing, routing principles (Chapters 23 in Huitema) Internet-1 S-38.121 / Fall-04 / RKa, NB Internet Architecture Principles End-to-end principle All

893 views • 21 slides
Fingerprint-based detection of DNS hijacks using RIPE Atlas MAPRG Meeting, IETF 99 20 th July

Fingerprint-based detection of DNS hijacks using RIPE Atlas MAPRG Meeting, IETF 99 20 th July

Fingerprint-based detection of DNS hijacks using RIPE Atlas MAPRG Meeting, IETF 99 20 th July 2017, Prague Pawe Foremski Maciej Andziski Farsight Security, Inc. NASK IITiS PAN DNS hijacks? DNS hijack: you think Google answers your

420 views • 30 slides
BIRD Internet Routing Daemon Ond rej Zaj cek CZ.NIC z.s.p.o. RIPE 66 BIRD overview

BIRD Internet Routing Daemon Ond rej Zaj cek CZ.NIC z.s.p.o. RIPE 66 BIRD overview

BIRD Internet Routing Daemon Ond rej Zaj cek CZ.NIC z.s.p.o. RIPE 66 BIRD overview BIRD Internet Routing Daemon Routing protocols BGP, OSPF and RIP IPv4 and IPv6 support Linux and BSD kernel support Free and open

241 views • 13 slides
Network Layer: Control Plane Part II Routing in the Internet: Intra vs. Inter-AS Routing

Network Layer: Control Plane Part II Routing in the Internet: Intra vs. Inter-AS Routing

Network Layer: Control Plane Part II Routing in the Internet: Intra vs. Inter-AS Routing Intra-AS: RIP and OSPF (quick recap) Inter-AS: BGP and Policy Routing Internet Control Message Protocol: ICMP network management

888 views • 61 slides
Internet Routing Dr. Miled M. Tezeghdanti May 8, 2012 Dr. Miled M. Tezeghdanti () Internet

Internet Routing Dr. Miled M. Tezeghdanti May 8, 2012 Dr. Miled M. Tezeghdanti () Internet

Internet Routing Dr. Miled M. Tezeghdanti May 8, 2012 Dr. Miled M. Tezeghdanti () Internet Routing May 8, 2012 1 / 71 Introduction Networks may be interconnected using Repeaters Work at the Physical layer Bridges Work at the Data-Link

997 views • 84 slides
UK UKs JANE NET Establis blishment hment Les Lessons ons for or GA GARNE

UK UKs JANE NET Establis blishment hment Les Lessons ons for or GA GARNE

UK UKs JANE NET Establis blishment hment Les Lessons ons for or GA GARNE NET Presented by: Francis Kwabena Boachie (Deputy CITO IT Infrastructure) BSc, MSc, MBA,

621 views • 27 slides
Is the global NREN community ready to support 16 March Transnational Education? 2018 Dr Esther

Is the global NREN community ready to support 16 March Transnational Education? 2018 Dr Esther

Is the global NREN community ready to support 16 March Transnational Education? 2018 Dr Esther Wilkinson, Head of international, Jisc Overview An overview of Jisc, the UKs national research and education network Strategy, structure

636 views • 19 slides
NETWORKING NETWORKING PART 1: Basic ic conce cepts PART 1: Basic concepts Agenda Agenda

NETWORKING NETWORKING PART 1: Basic ic conce cepts PART 1: Basic concepts Agenda Agenda

Moreno Baricevic CNR-INFM DEMOCRITOS Trieste, ITALY INTRO TO INTRO TO NETWORKING NETWORKING PART 1: Basic ic conce cepts PART 1: Basic concepts Agenda Agenda Connections Connections Concept of Packet Concept of Packet Network Stack

515 views • 33 slides
AfriNIC-11 Meeting IPv6 Deployment on AfriNIC Infrastructure 24th November 2009, Dakar

AfriNIC-11 Meeting IPv6 Deployment on AfriNIC Infrastructure 24th November 2009, Dakar

AfriNIC-11 Meeting IPv6 Deployment on AfriNIC Infrastructure 24th November 2009, Dakar Senegal Hari Kurup AfriNIC (remote presentation) Overview Objective Readiness Assessment Addressing Plan IPv6 Transit Test bed Security,

513 views • 18 slides
IPv6 Scanning Smart address selection and comparison to legacy IP Intermediate talk Sebastian

IPv6 Scanning Smart address selection and comparison to legacy IP Intermediate talk Sebastian

Chair for Network Architectures and Services Technische Universit at M unchen IPv6 Scanning Smart address selection and comparison to legacy IP Intermediate talk Sebastian Gebhard Supervisors: Oliver Gasser, Quirin Scheitle September

436 views • 32 slides
Defending Networks with Incomplete Information: A Machine Learning Approach Alexandre Pinto

Defending Networks with Incomplete Information: A Machine Learning Approach Alexandre Pinto

Defending Networks with Incomplete Information: A Machine Learning Approach Alexandre Pinto alexcp@mlsecproject.org @alexcpsec @MLSecProject WARNING! This is a talk about DEFENDING not attacking NO systems were harmed on the

801 views • 47 slides
Please Stand By Bacon Intermission In Progress 1 2 Testing: Its not just for your code!

Please Stand By Bacon Intermission In Progress 1 2 Testing: Its not just for your code!

1 Please Stand By Bacon Intermission In Progress 1 2 Testing: Its not just for your code! ...and other heretical proclomations Christopher H. Laco claco@chrislaco.com @claco #pytennessee Follow along!

709 views • 52 slides
amber/datum.html

amber/datum.html

http://cr.openjdk.java.net/~briangoetz/ amber/datum.html

475 views • 44 slides

More recommend