知財求人 - 知財ポータルサイト「IP Force」
▶ ダイナミック・ネットワーク・サービシーズ・インコーポレイテッドの特許一覧
特許7046818グローバルルーティングハイジャックを発見するための方法および装置
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-03-25
(45)【発行日】2022-04-04
(54)【発明の名称】グローバルルーティングハイジャックを発見するための方法および装置
(51)【国際特許分類】
H04L 43/08 20220101AFI20220328BHJP
H04L 45/44 20220101ALI20220328BHJP
【FI】
H04L43/08
H04L45/44
【請求項の数】
9
(21)【出願番号】P 2018544248
(86)(22)【出願日】2017-02-22
(65)【公表番号】
(43)【公表日】2019-02-28
(86)【国際出願番号】 US2017018907
(87)【国際公開番号】W WO2017147166
(87)【国際公開日】2017-08-31
【審査請求日】2020-01-22
(31)【優先権主張番号】62/298,169
(32)【優先日】2016-02-22
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】518024699
【氏名又は名称】ダイナミック・ネットワーク・サービシーズ・インコーポレイテッド
【氏名又は名称原語表記】DYNAMIC NETWORK SERVICES, INC.
(74)【代理人】
【識別番号】110001195
【氏名又は名称】特許業務法人深見特許事務所
(72)【発明者】
【氏名】シミエスキ,アール・エドワード
(72)【発明者】
【氏名】マドリー,ダグラス
(72)【発明者】
【氏名】セルゲーエフ,アレクサンドル
【審査官】平井 嗣人
(56)【参考文献】
【文献】特開2010-200245(JP,A)
【文献】特開2007-053430(JP,A)
【文献】SCHUTRUP, J. et al.,BGP Hijack Alert System,UNIVERSITEIT VAN AMSTERDAM,2016年02月07日,pp. 1-40
(58)【調査した分野】(Int.Cl.,DB名)
H04L 43/08
H04L 45/44
(57)【特許請求の範囲】
【請求項1】
インターネット上でルーティングハイジャックを検出する方法であって、前記インターネット上で複数の自律システム(AS)の中の複数のBGPルータから複数のボーダーゲートウェイプロトコル(BGP)更新情報を収集するステップを備え、前記複数のBGP更新情報における各BGP更新情報は、少なくとも1つのプレフィックスを含み、前記方法はさらに、
前記複数のBGP更新情報に基づいて少なくとも1つの新たな発信元を特定するステップと、
前記複数のBGP更新情報に含まれる前記プレフィックスの中から前記少なくとも1つの新たな発信元を有する複数のプレフィックスを形成するステップと、
前記複数のプレフィックスから少なくとも1つのRFC1918プレフィックスを除去するステップと、
前記複数のプレフィックスにおける残りのプレフィックスのうちの少なくとも1つのプレフィックスを潜在的ルーティングハイジャックとして報告するステップとを備える、方法。
【請求項2】
前記複数のプレフィックスから、過去の一定期間の任意の時点で新たに確認された前記少なくとも1つの新たな発信元が発信した少なくとも1つのプレフィックスを除去するステップをさらに備える、請求項1に記載の方法。
【請求項3】
前記一定期間は、1ヶ月である、請求項2に記載の方法。
【請求項4】
前記複数のプレフィックスにおける前記残りのプレフィックスから少なくとも1つのプレフィックスを除去するステップをさらに備え、除去される前記少なくとも1つのプレフィックスは、前記少なくとも1つの新たな発信元に関連付けられ、関連付けられた前記少なくとも1つの新たな発信元は、関連付けられた前記少なくとも1つの新たな発信元よりも過去に確認された発信元とBGP関係を有する、請求項1~3のいずれか1項に記載の方法。
【請求項5】
前記複数のプレフィックスにおける前記残りのプレフィックスから、前記少なくとも1つの新たな発信元によって通知された少なくとも1つのプレフィックスを除去するステップをさらに備え、除去される前記少なくとも1つのプレフィックスは、ある組織のために通知され、前記組織のために通知された前記少なくとも1つのプレフィックスの発信元である前記少なくとも1つの新たな発信元は、前記組織のための少なくとも1つの他のプレフィックスを過去に通知している、請求項1~3のいずれか1項に記載の方法。
【請求項6】
前記少なくとも1つの新たな発信元がなりすまし発信元であるか否かを検出するステップをさらに備える、請求項1~5のいずれか1項に記載の方法。
【請求項7】
前記少なくとも1つのプレフィックスを報告するステップは、AS経路破損、ヒューマンエラーによって引き起こされるルーティング異常、リーク、または隠れたBGP関係のうちの少なくとも1つを検出するステップを含む、請求項1~請求項6のいずれか1項に記載の方法。
【請求項8】
請求項1~7のいずれか1項に記載の方法をプロセッサに実行させるためのプログラム。
【請求項9】
請求項8に記載されたプログラムを格納するメモリと、前記プログラムを実行するためのプロセッサとを備える、システム。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本願は、「グローバルルーティングハイジャックを発見するための方法および装置(Methods and Apparatus for Finding Global Routing Hijacks)」と題される2016年2月22日に出願された米国出願番号第62/298,169号の、米国特許法第119条(e)のもとでの優先権利益を主張する。この出願は、全文が引用によって本明細書に援用される。
本願は、「グローバルルーティングハイジャックを発見するための方法および装置(Methods and Apparatus for Finding Global Routing Hijacks)」と題される2016年2月22日に出願された米国出願番号第62/298,169号の、米国特許法第119条(e)のもとでの優先権利益を主張する。この出願は、全文が引用によって本明細書に援用される。
【背景技術】
【0002】
背景
2013年2月に、ベラルーシ人攻撃者が、選択されたインターネットトラフィックを自身のネットワークを介してリダイレクトした。このことは、当該攻撃者が、進路変更されたトラフィックをコピーし、その内容を検証して、将来的な攻撃のためのターゲットを特定することが可能であったことを意味する。主なターゲットは、大手金融機関、さまざまな政府および世界的なネットワーク会社を含んでいた。この動きは、2013年2月にはほぼ毎日確認されたが、3月の初めに突然中断し、5月に数日間だけ再び見られた。歴史的視点から限定的に振り返ってみると、同様のベラルーシ人の攻撃は、2012年の間ずっと、さまざまなターゲットに対して散発的に発生した。
2013年2月に、ベラルーシ人攻撃者が、選択されたインターネットトラフィックを自身のネットワークを介してリダイレクトした。このことは、当該攻撃者が、進路変更されたトラフィックをコピーし、その内容を検証して、将来的な攻撃のためのターゲットを特定することが可能であったことを意味する。主なターゲットは、大手金融機関、さまざまな政府および世界的なネットワーク会社を含んでいた。この動きは、2013年2月にはほぼ毎日確認されたが、3月の初めに突然中断し、5月に数日間だけ再び見られた。歴史的視点から限定的に振り返ってみると、同様のベラルーシ人の攻撃は、2012年の間ずっと、さまざまなターゲットに対して散発的に発生した。
【0003】
図1は、2013年8月にアイスランドから発生した同様の攻撃のトレースルートを示す。このトレースルートは、ある期間にわたって、デンバーにおける2つのインターネットサービスプロバイダ(Internet Service Provider:ISP)間のトラフィックがアイスランドに進路変更され、アイスランドにおいて局所的に傍受されやすかったことを示している。通常の状況下では、このトラフィックは、デンバーにおける発信元からダラスおよびミズーリ州カンザスシティーを経由して送信先(これもデンバー)に進んで行くであろう。いかなる状況下でも、他の2つの国同士の間のインターネットトラフィックがアイスランドを横断することはないはずである。言い換えれば、アイスランドは、一般にインターネットトラフィックの終端点である。
【0004】
2012年および2013年に実行された攻撃のようなインターネットルートハイジャック攻撃により、攻撃者は、進路変更されたトラフィックをコピーし、その内容を検証して、将来的な攻撃のためのターゲットを特定することが可能になる。これらの攻撃のうちの多くでは、通信が実際に中断されることがないため、被害者が何かおかしいことに気付くのは困難である。通信を中断させない攻撃は、監視および/またはターゲティングのためにインターネットを妨害する国家的行為者または犯罪組織の仕業であるかもしれない。あるいは、当該攻撃は、サイバー兵器の能力の発達を示唆し得る。関係者の人数、身元および動機にかかわらず、このような事象は、国家レベルの大手インターネットサービスプロバイダ(ISP)をコントロールする巧妙な行為者による故意の攻撃である。これらの事象は、偶発的なものではなく、過去数年にわたって、ターゲットを絞った、明らかに悪意のある方法で利用され続けてきたインターネットの基本構造の長年にわたる相当な脆弱性を指摘するものである。
【発明の概要】
【課題を解決するための手段】
【0005】
概要
本技術の実施形態は、インターネット上でルーティングハイジャックを検出する方法を含む。これらの方法の例は、インターネット上で複数の自律システム(Autonomous System:AS)の中の複数のボーダーゲートウェイプロトコル(Border Gateway Protocol:BGP)ルータから複数のBGP更新情報を収集するステップを含む。これらのBGP更新情報の各々は、少なくとも1つのプレフィックスを含む。BGP更新情報に基づいて、少なくとも1つの新たな発信元が特定される。BGP更新情報に含まれるプレフィックスの中から、新たな発信元を有する複数のプレフィックスが形成される。これらのプレフィックスから1つ以上のRFC1918プレフィックスが除去され、残りのプレフィックスのうちの少なくとも1つのプレフィックスが潜在的ルーティングハイジャックとして報告される。
本技術の実施形態は、インターネット上でルーティングハイジャックを検出する方法を含む。これらの方法の例は、インターネット上で複数の自律システム(Autonomous System:AS)の中の複数のボーダーゲートウェイプロトコル(Border Gateway Protocol:BGP)ルータから複数のBGP更新情報を収集するステップを含む。これらのBGP更新情報の各々は、少なくとも1つのプレフィックスを含む。BGP更新情報に基づいて、少なくとも1つの新たな発信元が特定される。BGP更新情報に含まれるプレフィックスの中から、新たな発信元を有する複数のプレフィックスが形成される。これらのプレフィックスから1つ以上のRFC1918プレフィックスが除去され、残りのプレフィックスのうちの少なくとも1つのプレフィックスが潜在的ルーティングハイジャックとして報告される。
【0006】
インターネット上でルーティングハイジャックを検出する別の例示的な方法では、インターネット上でASの中のBGPルータからBGP更新情報が収集され、各々のBGP更新情報は、少なくとも1つのプレフィックスを含む。複数のBGP更新情報に含まれるプレフィックスの中から、少なくとも1つの新たな発信元を有する複数のプレフィックスが特定される。BGP更新情報に基づいて、少なくとも1つの新たなAS番号(ASN)が特定される。次に、新たなASNの登録が複数のプレフィックスにおける関連付けられたプレフィックスと同等であるか否かが判断される。この関連付けられたプレフィックスは、新たなAS経路に関連付けられたリストから除去され、残りのプレフィックスのうちの少なくとも1つのプレフィックスが潜在的ルーティングハイジャックとして報告される。
【0007】
上記の概念および以下でさらに詳細に説明するさらなる概念の組み合わせは全て(このような概念が相互に矛盾するものではないという条件で)、本明細書に開示されている本発明の主題の一部であると考えられるということが理解されるべきである。特に、本開示の最後に出てくるクレームに記載の主題の組み合わせは全て、本明細書に開示されている本発明の主題の一部であると考えられる。また、引用によって援用される開示にも出てくる、本明細書で明示的に利用されている用語は、本明細書に開示されている特定の概念と最も一致した意味を与えられるということが理解されるべきである。
【0008】
図面は主に例示の目的であり、本明細書に記載されている本発明の主題の範囲を限定することを意図したものではない、ということを当業者は理解するであろう。図面は、必ずしも一定の縮尺に従っているわけではなく、場合によっては、本明細書に開示されている本発明の主題のさまざまな局面は、さまざまな特徴の理解を容易にするために図面の中で誇張または拡大して示されている場合がある。図中、同様の参照符号は、一般に同様の特徴(たとえば、機能的に同様および/または構造的に同様の要素)を指す。
【図面の簡単な説明】
【0009】
【図1】アイスランドを経由してコロラド州デンバーにおける2つの場所間を移動する乗っ取られたトラフィックのトレースルートを示す。
【図2】自律システムとボーダーゲートウェイプロトコル(BGP)ルータとトレースルートコレクタ装置とを含むインターネットルーティングシステムの一例を示す。
【図3】いくつかのBGPルーティングデータ収集箇所およびトレースルート場所を示す。
【図4A】ルーティングハイジャックを特定するためのプロセスのハイレベル概要を示すフローチャートである。
【図4B】BGPルーティングデータを収集および処理することによってハイジャックを特定するためのプロセスを示すフローチャートである。
【図5】AS経路フラグメントを分析することによってなりすまし発信元を検出する一例を示す。
【発明を実施するための形態】
【0010】
詳細な説明
グローバルインターネットと同程度に多様かつダイナミックである環境においてルートハイジャック攻撃を発見することは、複雑な作業である。毎日、何千ものルーティング「ハイジャック」を確認することができるが、それらのうちのほぼ全ては安全なものである。本願には、悪意のあるハイジャックおよび結果として生じるインターネットトラフィックの誤った方向付けを特定するための技術が記載されている。これらの技術は、ボーダーゲートウェイプロトコル(BGP)ルーティング更新情報の広範囲にわたるグローバルなリアルタイムフィードを収集し、過去のBGPルーティングデータに一部基づいて、収集されたBGPルーティング更新情報に高度なアナリティクスを適用することを含む。正当な攻撃が発見されると、当該アナリティクスは、(可能性の高いターゲットを判断するための)ドメインネームシステム(Domain Name System:DNS)データ、(攻撃が中間者攻撃であるか否かを判断するための)トレースルートデータ、(影響の範囲を理解するための)推測される取引関係、およびBGPルーティング更新情報自体の内容で強化され得る。悪意のあるハイジャックを特定して分析するための技術は、いかなるターゲットに対してもグローバルに適用することができ、故意の攻撃(たとえば、本質的に明らかに悪意のある攻撃)も、状況の変化に起因する無害である可能性の高いルーティングエラーまたはフォールスポジティブなどの他の事象も両方とも検出するために用いることができる。
グローバルインターネットと同程度に多様かつダイナミックである環境においてルートハイジャック攻撃を発見することは、複雑な作業である。毎日、何千ものルーティング「ハイジャック」を確認することができるが、それらのうちのほぼ全ては安全なものである。本願には、悪意のあるハイジャックおよび結果として生じるインターネットトラフィックの誤った方向付けを特定するための技術が記載されている。これらの技術は、ボーダーゲートウェイプロトコル(BGP)ルーティング更新情報の広範囲にわたるグローバルなリアルタイムフィードを収集し、過去のBGPルーティングデータに一部基づいて、収集されたBGPルーティング更新情報に高度なアナリティクスを適用することを含む。正当な攻撃が発見されると、当該アナリティクスは、(可能性の高いターゲットを判断するための)ドメインネームシステム(Domain Name System:DNS)データ、(攻撃が中間者攻撃であるか否かを判断するための)トレースルートデータ、(影響の範囲を理解するための)推測される取引関係、およびBGPルーティング更新情報自体の内容で強化され得る。悪意のあるハイジャックを特定して分析するための技術は、いかなるターゲットに対してもグローバルに適用することができ、故意の攻撃(たとえば、本質的に明らかに悪意のある攻撃)も、状況の変化に起因する無害である可能性の高いルーティングエラーまたはフォールスポジティブなどの他の事象も両方とも検出するために用いることができる。
【0011】
BGPルーティング属性を操作することによるインターネットトラフィックのハイジャック
ベラルーシからの2013年2月の攻撃における選択的トラフィック迂回は、さまざまなボーダーゲートウェイプロトコル(BGP)ルート属性を操作して、トラフィックを適切な送信先に転送する前にベラルーシを通るようにリダイレクトすることによってなされた。インターネットルーティングは、元来安全でないBGPに依拠しており、BGPは、プレフィックス、すなわち個々の組織に割り当てられた連続的なインターネットプロトコル(Internet Protocol:IP)アドレスの範囲、を通知および削除することによって世界中のルーティングテーブルに影響を及ぼす。
ベラルーシからの2013年2月の攻撃における選択的トラフィック迂回は、さまざまなボーダーゲートウェイプロトコル(BGP)ルート属性を操作して、トラフィックを適切な送信先に転送する前にベラルーシを通るようにリダイレクトすることによってなされた。インターネットルーティングは、元来安全でないBGPに依拠しており、BGPは、プレフィックス、すなわち個々の組織に割り当てられた連続的なインターネットプロトコル(Internet Protocol:IP)アドレスの範囲、を通知および削除することによって世界中のルーティングテーブルに影響を及ぼす。
【0012】
図2は、自律システムとBGPルータとトレースルートコレクタ装置とを含むインターネットルーティングシステムの一例を示す。(図2は、理解しやすくするために、非常に簡略化された図を示す。)どのBGP更新通知も、ある自律システム(AS)230a~230d(まとめてAS230)を発信元とし、少なくとも1つのプレフィックスと、通知が通ったAS230のリストとを備えている。このAS230のリストは、AS経路と呼ばれる。自律システムは、AS番号(ASN)として知られている固有に割り当てられた番号によって特定され、グローバルインターネットがどのように到達するのかを制御したい組織(または、それらの中のグループ)に対応する。
【0013】
たとえば、グーグルに割り当てられたプレフィックス8.8.8.0/24(8.8.8.0~8.8.8.255)について考える。これは、何百もの固有のAS経路を経由して確認することができ、当該AS経路のうちの1つは、8708 2914 6453 15169である。このネットワークの発信元は、AS15169(グーグル)230aであり、AS15169(グーグル)230aは、プレフィックスをAS6453(タタ)230cに通知した。さらに、タタは、それをAS2914(NTT)230bに送信し、次いで、AS2914(NTT)230bは、それをピアネットワーク(データソース)であるAS8708(ルーマニアのRCS&RDS)230dに渡した。BGPメッセージにおいて、プレフィックスの発信元は、経路上の右端のASであるのに対して、データソースは、左端のASである。したがって、RCS&RDS230dは、これらのグーグルIPアドレスに到達するために、トラフィックをNTT230bに送信する。次いで、NTT230bは、それをタタ230cに渡し、タタ230cは、それをグーグル230aに送信する。グーグルからRCS&RDSへの戻り経路は、全く異なっていてもよく、グーグルのルーティングテーブルに依存する。
【0014】
一般に、インターネット上で確認される各プレフィックスは、そのルーティングポリシーに関与するASである単一発信元ASを有するが、コンテンツデリバリネットワーク(Content Delivery Network:CDN)270を介して入手可能なプレフィックスなどの複数発信元AS(Multi-Originated AS:MOAS)プレフィックスの正当な使用がある。たとえば、CDN270は、世界のさまざまな地域で用いられる複数のAS、この例では230fおよび230g、を所有し得て、それらの各々から同一のプレフィックスを通知し得る。しかし、複数発信元は、悪意のある行為またはオペレータエラーの合図である可能性もある。たとえば、2013年6月7日に、FSFテクノロジア(AS262859)230eも、以下で定義するルーティングリークの一部として、8.8.8.0/24を発信したが、その世界的影響は最小限であった。このとき、8.8.8.0/24へのルートとして2つの競合するルートがあり、一方はグーグル230aを経由したルートであり、他方はFSFテクノロジア230eを経由したルートであり、このプレフィックスの部分的なハイジャックを生じさせた。言い換えれば、このハイジャックの間は、グーグルの顧客の中には、グーグルを発信元とするルートを経由して適切なグーグルサーバ230aに到達したものもいれば、ブラジルのFSFテクノロジア230eに誤って方向付けられたものもいた(これを書いている時点では、グーグルは、8.8.8.8および8.8.4.4においてオープンな再帰的DNSレゾルバを提供する。グーグル(AS15169)は、これらのIPアドレスを8.8.8.0/24および8.8.4.0/24の一部としてそれぞれ通知する)。
【0015】
ブラジルに誤って方向付けられたグーグルユーザは、グーグルサーバに到達することができず、彼らの要求は、そこで消滅、すなわち「ブラックホール化」された。FSFテクノロジアが悪意のある行為者であれば、FSFテクノロジアは、正しかろうがそうでなかろうがこれらのクエリに回答するために偽のグーグルサーバを提供したはずである。あるいは、FSFテクノロジアは、クリーンな(破損していない)経路を経由してグーグルトラフィックをリダイレクトして正しい送信先に戻すことを選んだはずである。この後者のケースは、中間者(Man-In-The-Middle:MITM)攻撃と称され、(通信が中断されないので)実行および検出することがはるかに難しい。
【0016】
別のタイプのハイジャックは、正常に通知されたプレフィックスの具体的なプレフィックス(より小さな部分)に関係している。上記のグーグルプレフィックスは、レベル3によって通知される8.0.0.0/8および8.0.0.0/9の具体的なプレフィックスである。BGPが具体的でないルートよりも具体的なルートを好むので、両方の選択肢が利用可能である場合には、8.8.8.0/24に仕向けられたトラフィックは、レベル3ではなくグーグルに行くであろう。したがって、現在のところルーティングされていない具体的なプレフィックスのハイジャックは、一般に、アドレス空間のその部分の完全なグローバルハイジャックをもたらし、これは、全てのグローバルトラフィックがそこに送信されることを意味する。
【0017】
現在mail.condorferries.comを提供し、8.0.0.0/8および8.0.0.0/9を経由してのみレベル3にルーティングされている8.1.2.200について考える。誰かがこのIPアドレスを含む具体的なプレフィックス、たとえば8.1.0.0/16または8.1.2.0/24、を通知すると、このIPアドレスに仕向けられた全てのトラフィックを引き付けることになる。なぜなら、BGPルーティングでは、これらの具体的なプレフィックスは、具体的でないプレフィックスに優先するからである(なお、ルート選択はもっぱらローカルな決定であるため、ルータは、8.0.0.0/8の具体的なプレフィックスを無視するように構成され得るが、それは非常にまれな管理構成であろう)。
【0018】
要約すると、いかなるハイジャックにも少なくとも4つの組み合わせがある。まず、ハイジャックは、(1)部分的なグローバルハイジャックを意味するプレフィックス完全一致ハイジャックおよび(2)より大きなプレフィックスの一部の完全なグローバルハイジャックを意味する具体的プレフィックスハイジャック、のいずれかであり得る。そして、これらの各々は、(1)誤って方向付けられたトラフィックは、攻撃者のところで終点となり、違法なサーバによってブラックホール化または回答される、または(2)誤って方向付けられたトラフィックは、適切な送信先に再ルーティングされる、すなわち中間者攻撃である、の2つのタイプのうちの1つであり得る。各々のタイプの攻撃は、2013年以来定期的に発生している。
【0019】
BGPルーティングデータを収集して分析することによるBGPハイジャックの検出
本明細書に開示されている技術では、通常のルーティングベースラインからの逸脱を特定して、新たな、悪意がある可能性のある行為を発見する。グローバルハイジャックの検出における1つの課題は、インターネットの正確な状態は(特定のASの正確な状態とは対照的に)いかなる時点でも分からず、知ることができないという事実である。この問題に対する直接的アプローチは、1日当たり何千もの多くのフォールスポジティブを生じさせる。そのため、正確性の先験的知識が無い中で、本明細書に開示されている技術では、リアルタイムのBGPルーティングデータおよび過去のBGPルーティングデータから導き出されたインターネットの歴史および一般的な仕組みの理解(たとえば、トラフィックエンジニアリング)を用いる。
本明細書に開示されている技術では、通常のルーティングベースラインからの逸脱を特定して、新たな、悪意がある可能性のある行為を発見する。グローバルハイジャックの検出における1つの課題は、インターネットの正確な状態は(特定のASの正確な状態とは対照的に)いかなる時点でも分からず、知ることができないという事実である。この問題に対する直接的アプローチは、1日当たり何千もの多くのフォールスポジティブを生じさせる。そのため、正確性の先験的知識が無い中で、本明細書に開示されている技術では、リアルタイムのBGPルーティングデータおよび過去のBGPルーティングデータから導き出されたインターネットの歴史および一般的な仕組みの理解(たとえば、トラフィックエンジニアリング)を用いる。
【0020】
ハイジャックを検出するためのプロセスは、毎日実行され得るが、リアルタイムを含む任意の期間にわたって実行されるように自明に構成され得る。一般に、1日当たりせいぜい一握りの疑わしい結果を報告しており、時には全く報告しないこともある。多くの場合、目的は、分析者に十分な情報を提供して、各事象の重大さを素早く評価し、真に新たな事象のみをとらえながら、さらなるアクションを取るに値するか否かを判断することである。
【0021】
BGPルーティングおよびBGP UPDATEメッセージ
インターネットルーティングの技術分野で十分に理解されているように、各AS230またはルーティングドメインは、1つ以上のルータ240と、コンピューティングデバイス250と、BGPルータ260(ボーダールータとしても知られている)と、トレースルートコレクタ220のネットワークとを含み得る。AS230は、コンピューティングデバイス250の郵便番号であると考えることができる。すなわち、各AS230は、ISPに基づくが必ずしも地理的な範囲ではないインターネットのネイバーフッドであると考えることができる。各AS230の中にはBGPルータ260および他のルータ240があり、BGPルータ260および他のルータ240は、AS230のルーティングポリシーを実行し、近傍のASにおけるBGPルータ260との接続を維持する。出願時、グローバルインターネット上のAS230の数は、56,000個を超えている。
インターネットルーティングの技術分野で十分に理解されているように、各AS230またはルーティングドメインは、1つ以上のルータ240と、コンピューティングデバイス250と、BGPルータ260(ボーダールータとしても知られている)と、トレースルートコレクタ220のネットワークとを含み得る。AS230は、コンピューティングデバイス250の郵便番号であると考えることができる。すなわち、各AS230は、ISPに基づくが必ずしも地理的な範囲ではないインターネットのネイバーフッドであると考えることができる。各AS230の中にはBGPルータ260および他のルータ240があり、BGPルータ260および他のルータ240は、AS230のルーティングポリシーを実行し、近傍のASにおけるBGPルータ260との接続を維持する。出願時、グローバルインターネット上のAS230の数は、56,000個を超えている。
【0022】
より正式には、AS230は、単一の管理エンティティ(大学、企業、事業部など)を代表して共通のネットワーク管理者(または、管理者のグループ)によって制御される単一の明確に規定されたルーティングポリシーを有する接続されたIPネットワークのグループである。ASにおける所与のIPネットワーク内のノードは、同一のネットワークプレフィックスを共有し、インターネット接続のために当該プレフィックス内の個々のIPアドレスを利用する。大半のASは、複数のネットワークプレフィックスを備えている。
【0023】
トレースルートコレクタ220は、それぞれのプロバイダのデータセンタ内にあるリアルマシンまたはバーチャルマシンであり、トレースルートコレクタ220の各々は、自律システム(AS)230またはルーティングドメインに属する。動作時、トレースルートコレクタ220は、自身のAS230および他のAS230内のルータ240、ターゲットコンピューティングデバイス250およびボーダーゲートウェイプロトコル(BGP)ルータ260(ボーダールータ260としても知られている)へのルートに関連付けられたレイテンシを測定する。
【0024】
AS230は、BGPを用いてボーダールータ260間でルーティングメッセージをやりとりすることによって他のAS230とルーティング情報を共有し、これは、TCP/IPネットワークにおいてドメイン間ルーティングを実行するために用いられる外部ゲートウェイプロトコル(exterior gateway protocol:EGP)である。ルーティング情報は、BGP更新情報をやりとりするためにボーダールータ260からそのBGPピアのうちの1つへの接続を確立することによって、AS230内またはAS230間で共有され得る。当業者によって理解されるように、ボーダールータ260間でデータをやりとりするプロセスは、「ピアリング」と呼ばれる。ピアリングセッションにおいて、2つのネットワークが接続して、データを直接やりとりする。内部BGPピアリングセッションは、単一のAS230内のボーダールータ260と内部ルータ240とを直接接続すること、または単一のAS230内の内部ルータ240のみを直接接続することを含む。外部BGPピアリングセッションは、近傍のAS230におけるBGPルータ260を互いに直接接続することを含む。
【0025】
BGPルータ260は、OPENメッセージ、UPDATEメッセージ、KEEPALIVEメッセージおよびNOTIFICATIONメッセージを含むさまざまなタイプのメッセージをやりとりする。BGP UPDATEメッセージは、一般に、削除されたルート、総合経路属性、経路属性およびネットワーク層到達性情報(Network Layer Reachability Information:NLRI)についての情報を含む、ルーティングに影響を及ぼす変更についての情報を含む。削除されたルートの情報は、サービスから削除されているルートのIPアドレスプレフィックスのリストを含む。経路属性情報は、経路発信元、マルチプルエグジット識別子(multiple exit discriminator:MED)、発信元システムのルートの好み、ならびに、アグリゲーション、コミュニティ、コンフェデレーションおよびルートリフレクションについての情報を含む、トラフィックが流れるルートの特性を含む。そして、NLRIは、更新メッセージの中で広告される実現可能なルートのIPアドレスプレフィックスを含む。
【0026】
BGPルーティングの詳細については、たとえば「ボーダーゲートウェイプロトコル4(BGP-4)(A Border Gateway Protocol 4 (BGP-4))」、RFC4271、2006年1月を参照されたい。これは、引用によって本明細書に援用される。
【0027】
BGP UPDATEメッセージの収集
図3は、後述するように、何百ものソース(BGPピア)から、BGP UPDATEメッセージ、OPENメッセージ、KEEPALIVEメッセージおよびNOTIFICATIONメッセージを含むグローバルBGPルーティング通知を収集するシステム300を示す。これらのBGPルーティング通知を用いて、推測される取引関係(エッジタグ)および統合されたルーティングテーブルを含むさまざまなデータプロダクトを計算してハイジャックを検出することができる。当該システムは、世界中に分散されたいくつかのリモートデータコレクタ301と、1つ以上のデータセンタ303とを含む。各リモートデータコレクタ301は、ローカルISPによって操作される固有のBGPルータセットに接続されるリナックス(登録商標)サーバとして実現されてもよい。たとえば、図3に示される8個のリモートデータコレクタ301は、400個を超えるIPv4ピアおよび300個を超えるIPv6BGPピアからBGPルーティングデータを収集するが、他の数のリモートデータコレクタ301およびピアも可能である。同様に、図3は、データセンタ303がリモートデータコレクタ301のサブセットとともに配置されることを示しているが、データセンタ303は、リモートデータコレクタ301から離れて位置してもよい。リモートデータコレクタ301の数および場所もさまざまであってもよい。これは、一部には、BGPルーティングデータを遠方から収集することができるため、場所の数はそれほど重要ではないという理由からである。
図3は、後述するように、何百ものソース(BGPピア)から、BGP UPDATEメッセージ、OPENメッセージ、KEEPALIVEメッセージおよびNOTIFICATIONメッセージを含むグローバルBGPルーティング通知を収集するシステム300を示す。これらのBGPルーティング通知を用いて、推測される取引関係(エッジタグ)および統合されたルーティングテーブルを含むさまざまなデータプロダクトを計算してハイジャックを検出することができる。当該システムは、世界中に分散されたいくつかのリモートデータコレクタ301と、1つ以上のデータセンタ303とを含む。各リモートデータコレクタ301は、ローカルISPによって操作される固有のBGPルータセットに接続されるリナックス(登録商標)サーバとして実現されてもよい。たとえば、図3に示される8個のリモートデータコレクタ301は、400個を超えるIPv4ピアおよび300個を超えるIPv6BGPピアからBGPルーティングデータを収集するが、他の数のリモートデータコレクタ301およびピアも可能である。同様に、図3は、データセンタ303がリモートデータコレクタ301のサブセットとともに配置されることを示しているが、データセンタ303は、リモートデータコレクタ301から離れて位置してもよい。リモートデータコレクタ301の数および場所もさまざまであってもよい。これは、一部には、BGPルーティングデータを遠方から収集することができるため、場所の数はそれほど重要ではないという理由からである。
【0028】
動作時、各リモートデータコレクタ301は、接続されたBGPルータからブロードキャストされたBGP UPDATEメッセージ、OPENメッセージ、KEEPALIVEメッセージおよびNOTIFICATIONメッセージを監視、収集および格納するクアッガルーティングソフトウェアスイートなどのルーティングソフトウェアを格納および実行する。従来のルーティングソフトウェアとは異なって、リモートデータコレクタ301によって実行されるルーティングソフトウェアは、読み出し専用モードで動作する。すなわち、リモートデータコレクタ301は、BGPルーティングデータを収集するが、必ずしもルーティングデータを他のサーバに供給するとは限らない。
【0029】
リモートデータコレクタ301は、BGP UPDATEメッセージ、OPENメッセージ、KEEPALIVEメッセージおよびNOTIFICATIONメッセージをローカルディスク上に(一時的に)格納し、データベースに長期にわたって格納303してさらに処理するためにBGP UPDATEメッセージをデータセンタに戻す。各データセンタ303において、ピアリングセッションからのBGP更新情報集合体は、異常を探すために、以下で説明するように処理される。
【0030】
(たとえば、報告のための)他の有用な情報は、各ASをその主要なマーケットに割り当てるためのジオロケーションデータを含む。このジオロケーションデータは、国際公開番号WO2017/015454に開示されている技術を用いて取得されてもよく、国際公開番号WO2017/015454は、全文が引用によって本明細書に援用される。非常に疑わしい行為の調査のために、DNSデータ、トレースルートデータおよび未処理BGPメッセージを用いて、攻撃のターゲットになった可能性があるドメインを発見して、中間者型攻撃を特定することができる。
【0031】
BGPルーティングデータの分析
BGPルーティングデータが収集されると、BGPルーティングデータは、悪意がある可能性のあるBGPルーティングハイジャックを特定するために分析され得る。この分析は、後述するように、いくつかの悪意がある可能性のあるルーティング通知から圧倒的多数の無害なルーティング通知をフィルタリングして取り除くことを含む。要するに、当該分析プロセスは、全ての潜在的に疑わしい発信元の大きな組から始めて、新たな、一般的なルーティングパターンまたは確認できる既存の取引関係では説明できないものに減らしていくことを含む。
BGPルーティングデータが収集されると、BGPルーティングデータは、悪意がある可能性のあるBGPルーティングハイジャックを特定するために分析され得る。この分析は、後述するように、いくつかの悪意がある可能性のあるルーティング通知から圧倒的多数の無害なルーティング通知をフィルタリングして取り除くことを含む。要するに、当該分析プロセスは、全ての潜在的に疑わしい発信元の大きな組から始めて、新たな、一般的なルーティングパターンまたは確認できる既存の取引関係では説明できないものに減らしていくことを含む。
【0032】
図4Aは、ルーティングハイジャックを特定するためのプロセスのハイレベル概要を示すフローチャートである。ハイジャック特定プロセスは、図2および図3に関して上記したBGPルーティングデータを収集すること(ステップ450)を含む。BGPルーティングデータは、経路発信元などの経路属性情報を含む。以下にさらに詳細に開示される一連のステップによって、無害なルーティング通知をフィルタリングして取り除く(ステップ452)。一連のフィルタリングステップは、フォールスポジティブを排除し、ハイジャックされた可能性のあるルートを含むインターネットルーティングの変更をとらえる。ハイジャックされたことが疑われるルートをさらに分析して(ステップ454)、新たな発信元、当該新たな発信元を受け入れるピアの数、および誤って方向付けられたピアにわたるハイジャックの平均時間などの、ルートに関連する特性を特定する。
【0033】
疑わしいルートの分析は、修復(ステップ456)を必要とし得る安全なケースの特定につながるであろう。たとえば、ヒューマンエラー、リークおよびAS経路破損によって引き起こされる偽のルートを検出することができ、適切な修復策を特定することができる。修復は、ハイジャックされたルートを顧客に警告して知らせること、(無害な間違いの場合)「ハイジャック犯」に警告すること、および上流のインターネットサービスプロバイダに警告することも含み得て、これら全てにより、誤った通知を(ソースから)完全に停止させるか、または(他者によって)フィルタリングして取り除くことができ、その結果、誤ったルートがインターネット上で辿られたり、さらに伝搬されたりすることがなくなる。
【0034】
図4Bは、真に新しいいかなるインターネットルーティングの変更もとらえながら、フォールスポジティブを保守的に排除する、相互に関係するステップを有するハイジャック特定プロセス400を示す。ハイジャック特定プロセス400は、IPv4インターネットに適用され、本明細書に記載されている技術は、当業者によって容易に理解されるようにIPv6インターネットにも同様に適用される。また、下記のステップは、適宜組み合わせられてもよく、マッチングさせられてもよく、変形されてもよく、並べ変えられてもよいということも当業者は理解するであろう。また、下記のステップは、同時にまたは重なり合う態様で実行されてもよい。たとえば、図1、図2および図3に関して上記したBGPルーティングデータを収集すること(ステップ402)を含むステップ402は、他のステップの実行から独立して、継続的または連続的に行われてもよい。
【0035】
ステップ404は、一定の過去の期間と比較して、少なくとも1つの新たな発信元を有するプレフィックスを特定することを含む。これらのプレフィックスは、同時複数発信元(MOAS)プレフィックスである場合もあれば、そうでない場合もある。新たな具体的なプレフィックスの発信元が当該具体的なプレフィックスの最も近いカバリングプレフィックスの発信元とは異なる場合、当該具体的なプレフィックスは、潜在的ルーティングハイジャックである可能性がある。ステップ404は、最も近いカバリングプレフィックスの発信元とは異なる発信元を有する各々の新たな具体的なプレフィックスを特定することも含み得る。このような具体的なプレフィックスは、必ずしもMOASではなく、より大きなルーティングされたプレフィックスのサブプレフィックスハイジャックを表わす可能性がある。このステップは、後にフィルタリングされて疑わしい発信元のはるかに小さな組にされる何千ものプレフィックスのリストをもたらし得る。このリストは、最小限の時間(たとえば、数分)にわたって収集システムのBGPピアの最小セット(たとえば、全体の約1%)によって確認されるプレフィックスに限定することによって、さらにフィルタリングされ得る。
【0036】
リーク(特に、iBGPおよびeBGP再発信元リーク)はインターネット上でありふれているが、大半は一時的なものであるか、または遠くには伝搬しない。18分間で50,000個のプレフィックスという2010年からの大規模かつ悪名高い中国人によるハイジャックは、この最小限のチェックでは明らかにフィルタリングされないであろう。任意のISPによるあらゆる故意でないリークをハイジャックとして分類することができるが、世界的影響はなく、これは不必要なフォールスポジティブにつながるであろう。このルールは、非常に保守的であり、影響が少ないリークは排除するが他の全てのものについては報告することを意図している。
【0037】
ハイジャック特定プロセス400のステップ406は、RFC1918プレフィックスを完全に除去することを含む。これらのプレフィックスは、固有ではないため、グローバルにルーティング可能ではない。ステップ406は、各AS経路の冒頭から任意のプライベートASNを除去し、一桁のASNも除去し、残りのAS経路を分析に用いることも含む。プライベートASNも固有ではないので、発信元ハイジャック分析では有用ではなく、そのため、ステップ406は、未知の発信元組織のためのプロキシとして経路上の最初の非プライベートASNを使用することを含む。ステップ406は、一桁のASNを除去することも含む。なぜなら、オペレータは、シンタックスをサポートしないルータ上の対象のプリペンドの数を表わすために、小さな整数値を誤って用いることがあるからである。場合によっては、一桁のASN、主にアメリカの大学は、ルーティングハイジャックに関与していないと言っても差し支えない。これを拡大して、プライベートASNを自身のASNと交換することで知られているプロバイダを説明することができる。
【0038】
ステップ408において、新たな発信元がほぼ全てのピアによって確認されると、各MOASプレフィックス(しかし、具体的なプレフィックスではない)は除去される。これは、所与の期間(たとえば、一日)の間に、あるASから別のASに正当に移動したように思われるプレフィックスを排除する。なぜなら、ほぼ全てのピアによって確認される新たな発信元は、あるASから別のASへのプレフィックスの協調的移動を暗に示しているからである。所与の単一のプレフィックスのために、いくつかのピアは、古いルートを引き続き維持し得るが、当該単一のプレフィックスにとって好ましい全てのピアにわたるルートになるということは、ハイジャック犯にとっては信じ難いことである。要するに、ハイジャック犯がプレフィックスのアクティブかつ利用可能な正当な広告主から離れて当該プレフィックスの本質的に全てのトラフィックを引き付けることは考えにくい。なお、このステップ408は、通常は大半のピアによって受け入れられる具体的なプレフィックスを考慮に入れることを含まない。
【0039】
MOASプレフィックスおよび/またはそれらの具体的なプレフィックスを単純に探すことは、過去にMOASと見なされてこなかったプレフィックスについてさえも、圧倒的な数のフォールスポジティブを生じさせる。異なるASが重複するプレフィックスを発信し得る理由はたくさんある。一方は、他方(主要またはバックアップ)のトランジットプロバイダであり得て、いくつかのプレフィックスは、異なるASNを利用するCDNからのエニーキャストであり、プレフィックスは、リエンジニアリングの期間中に同一組織に属しているASN間で移動され、分散サービス拒否(Distributed Denial of Service:DDoS)軽減の目的で顧客ルートを故意に「ハイジャック」するDDoSトラフィック浄化会社がある。これらのシナリオなどは、体系的な検出技術によって考慮に入れられるべきである。最終結果は、簡潔かつ包括的な報告であり、特に以下で説明するDNS、トレースルートデータおよび世界的影響のマップと対応付けられたときに分析者によって悪意のある行為の合図について容易かつ効率的に点検することができる。
【0040】
ステップ410は、過去1カ月間の任意の時点で新たに確認された発信元が発信したプレフィックスを検討から除去することを含む。このようなプレフィックスが初めて確認されたときには、それはステップ410によって除外されない。その後、当該プレフィックスが当月内に同一の発信元から再び確認されると、それは無視される。ネットワーク移行中にトラフィックエンジニアリングのためにプロバイダによって具体的なプレフィックスが通知されることは一般的なことであるので、このチェックは、最初のこのような確認を除外することはできないが、プレフィックスは、以下の取引関係チェックのうちの1つによって最終的な報告からは依然として除外され得る。
【0041】
ステップ410を含む実現例では、進行中のハイジャックまたは繰返されるハイジャックは、最初に出現したときにのみ特定されてもよい。したがって、プレフィックスがハイジャックされると、その後の攻撃に備えて当該プレフィックスは警戒リストに追加されるべきであり、ハイジャックが疑われる発信元自体は監視されるべきである。
【0042】
ステップ412において、新たに確認された発信元が過去に確認された発信元と歴史的かつ安定的なBGP関係を有する各プレフィックスが除去される。ここで、AS-AS関係タグ(エッジタグ)は、(変更を反映するために恐らく毎日更新される)ルーティングデータの中の各々の安定的に確認されるAS隣接対についてのダイナミックに計算された取引関係を示す。エッジタグは、ブースティングを用いて特定されてもよく、ブースティングは、教師あり学習と呼ばれ、複数の弱学習器を活用する機械学習の変形体である。場合によっては、プロバイダが顧客のプレフィックスを一時的に通知するときなどに、確立された取引関係を有する2つのASが互いのプレフィックスを発信することが適切であると言って差し支えない。(プロバイダは、顧客の顧客に属するプレフィックスも、必ずしも当該プレフィックスが疑わしいとしてフラグを立てられることなく、通知し得る。)なお、エッジタグは、同一組織に属するASNを表わすクラスタを含み、その対は、実際には任意のBGPデータにおいて隣接しているように見えなくてもよい。
【0043】
ステップ414は、任意のカバリングプレフィックスが新たに確認された発信元によって発信される各プレフィックスを除去することを含む。ここで、たとえ具体的なプレフィックスが他のAS(たとえば、顧客)によって現在通知されていても、カバリングプレフィックスを通知するASは、当該具体的なプレフィックスも正当に通知することができると想定される。
【0044】
新たな発信元が通常の発信元の他のプレフィックス(または、具体的なプレフィックス)を既に通知している各プレフィックスを除去することは、ステップ416において行われる。ステップ416では、一般に別の組織のプレフィックスを通知するASは、当該同一組織からの他のプレフィックスも正当に通知することができると想定される。なお、組織は、確認できるBGP隣接性を有していなくてもよいが、一方が他方を代表してプレフィックスを発信することができる取引関係を有していてもよい。ステップ416を含むプロセス400の実現例では、最初に出現したときにのみ同一組織のさらなるハイジャックを特定してもよい。したがって、発信元がハイジャックに使用されると、その後の攻撃に備えて当該発信元は警戒リストに追加され得る。
【0045】
ステップ418は、新たに確認されたASNの登録が、プレフィックスまたは任意のカバリングプレフィックスの登録とおおよそ同等である各プレフィックスを除去することを含む。登録の同等性を判断するために、対象の文字列が正規化され、マッチングのための正規形式と比較される。正規化および比較は、データベース内に維持される関連付けられた特定文字列(たとえば、マイクロソフトおよびホットメール)に基づき得る(理論上は、攻撃者は、このチェックによる検出を逃れようとして、同一または類似の名前を有するASNを対象の被害者のプレフィックスに登録し得る)。
【0046】
ステップ420において、たとえばさらなる点検のために、残りのプレフィックスがユーザまたは分析者に報告される。報告は、各々のハイジャックされた(ことが疑われる)プレフィックス、新たな発信元、新たな発信元を受け入れるピアの数、誤って方向付けられたピアにわたるハイジャックの平均時間、このプレフィックスを確認するピアの正常数、ASのための割り当て情報、およびレジストリ記録からのプレフィックスを特定し得る。また、報告は、対象の各ASの国割り当ても含み得る。プレフィックスは一般に狭くジオロケートされ得るが、ASは国をまたぐ可能性があるので、ASのマーケットによっては各ASに国が割り当てられてもよい。さまざまな割り当てられた国からのASに関係するハイジャック、たとえばアメリカのASによって発信されたプレフィックスをハイジャックするベラルーシのAS、は、高い優先度で考慮に入れられるべきである。
【0047】
なお、プロセス400全体を通して、ルーティングされたプレフィックスに言及している。しかし、ルーティングされていない空間の「ハイジャック」もかなり一般的である。スパム送信者が他者に登録されたルーティングされていない空間を探すことは珍しいことではないため、スパム送信者は、恐らく汚染されていないIPブロックを経由して電子メールを配信して検出を逃れることができる。これは、従来のハイジャックではない。なぜなら、空間が現在のところ使用されておらず、そのため属性がさらに一層不確かである可能性があるからである。特に長期間にわたって一貫してルーティングされるルーティングされた空間の場合、少なくとも継続的な所有権表明があり、インターネットに対して直接的な動作上の影響を及ぼす。ルーティングされていない空間の場合、どのような関連性をASNの過去のルーティング挙動から導くことができたとしても、プレフィックスおよびASNについての自己報告の登録データしかないであろう。自己報告の情報の悪名高い信頼性のなさを考えると、一般にルーティングされていない空間の潜在的ハイジャックを報告することは、多くのフォールスポジティブを起こしやすい。
【0048】
ルーティングされていない空間の悪用は、対象のASNおよびプレフィックスの登録および国レベルのジオロケーションを調べることによってとらえることができる(ステップ422)。両方が異なっている場合、通知は、ルーティングされていない空間の潜在的ハイジャックとして報告される。したがって、アメリカにジオロケートされている適切なプレフィックスは、イギリスに関連付けられた適切なASによって通知され得て、警告を発することはない。しかし、これは全て不確かであろう。なぜなら、過去にルーティングされていないプレフィックスの推定されるジオロケーションは非常に疑わしい可能性があり(登録データに由来する可能性が高く)、多くのASは2つ以上の動作国を有するからである。その結果、このアプローチは、フォールスポジティブを生じさせる可能性があり、当該フォールスポジティブは、さらなる情報を用いてフィルタリングして取り除くことができる(ステップ422)。
【0049】
本明細書に記載されているプロセス400は、既存のプレフィックスであろうと既存のプレフィックスの新たな具体的なプレフィックスであろうと、AS発信元の大きな変更を報告する。発信元自体が偽装されている場合には、デフコン16において例示された攻撃の中で説明されているように、それは十分ではないかもしれない。なりすまし発信元の検出は、AS経路全体、新たな隣接性、ならびに/または、トレースルート経路およびレイテンシについての情報を用いて行うことができる。
【0050】
なりすまし発信元、さらにはなりすましアップストリームがますます一般的になってきているので、プロセス300は、前の段落で説明したエッジタグをもっと利用するように適合されてきた。エッジタグは、各AS、すなわちASを経由して到達することができるそれらのプレフィックス、のダウンストリームトランジットコーンの計算を可能にする。プレフィックスが、偽装された冒頭のAS経路フラグメントを有する通知によってハイジャックされる場合、ハイジャックは3つの方法で検出可能であろう。第一に、偽造されたAS経路フラグメントと正当に構築されたAS経路フラグメントとの間の接合部には、ハイジャックされたプレフィックスを担持する新たなエッジ(AS-AS隣接性)が間違いなく存在するというものである。第二に、(偽造されたものであろうとそうでなかろうと)経路に沿ったASのダウンストリームトランジットコーンは、ハイジャックされたプレフィックスを含むが、非現実的であり得るというものである。そして最後に、トレースルートレイテンシおよびハイジャックされたプレフィックスへの経路は、非現実的であり得るというものである。これらの異常は全て、プロセス400によって検出される。
【0051】
図5は、なりすまし発信元を検出する以下の例を示す。以下の経路に沿って200.202.64.0/19(ブラジルホームショッピング社)が以前に通知されたことについて考える。
【0052】
...9002 8438 18739 10495 11295
右端のAS530は、感知できると思われる明白な発信元、すなわちAS11295(ブラジルホームショッピング社)530gである。次の2つのAS、すなわちAS18739 530hおよびAS10495 530i、は両方とも、想像はつくだろうがブラジルのものである。しかし、このルートは、もっぱらウクライナのプロバイダであるヘットマンソフト(Hetman Soft)(AS8438)530jを介してロシアの固定回線キャリアRETN(AS9002)530kに至るように見える。ここでは、異常なエッジ575c、すなわち8438_18739(ウクライナのプロバイダからブラジルのプロバイダへ)と、異常なダウンストリームトランジットコーン、すなわちウクライナのASNおよびロシアのASNのブラジルプレフィックスダウンストリームとが存在する。プロセス400は、これらの異常を検出し、このプレフィックスを潜在的ハイジャックとしてフラグを立てる。
右端のAS530は、感知できると思われる明白な発信元、すなわちAS11295(ブラジルホームショッピング社)530gである。次の2つのAS、すなわちAS18739 530hおよびAS10495 530i、は両方とも、想像はつくだろうがブラジルのものである。しかし、このルートは、もっぱらウクライナのプロバイダであるヘットマンソフト(Hetman Soft)(AS8438)530jを介してロシアの固定回線キャリアRETN(AS9002)530kに至るように見える。ここでは、異常なエッジ575c、すなわち8438_18739(ウクライナのプロバイダからブラジルのプロバイダへ)と、異常なダウンストリームトランジットコーン、すなわちウクライナのASNおよびロシアのASNのブラジルプレフィックスダウンストリームとが存在する。プロセス400は、これらの異常を検出し、このプレフィックスを潜在的ハイジャックとしてフラグを立てる。
【0053】
最終的な証拠として、プロセス400は、多くの他のトレースルートとともに、ハイジャックされたブラジルプレフィックスへの以下の異常なトレースルートを検出する。ここでは、ハイジャックされたプレフィックスには、わずか20ミリ秒で、ウクライナを経由してモスクワから到達し、これは、光速制限およびモスクワとブラジルとの間の通常のルーティング経路に違反する。これらの異常は全て、このブラジルプレフィックスがウクライナでハイジャックされたという反論の余地のない証拠を提供する。
【0054】
【数1】
【0055】
代替的に、このような攻撃されたネットワークの所有者が、従来のサブプレフィックスハイジャック検出警告を用いてなりすまし発信元を検出してもよい。傍観者には、なりすまし発信元はトラフィックエンジニアリング広告であるように見えるかもしれないが、ルーティング構成を知っている発信元のオペレータにとっては、これは明らかで明白なハイジャックであろう。それでも、攻撃者が正当な発信元になりすましている場合には、従来のルーティング警告サービスは、(具体的なプレフィックスではなく)既存のプレフィックスに対する攻撃を検出しない可能性がある。しかし、この攻撃は、非常に長いAS経路を発生させる傾向があるので、(もしあれば)多くのトラフィックを引き付けることになるはずはない、ということに留意されたい。
【0056】
フォールスポジティブ
上記のハイジャック特定プロセス300に関して記載されているフィルタリングは、いかなる正当な脅威も見逃すことを防止するにはかなり保守的であるかもしれない。しかし、これは、報告がフォールスポジティブを含むことを暗に示している。なぜなら、新たな取引協定が絶えず出現している状況で、インターネットは非常に大きくかつダイナミックな場所であるからである。実際、フィルタリングは、1日当たりせいぜい1ページ分の事象を発生させ、これは、訓練された分析者が毎日点検するのに十分に少ない数である。報告される事象をさらに制限するためのステップがあるが、直後に記載しているDDoS軽減サービスを組織が使用し始めたときなどには、残りの安全なケースはそれ自体が対象になるだろう。
上記のハイジャック特定プロセス300に関して記載されているフィルタリングは、いかなる正当な脅威も見逃すことを防止するにはかなり保守的であるかもしれない。しかし、これは、報告がフォールスポジティブを含むことを暗に示している。なぜなら、新たな取引協定が絶えず出現している状況で、インターネットは非常に大きくかつダイナミックな場所であるからである。実際、フィルタリングは、1日当たりせいぜい1ページ分の事象を発生させ、これは、訓練された分析者が毎日点検するのに十分に少ない数である。報告される事象をさらに制限するためのステップがあるが、直後に記載しているDDoS軽減サービスを組織が使用し始めたときなどには、残りの安全なケースはそれ自体が対象になるだろう。
【0057】
DDoS軽減
複数の民間機関は、問題となっているトラフィックを浄化するために顧客のインターネットトラフィックをデータセンタにリダイレクトすることによってDDoS軽減サービスを提供する。次いで、正当なトラフィックが顧客に戻される。これらのサービスは、攻撃中にBGPを介して顧客のプレフィックスを通知することに依拠するが、顧客は、自身のルートを削除する。移行が比較的クリーンかつ完全であるか、またはサービスが過去に使用されている場合には、ハイジャック特定プロセス300は、このような事象を容易に除外することができる。しかし、ハイジャック特定プロセス300においてチェックのうちのいくつかを無効にすることは、DDoS起動についての報告を生じさせ、DDoS起動のうちのいくつかは、違法なハイジャックではなく、DDoS保護がこの技術によって起動されたことを示すものであり、したがって組織が攻撃下にある可能性があることを示すものであるかもしれない。また、DDoS軽減は、オンプレミスハードウェアデバイス(たとえば、アーバーのピークフロー)を用いて、またはDNSリダイレクトを介して行うことができ、それらはいずれもBGP層では目に見えないため、それらの使用は我々の報告の中には登場しない。
複数の民間機関は、問題となっているトラフィックを浄化するために顧客のインターネットトラフィックをデータセンタにリダイレクトすることによってDDoS軽減サービスを提供する。次いで、正当なトラフィックが顧客に戻される。これらのサービスは、攻撃中にBGPを介して顧客のプレフィックスを通知することに依拠するが、顧客は、自身のルートを削除する。移行が比較的クリーンかつ完全であるか、またはサービスが過去に使用されている場合には、ハイジャック特定プロセス300は、このような事象を容易に除外することができる。しかし、ハイジャック特定プロセス300においてチェックのうちのいくつかを無効にすることは、DDoS起動についての報告を生じさせ、DDoS起動のうちのいくつかは、違法なハイジャックではなく、DDoS保護がこの技術によって起動されたことを示すものであり、したがって組織が攻撃下にある可能性があることを示すものであるかもしれない。また、DDoS軽減は、オンプレミスハードウェアデバイス(たとえば、アーバーのピークフロー)を用いて、またはDNSリダイレクトを介して行うことができ、それらはいずれもBGP層では目に見えないため、それらの使用は我々の報告の中には登場しない。
【0058】
ヒューマンエラー(ファットフィンガー)
オペレータはしばしばプレフィックスおよびそれらの発信元を(通知のソースにおける)ルータ構成に手動で入力するため、このような入力はヒューマンエラーを起こしやすい。この手の間違いは、時には潜在的ハイジャックとして現れる可能性がある。たとえば、ロシア科学アカデミーのM.V.ケルディッシュ応用数学研究所(AS33812)は、以前に、通常はホストダイム.コム社(HostDime.com,Inc.)(AS33182)によって通知される8.10.120.0/24をハイジャックしていると思われた。AS番号が類似していることおよび2つの入れ替わっている桁が警告を生じさせたという事実に注目されたい。この状況は素早く修正され、オペレータエラーの結果であることはほぼ確実であった。
オペレータはしばしばプレフィックスおよびそれらの発信元を(通知のソースにおける)ルータ構成に手動で入力するため、このような入力はヒューマンエラーを起こしやすい。この手の間違いは、時には潜在的ハイジャックとして現れる可能性がある。たとえば、ロシア科学アカデミーのM.V.ケルディッシュ応用数学研究所(AS33812)は、以前に、通常はホストダイム.コム社(HostDime.com,Inc.)(AS33182)によって通知される8.10.120.0/24をハイジャックしていると思われた。AS番号が類似していることおよび2つの入れ替わっている桁が警告を生じさせたという事実に注目されたい。この状況は素早く修正され、オペレータエラーの結果であることはほぼ確実であった。
【0059】
別の明らかなタイプミスでは、クウェート大学コンピュータ情報システム(AS25242)は、通常はネットワークファンデーション社(Network Foundations LLC)(AS36242)から確認される64.191.236.0/24を発信したように思われた。2および5はキーボード上で3および6に隣接していることに注目されたい。このエラーは、2分足らずで修正された。この例は、報告されたASNを注意深く調べて、事象の継続時間を検討することがいかに重要であるかを示している。類似した番号を含む非常に短期間の事象は、素早く修復されるうっかりミスを示していることが多い。
【0060】
必要に応じて、プレフィックスデータは、1つの可能性として、互いからの編集距離が1であるASNを含む潜在的ハイジャックは報告しないなど、編集距離のチェックを用いてフィルタリングされてもよい。確率は小さいが、このようなフィルタは、ISC(AS1280)がイランにおけるプレフィックスを発信し始めたように見受けられるとき(これは、イランの誰かが間違ってTIC(AS12880、かつてのDCI)から一桁を抜かすことによって引き起こされたエラーであった)などの興味深い事実を廃棄する可能性がある。これは、実際のハイジャックではないが、割り当てられたASNの空間が実際にはかなり小さいために、攻撃者の、対象の被害者からの編集距離が1または2であると考えられるという事実を強く感じさせた。言い換えれば、もしイランがISC空間をハイジャックしていたらどうなっていただろうか?編集距離が1または2の範囲内の攻撃者によって実行される攻撃を見逃すことを回避するために、プロセス300は、編集距離に対してはいかなるフィルタも課すことなく実行され得る。これは、報告に登場するように発信元ASNおよび発信されたプレフィックスの両方に関係する単純なタイプミスに起因するフォールスポジティブを引き起こす可能性がある。
【0061】
RFC1918の混同
ハイジャック特定プロセス300は、プライベートアドレス、すなわちRFC1918空間を検討から除去することを含むが、これらのプレフィックスの厳密なフォーマットについてはいくらかの混同がある可能性がある。RFC1918の仕様自体に以下のように記載されている:
インターネット番号割当て機関(Internet Assigned Numbers Authority:IANA)は、プライベートインターネットのためにIPアドレス空間の以下の3つのブロックを確保した
10.0.0.0 -10.255.255.255(10/8プレフィックス)
172.16.0.0 -172.31.255.255(172.16/12プレフィックス)
192.168.0.0 -192.168.255.255(192.168/16プレフィックス)。
ハイジャック特定プロセス300は、プライベートアドレス、すなわちRFC1918空間を検討から除去することを含むが、これらのプレフィックスの厳密なフォーマットについてはいくらかの混同がある可能性がある。RFC1918の仕様自体に以下のように記載されている:
インターネット番号割当て機関(Internet Assigned Numbers Authority:IANA)は、プライベートインターネットのためにIPアドレス空間の以下の3つのブロックを確保した
10.0.0.0 -10.255.255.255(10/8プレフィックス)
172.16.0.0 -172.31.255.255(172.16/12プレフィックス)
192.168.0.0 -192.168.255.255(192.168/16プレフィックス)。
【0062】
残念ながら、172.0.0.0/8および192.0.0.0/8内のプレフィックスの偽の通知は、時としてプライベート部分の外側に現れる。オペレータの中にはこれらのはるかに大きなブロックをプライベートとして処理して、それらを顧客に割り当てている者もいるということもあり得る。これらを図らずも世間一般のインターネットにリークすると、他者がそれらをフィルタリングすることはなく、そうすべきでもないので、広く伝搬する傾向があった。
【0063】
たとえば、ウズパックネット(Uzpak Net)(AS8193)は、以前に、192.1.x.y/24という形式の13/24を通知した。これらのうちのいくつかは、BBNテクノロジーズ社(BBN Technologies Corporation)(AS11488)によって通知された192.1.8.0/22に含まれたいたため、このネットワークの具体的なハイジャックを構成していた。192.1.2.0/24のような他のリークされたプレフィックスは、通知されたプレフィックスの一部ではなかったため、ハイジャックを構成していなかった。これらのプレフィックスは、プライベートASN、すなわち8193_65000で終了するいくつかのAS経路を介して確認された。このことは、AS8193がこれらのブロックをプライベート空間として(プライベートASNを使用する)顧客に割り当て、(ピアリングセッションの少なくとも一部の際に)このような通知の伝搬を阻止するフィルタを単純にドロップしたことをさらに示唆している。以下で説明するように、これには、プライベートASNの確認を補完しようとするプロバイダのために偽のAS隣接性を生じさせるという残念な副作用もある。
【0064】
この形態のハイジャックは、実際にはフォールスポジティブではない。現に、ウズパックは、BBNをハイジャックし、全てのトラフィックを1つの/22に引き付けるようにハイジャックした。しかし、意図はどうみても悪意のあるものではなく、状況は素早く修正された。
【0065】
リーク
BGPリークは、一般に、BGPスピーカが、あたかも正当な発信元であるかのように他者から学習したルートを発信するときに発生する。これは、考えているよりも簡単である。なぜなら、内部ルーティングプロトコル(internal routing protocols:IGP)が、BGPに見られるAS経路を担持しないからである。したがって、プロバイダのIGP学習ルートは、BGPに再注入されると、このプロバイダを発信元としてグローバルインターネットに伝搬される。世界的影響を及ぼしたリークの最古の最も有名な例のうちの1つは、1997年に発生し、この時、AS7007(MAIネットワークサービス(MAI Network Services))は、そのルーティングテーブルのかなりの部分をインターネットに図らずもリークし、そのためルーティングブラックホールを生じさせた。リークされたルートは、インターネット上に元々存在していたルートよりも具体的であったため、このリークの結果、リークされたルートは、より好ましい経路になった。このようなリークは、それ以来定期的に発生している。
BGPリークは、一般に、BGPスピーカが、あたかも正当な発信元であるかのように他者から学習したルートを発信するときに発生する。これは、考えているよりも簡単である。なぜなら、内部ルーティングプロトコル(internal routing protocols:IGP)が、BGPに見られるAS経路を担持しないからである。したがって、プロバイダのIGP学習ルートは、BGPに再注入されると、このプロバイダを発信元としてグローバルインターネットに伝搬される。世界的影響を及ぼしたリークの最古の最も有名な例のうちの1つは、1997年に発生し、この時、AS7007(MAIネットワークサービス(MAI Network Services))は、そのルーティングテーブルのかなりの部分をインターネットに図らずもリークし、そのためルーティングブラックホールを生じさせた。リークされたルートは、インターネット上に元々存在していたルートよりも具体的であったため、このリークの結果、リークされたルートは、より好ましい経路になった。このようなリークは、それ以来定期的に発生している。
【0066】
多くのオペレータは、ピアリングセッションに対して最大プレフィックス数を設定するなど、明らかなリークを受け入れて伝搬させることを回避するための手段を講じている。しかし、このような制約が課されても、より限定的な範囲のリークが常に起こり得る。たとえば、アブハジア-ロシア共同モバイルプロバイダであるJV A-モバイル社(JV A-Mobile Ltd)(AS50257)は、以前に、9個のプレフィックスを通知し、全ては黒海周辺の地域にジオロケートされていた。(JV A-モバイルは、現在はより多くのプレフィックスを通知している。)しかし、ある日、JV A-モバイルは、さらなる19個のプレフィックスを通知し、全てはモバイルサービスに関連しており、イギリス、ブラジル、イタリア、トルコなどのさまざまな国にジオロケートされているように思われた。影響を受けたプレフィックスは全てがモバイルプロバイダに関連し、事象は数分だけ続いたことを考慮すると、これは、プライベートエクスチェンジにおけるGRXピアのリークであっただろう。
【0067】
リークの別の例として、通常は25個のプレフィックスを通知するネッドゾーンインターネット社(NedZone Internet BV)(AS25459)について考える。ある時、ネッドゾーンインターネットは、約2分間の間にさらなる339個のプレフィックスを通知した。リークされたプレフィックスのうちのいくつかがアマゾンおよびさまざまな金融サービス会社(たとえば、JPモルガンチェース、PNC銀行、HSBC銀行など)に属していたため、この事象は多少の注目を集めた。しかし、当該さらなるプレフィックスのうちの29個のプレフィックスのみが/24またはそれよりも大きく、このことは、それらがグローバルにルーティング可能であり得たことを暗に示している。残りの310個は、72/27および69/32(単一のIPアドレス)を含むより小さなプレフィックスであった。大半のプロバイダは、/24よりも小さないかなるプレフィックスもフィルタリングするので、リークされたプレフィックスの大半は、それほど遠くまで移動しなかった。しかし、このリークは、潜在的ハイジャックとして報告されるのに十分に長く、潜在的ハイジャックとして報告されるのに十分なピアによって確認された。事象の継続時間および圧倒的多数の小さなプレフィックスに注目することは、これらの通知が悪意のない可能性が最も高く、広範囲に及ぶものではなかったことを示唆するが、このような興味深いプレフィックス群のネッドゾーンの処理は説明されないままである。
【0068】
AS経路破損
時折、支離滅裂なAS経路は、存在しないエッジおよび/または偽の発信元を持ち込む場合がある。その結果、これは、関係が存在しないこの誤解を招くような情報に基づいて潜在的ハイジャックについての報告を生じさせる可能性がある。
時折、支離滅裂なAS経路は、存在しないエッジおよび/または偽の発信元を持ち込む場合がある。その結果、これは、関係が存在しないこの誤解を招くような情報に基づいて潜在的ハイジャックについての報告を生じさせる可能性がある。
【0069】
仮に顧客がそのルートをプライベートASNを介してそのプロバイダに通知したとする。このようなASNは、グローバルに固有であることが保証されていないので、プロバイダは、ルートをさらに伝搬させる前にこの発信元を取り除くべきであり、これにより同一のプライベートASNを使用する他のプロバイダの顧客がこれらの通知を確認することが可能になる。収集システムは、(あたかも実際の顧客であるかのように)そのピアから完全なルーティングテーブルを要求するので、依然としてこのようなプライベート発信元を確認することができるが、一般に、(恐らくプライベートASNを利用するプロバイダの顧客以外の)世界の他の地域は確認しないはずである。上記のように、これらのプライベート発信元は、固有であることを保証できず、したがって潜在的ハイジャックに関して意味がないので、取り除かれる。
【0070】
ここで、AS経路破損につながるプライベートASNの一例について考える。ある日、プレフィックス202.56.6.0/24がさまざまな時間にAS24389(グラミーンフォン社(GrameenPhone Ltd.))およびAS65000(プライベート)によって発信された。この日、これら2つの異なる発信元は、300個を超えるBGPピアによって受け入れられた。ハイジャック検出プロセス300を用いてこのデータを分析することにより、AS65000は取り除かれ、最初の非プライベートアップストリーム(この場合、AS24389)のみが考慮に入れられ、このことは、ハイジャックの事象がないことを暗に示している。
【0071】
ここで、全て同一の非常に短い時間内に確認され、受信された順序で表示される以下のルーティング通知について考える。
【0072】
【数2】
【0073】
最初の3つの通知は、プライベートASN65000がAS24389に隣接していることを暗に示していることに注目されたい。なぜなら、これら2つのASNは、隣同士に記載されているからである。収集システムは、これらのピアリングセッション(最初の列)からこのようなプライベートASNを確認しているはずはない。なぜなら、それらはAS24389の顧客ではないからである。その代わりに、ルートは、上に示される第4行目のように見えるはずであり、そこにはプライベートASNは存在せず、恐らくAS24389によって取り除かれている。
【0074】
最後に、示されている最後2つのルートでは、経路上の冒頭のASNは、ピアのものと同一であることが分かる。プライベートASNを有するルートを受信すると受け手が当該プライベートASNを自身のASNと交換することは道理にかなっている。これにより、今やコンフリクトは存在し得ないので、プライベートASNを使用する顧客のうちのいずれかが引き続きこのルートを確認することが確実になり、AS経路長が引き続き維持される。AS9503は、ニュージーランドからのFXネットワーク(FX Networks)であり、AS37958は、中国からの北京ブルーI.T.テクノロジーズ(Beijing Blue I.T. Technologies)である。AS経路を故意に破損させることは、インターネットインテリジェンスの観点からは望ましくないが、この置換を生じさせたように思われるのは、グラミーンフォンがプライベートASNをフィルタリングし損ねたことであった。そして、このプレフィックスが新たな非プライベート発信元を有しているように見えたので、これは、ハイジャック特定プロセス300を用いて潜在的ハイジャック警告を発生させる。上記のように、このように行動することが知られているプロバイダを補完することにより、このようなフォールスポジティブの可能性が減少する。
【0075】
隠れた新たな関係
インターネット正確性の先験的知識が存在しないので、システムおよびプロセスは、世界中どこでもルーティングハイジャックを発見するという問題に取り組むために過去のBGPルーティングデータおよびAS関係情報に依拠している。当然のことながら、新たな取引関係が出現するたびに、当該取引関係はフォールスポジティブを報告する可能性を生じさせる。これは大部分は不可避であるが、事前のルーティングが目に見える関係の何らかのヒントがあれば、このような変更を発見して報告から取り除くようにルールを設計することができる。
インターネット正確性の先験的知識が存在しないので、システムおよびプロセスは、世界中どこでもルーティングハイジャックを発見するという問題に取り組むために過去のBGPルーティングデータおよびAS関係情報に依拠している。当然のことながら、新たな取引関係が出現するたびに、当該取引関係はフォールスポジティブを報告する可能性を生じさせる。これは大部分は不可避であるが、事前のルーティングが目に見える関係の何らかのヒントがあれば、このような変更を発見して報告から取り除くようにルールを設計することができる。
【0076】
全く新しいルーティング挙動では、ハイジャック特定プロセスは、真に悪意のある行為が存在しない場合に潜在的ハイジャックを引き続き報告し得る。新たな関係のよい例については、DDoS軽減サービスに関して上記されている。企業は、ある日はこのようなサービスを使用しておらず、次の日は使用している。実際上は、DDoS軽減プロバイダは、企業のプレフィックスを「ハイジャック」しているが、意図は悪意のあるものではない。そして、ハイジャック特定プロセスは、ハイジャックを報告し、それをDDoS起動と呼ぶ。
【0077】
別の例として、異種のように思われる組織は、データの中に目に見える関係を持っていないかもしれず、または協力する明確な理由さえ持っていないかもしれない。204.128.222.0/24を発信する、モバイル・エリア・チェンバー・オブ・コマース(Mobile Area Chamber of Commerce)に登録されたアラバマ州モービルのキャリス・コミュニケーションズ(Callis Communications)(AS17099)について考える。ある時、それは、過去に唯一の発信元であったAT&T(AS7018)によっても発信され、ハイジャック特定プロセスによって潜在的ハイジャックとしてとらえられることができた。
【0078】
これら2つのエンティティの間にはルーティングの点で明確な関係がないが、少し調査すると卸電気通信契約の証拠が発見された。現在では、キャリス・コミュニケーションズのみがこのプレフィックスを発信しているため、AT&Tから移行したように見える。このことは特に疑わしいことでも驚くべきことでもないが、ルーティングに現れる前に識別する(したがって、取り除く)ことは困難であろう。このようなフォールスポジティブは、恐らく地方または地域の取引協定のために、大きな組織とはるかに小さな組織との間では一般的である。
【0079】
この手のフォールスポジティブは、ハイジャック報告において同一の国におけるASと異なる国におけるASとを区別することによって、フラグを立てることができる。たとえば、同一の国に関係する潜在的ハイジャックに対する異なる国に関係する潜在的ハイジャックを調査することに対してより高い優先度が置かれてもよい。厳密に同一の国内のAS間で発生する全てのハイジャックを取り除くことにより、報告される事象の数はさらに減少するであろう。
【0080】
ASセット
BGP更新情報におけるAS_PATH属性は、2つの異なるデータタイプ、すなわちAS_SEQUENCEまたははるかに一般的でないAS_SET、を備え得る。AS_SETは、順序付けられていないAS群を表わし、AS_SEQUENCEとは異なって、セットから直接隣接性を推測することができない。たとえば、AS番号の装飾されていないシーケンスとして示される単一のAS_SEQUENCEで構成される以下のAS_PATH:174 209について考える。プリペンドの可能性は無視して、この経路は、恐らく、その発信元、すなわちAS209から直接渡された、AS174によって我々と共有されるルートを表わす。すなわち、174_209は、単一のBGPエッジを表わす(これはかなりまれであろうが、AS174は、経路の先頭にAS209を追加してBGPのループ検出を起動し得て、これにより、AS209のボーダーにおいてルートが無視されるであろう。(学問的なBGP MITM攻撃において実証され、時としてトラフィックエンジニアリングに用いられる)このすばらしい技術は、AS209がルートを知ることを防ぐであろう)。
BGP更新情報におけるAS_PATH属性は、2つの異なるデータタイプ、すなわちAS_SEQUENCEまたははるかに一般的でないAS_SET、を備え得る。AS_SETは、順序付けられていないAS群を表わし、AS_SEQUENCEとは異なって、セットから直接隣接性を推測することができない。たとえば、AS番号の装飾されていないシーケンスとして示される単一のAS_SEQUENCEで構成される以下のAS_PATH:174 209について考える。プリペンドの可能性は無視して、この経路は、恐らく、その発信元、すなわちAS209から直接渡された、AS174によって我々と共有されるルートを表わす。すなわち、174_209は、単一のBGPエッジを表わす(これはかなりまれであろうが、AS174は、経路の先頭にAS209を追加してBGPのループ検出を起動し得て、これにより、AS209のボーダーにおいてルートが無視されるであろう。(学問的なBGP MITM攻撃において実証され、時としてトラフィックエンジニアリングに用いられる)このすばらしい技術は、AS209がルートを知ることを防ぐであろう)。
【0081】
ここで、1つのAS_SEQUENCEの後にAS_SETが続き、後者は波括弧の中のAS番号セットによって示される、わずかに複雑なAS_PATH:174{1982,32834}について考える。これはどのように解釈されるべきであろう?BGP仕様によって、ASNの順序付けを判断することはできず、そのため、以下のエッジセットのうちのどれが正しいかを知ることはできない。
【0082】
【数3】
【0083】
歴史的理由から、処理済みデータにおいて、ハイジャック特定プロセス300は、ASセットがあたかもシーケンスであるかのようにASセットを処理するため、オプション(5)が上記のリストから選択される。代わりに他の解釈のうちのいずれかが正しい場合、報告は偽のエッジを含むか、またはエッジが欠落しているであろう。残念ながら、この問題に対する現実的な解決策はない。発信元ハイジャックを探すときには、全ての考えられるエッジがフォールスネガティブを生じさせる可能性があると想定する。これらのエッジがいずれも存在しないと想定することが、フォールスポジティブを生じさせ得る。ASセットがAS経路の最後に現れる場合、プレフィックスの発信元は、単純に曖昧である。幸いなことに、ASセットはめったに使用されないが、データの中には存在しており、潜在的ハイジャックを評価する際には(たとえば、分析者によって)考慮に入れられる必要があるだろう。
【0084】
ハイジャック報告
報告は、人間が読み取ることができる形式で(ファイルでまたは電子メールによって配信される)、およびJSONで、たとえば毎日特定の時間に、生成され得る。報告の中のASNおよびプレフィックスは、人間によって入力されてエラーを起こしやすいであろう登録データから導き出されたラベルを特定することによって特定され得る。
報告は、人間が読み取ることができる形式で(ファイルでまたは電子メールによって配信される)、およびJSONで、たとえば毎日特定の時間に、生成され得る。報告の中のASNおよびプレフィックスは、人間によって入力されてエラーを起こしやすいであろう登録データから導き出されたラベルを特定することによって特定され得る。
【0085】
一例として、新たな具体的なプレフィックスについての警告を含む以下の報告について考える。
【0086】
【数4】
【0087】
これは、ルーマニアのSCテクノグループSRL(SC Tehnogrup SRL)として登録されているAS198596が、他者によってルーティングされたプレフィックスの2つの具体的なプレフィックス(/24)を通知したことを示している。これらのより大きなプレフィックスは両方ともたまたま/21であり、一方は、AS1103、すなわちオランダのサーフネット(SURFnet)によって通知され、402個のピアによって確認され、他方は、AS4780、すなわち台湾のデジタルユナイテッド(Digital United)によって通知され、406個のピアによって確認される。これらのカバリングプレフィックスは両方とも、対象の日に一日中にわたって、すなわちそれらを確認する全てのピアにわたって平均24時間にわたって、確認された。
【0088】
この報告の中の第1のハイジャックされた/24は、オランダ基礎エネルギ研究所に登録され、1日のうちで平均0.88時間にわたって401個のピアによって確認された。第2のハイジャックされた/24は、ほぼ同じ長さの時間であるが402個のピアによって確認された。このプレフィックスの奇数登録ラベルおよび第1のハイジャックについてのサーフネット/21の欠落している登録ラベルに注目されたい。このようにして、これらのエンティティはRIPEおよびAPNICデータベースに現れる。
【0089】
同一の報告からのMOAS警告が次に示される。
【0090】
【数5】
【0091】
この報告フラグメントは、オランダのプロバイダであるリーダーテレコム(LeaderTelecom)が2つの/24を通知し、それらは両方ともロシアのベレロフォン(Bellerofont)によって通知されていることを示している。これは、それらがたまたま46.243.160.0/21および46.243.184.0/21という隣接するプレフィックスも通知するので、リーダーテレコムによるエラーを表わし得るか、または何らかの正当な取り決めを表わし得る。リーダーテレコムは、ロシアのプレフィックスを通過させるが、ルーティングの点でベレロフォンとは明白な関係がない。それでも、この日一日、これらの/24は、一日の大半にわたってさまざまな組織によって発信され、さまざまなルーティングピアセットが各々を選択した。
【0092】
新たなDDoS保護プレフィックスの一例として、以下の報告について考える。
【0093】
【数6】
【0094】
これは、ニュースター(NeuStar)が出会い系サイトであるMatch.comを含むさまざまな組織のための7個の新たなプレフィックスをルーティングしていることを示している。
【0095】
最後に、以下は、過去にルーティングされていない通知についての報告のスニペットである。
【0096】
【数7】
【0097】
このスニペットは、ブルガリアからのデシジョン・マーケティング(Decision Marketing)が、他の組織および国に関連付けられたさまざまな過去に通知されていない空間を通知していることを示している。
【0098】
潜在的ハイジャックを検出することによって、ハイジャックの被害者に知らせることができる。被害者は、ハイジャック犯を阻止することができ、または偽の通知をフィルタリングするようにアップストリームおよび/もしくはホスティングセンタに警告することができる。いくつかの極端な例では、悪質な行為者を完全に休業させることができる。
【0099】
結論
さまざまな本発明の実施形態について本明細書において記載し説明してきたが、当業者は、機能を実行するため、および/または、結果および/または本明細書に記載されている利点のうちの1つ以上を得るためのさまざまな他の手段および/または構造を容易に想定し、このような変更例および/または変形例の各々は、本明細書に記載されている本発明の実施形態の範囲の範囲内であると見なされる。より一般的には、本明細書に記載されている全てのパラメータ、寸法、材料および構成は例示的であるよう意図されており、実際のパラメータ、寸法、材料および/または構成は、本発明の教示が用いられる特定の用途に依存する、ということを当業者は容易に理解するであろう。当業者は、通常の実験を用いて、本明細書に記載されている特定の本発明の実施形態との多くの等価物を認識する、または確認することができるであろう。したがって、上記の実施形態は、一例として提示されているに過ぎず、添付の特許請求の範囲およびその等価物の範囲内で、本発明の実施形態は、具体的に記載されクレームされている態様とは異なる態様で実施されてもよい、ということが理解されるべきである。本開示の本発明の実施形態は、本明細書に記載されている各々の個々の特徴、システム、物品、材料、キットおよび/または方法に向けられる。また、2つ以上のこのような特徴、システム、物品、材料、キットおよび/または方法の任意の組み合わせは、このような特徴、システム、物品、材料、キットおよび/または方法が相互に矛盾していなければ、本開示の本発明の範囲の範囲内に包含される。
さまざまな本発明の実施形態について本明細書において記載し説明してきたが、当業者は、機能を実行するため、および/または、結果および/または本明細書に記載されている利点のうちの1つ以上を得るためのさまざまな他の手段および/または構造を容易に想定し、このような変更例および/または変形例の各々は、本明細書に記載されている本発明の実施形態の範囲の範囲内であると見なされる。より一般的には、本明細書に記載されている全てのパラメータ、寸法、材料および構成は例示的であるよう意図されており、実際のパラメータ、寸法、材料および/または構成は、本発明の教示が用いられる特定の用途に依存する、ということを当業者は容易に理解するであろう。当業者は、通常の実験を用いて、本明細書に記載されている特定の本発明の実施形態との多くの等価物を認識する、または確認することができるであろう。したがって、上記の実施形態は、一例として提示されているに過ぎず、添付の特許請求の範囲およびその等価物の範囲内で、本発明の実施形態は、具体的に記載されクレームされている態様とは異なる態様で実施されてもよい、ということが理解されるべきである。本開示の本発明の実施形態は、本明細書に記載されている各々の個々の特徴、システム、物品、材料、キットおよび/または方法に向けられる。また、2つ以上のこのような特徴、システム、物品、材料、キットおよび/または方法の任意の組み合わせは、このような特徴、システム、物品、材料、キットおよび/または方法が相互に矛盾していなければ、本開示の本発明の範囲の範囲内に包含される。
【0100】
上記の実施形態は、多数の方法のうちのいずれかの方法で実現可能である。たとえば、本明細書に開示されている技術を設計および製作する実施形態は、ハードウェア、ソフトウェアまたはそれらの組み合わせを用いて実現されてもよい。ソフトウェアで実現される場合には、単一のコンピュータに設けられていようと複数のコンピュータに分散されていようと、任意の好適なプロセッサまたはプロセッサの集合体上でソフトウェアコードを実行することができる。
【0101】
さらに、コンピュータは、ラックマウント式コンピュータ、デスクトップコンピュータ、ラップトップコンピュータまたはタブレットコンピュータなどの複数の形態のうちのいずれかの形態で実施されてもよいということが理解されるべきである。また、コンピュータは、一般にはコンピュータと見なされていないが、パーソナルデジタルアシスタント(Personal Digital Assistant:PDA)、スマートフォン、またはその他の好適な携帯型もしくは固定式電子デバイスを含む、好適な処理能力を有するデバイスの状態で実施されてもよい。
【0102】
また、コンピュータは、1つ以上の入力および出力デバイスを有していてもよい。これらのデバイスは、とりわけユーザインターフェイスを表示するために用いることができる。ユーザインターフェイスを提供するために用いることができる出力デバイスの例としては、出力を視覚的に表示するためのプリンタまたはディスプレイ画面、および、出力を可聴式に提供するためのスピーカまたは他の音を発生させるデバイスが挙げられる。ユーザインターフェイスに用いることができる入力デバイスの例としては、キーボード、ならびに、マウス、タッチパッドおよびデジタイジングタブレットなどのポインティングデバイスが挙げられる。別の例として、コンピュータは、音声認識を介してまたは他の可聴式のフォーマットで入力情報を受信してもよい。
【0103】
このようなコンピュータは、ローカルエリアネットワークまたは企業ネットワークなどのワイドエリアネットワーク、およびインテリジェントネットワーク(intelligent network:IN)またはインターネットを含む任意の好適な形態の1つ以上のネットワークによって相互接続されてもよい。このようなネットワークは、任意の好適な技術に基づいていてもよく、任意の好適なプロトコルに従って動作してもよく、無線ネットワーク、有線ネットワークまたは光ファイバネットワークを含んでもよい。
【0104】
本明細書に記載されているさまざまな方法またはプロセス(たとえば、上に開示した技術を設計および製作する方法またはプロセス)は、さまざまなオペレーティングシステムまたはプラットフォームのうちのいずれか1つを利用する1つ以上のプロセッサ上で実行可能なソフトウェアとして符号化されてもよい。また、このようなソフトウェアは、複数の好適なプログラミング言語および/またはプログラミングもしくはスクリプティングツールのうちのいずれかを用いて書かれてもよく、フレームワークまたはバーチャルマシン上で実行される実行可能な機械語コードまたは中間コードとしてコンパイルされてもよい。
【0105】
この点において、さまざまな本発明の概念は、1つ以上のコンピュータまたは他のプロセッサ上で実行されたときに上記の本発明のさまざまな実施形態を実現する方法を実行する1つ以上のプログラムで符号化されたコンピュータ読取可能記憶媒体(または、複数のコンピュータ読取可能記憶媒体)(たとえば、コンピュータメモリ、1つ以上のフロッピー(登録商標)ディスク、コンパクトディスク、光ディスク、磁気テープ、フラッシュメモリ、フィールドプログラマブルゲートアレイもしくは他の半導体装置における回路構成、または他の非一時的な媒体もしくは有形のコンピュータ記憶媒体)として実施されてもよい。コンピュータ読取可能媒体は、可搬式であり得るため、そこに格納されたプログラムを1つ以上の異なるコンピュータまたは他のプロセッサにロードして上記の本発明のさまざまな局面を実現することができる。
【0106】
「プログラム」または「ソフトウェア」という用語は、本明細書では一般的な意味で用いられており、上記のように実施形態のさまざまな局面を実現するようにコンピュータまたは他のプロセッサをプログラムするために利用することができる任意のタイプのコンピュータコードまたはコンピュータによって実行可能な命令セットを意味する。また、一局面に従って、実行されたときに本発明の方法を実行する1つ以上のコンピュータプログラムは、単一のコンピュータまたはプロセッサに存在する必要はなく、モジュール式の態様で複数の異なるコンピュータまたはプロセッサに分散されて本発明のさまざまな局面を実現してもよい、ということが理解されるべきである。
【0107】
コンピュータによって実行可能な命令は、1つ以上のコンピュータまたは他のデバイスによって実行されるプログラムモジュールなどの多くの形態であってもよい。一般に、プログラムモジュールは、特定のタスクを実行するかまたは特定の抽象データタイプを実現するルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。通常、プログラムモジュールの機能は、さまざまな実施形態において所望のごとく組み合わせられたり、分散されたりし得る。
【0108】
また、データ構造は、任意の好適な形態でコンピュータ読取可能媒体に格納され得る。説明を簡単にするために、データ構造は、データ構造内の場所を介して関係付けられるフィールドを有するように示され得る。このような関係は、同様に、フィールド間の関係を伝えるコンピュータ読取可能媒体内の場所をフィールドのストレージにあてがうことによって実現することができる。しかし、ポインタ、タグ、またはデータ要素間の関係を確立する他の機構の使用によるものを含む任意の好適な機構を用いて、データ構造のフィールド内の情報間の関係を確立してもよい。
【0109】
また、さまざまな本発明の概念は、1つ以上の方法として実施され得て、当該1つ以上の方法の一例が提供されている。方法の一部として実行される行為は、任意の好適な方法で順序付けされてもよい。したがって、例示的な実施形態には順次的な行為として示されていても、いくつかの行為を同時に実行することを含み得る、示されている順序とは異なる順序で行為が実行される実施形態が構築されてもよい。
【0110】
本明細書において規定され用いられる全ての定義は、辞書的定義、引用によって援用される文書における定義、および/または、定義された用語の普通の意味を支配するものと理解されるべきである。
【0111】
明細書および特許請求の範囲で用いられる不定冠詞「a」および「an」は、明らかにそれとは反対の指示がない限り、「少なくとも1つ」を意味するものと理解されるべきである。
【0112】
明細書および特許請求の範囲で用いられる「および/または」という句は、等位接続された要素の「どちらか一方または両方」、すなわち、接続的に存在している場合もあれば離接的に存在している場合もある要素、を意味するものと理解されるべきである。「および/または」を用いて列挙された複数の要素は、同じように解釈されるべきであり、すなわち、等位接続された要素のうちの「1つ以上」であると解釈されるべきである。「および/または」という節によって具体的に特定される要素以外の他の要素が、具体的に特定されるそれらの要素に関係していようと無関係であろうと、任意に存在してもよい。したがって、非限定的な例として、「Aおよび/またはB」への言及は、「備える」などのオープンエンドの用語とともに用いられるとき、一実施形態では、Aのみである(任意にB以外の要素を含む)ことを意味し得て、別の実施形態では、Bのみである(任意にA以外の要素を含む)ことを意味し得て、さらに別の実施形態では、AおよびBの両方である(任意に他の要素を含む)ことを意味し得る、などである。
【0113】
明細書および特許請求の範囲で用いられる「または」は、上記のように「および/または」と同一の意味を有するものと理解されるべきである。たとえば、リストの中の項目を分ける際、「または」または「および/または」は、包含的である、すなわち、複数または多数の要素のうちの少なくとも1つの要素を含むが、複数または多数の要素のうちの2つ以上の要素も含み、列挙されていないさらなる項目も任意に含むものとして解釈される。「のうちの1つだけ」または「のうちのまさに1つ」、または特許請求の範囲で用いられる「からなる」などの、明らかにそれと矛盾する用語のみが、複数または多数の要素のうちのまさに1つの要素を含むことを意味する。一般に、本明細書で用いられる「または」という用語は、「どちらか一方」、「のうちの1つ」、「のうちの1つだけ」または「のうちのまさに1つ」などの排除の用語が前に付くときにのみ排他的選択肢(すなわち、「一方または他方であるが、両方ではない」)を示すものとして解釈される。特許請求の範囲で用いられる「本質的に~からなる」は、特許法の分野で用いられる普通の意味を有するものとする。
【0114】
明細書および特許請求の範囲で用いられる「少なくとも1つ」という句は、1つ以上の要素のリストを参照して、当該要素のリストの中のいずれか1つ以上の要素から選択された少なくとも1つの要素を意味するが、必ずしも当該要素のリストに具体的に列挙されている全ての要素のうちの少なくとも1つを含む訳ではなく、当該要素のリストの中の要素の任意の組み合わせを排除するものではない、ということが理解されるべきである。また、この定義により、「少なくとも1つ」という句が指す、当該要素のリストに具体的に特定される要素以外の要素が、具体的に特定されるそれらの要素に関係していようと無関係であろうと、任意に存在してもよいことになる。したがって、非限定的な例として、「AおよびBのうちの少なくとも1つ」(または同等に「AまたはBのうちの少なくとも1つ」、または同等に「Aおよび/またはBのうちの少なくとも1つ」)は、一実施形態では、少なくとも1つのAであって、任意に2つ以上のAを含み、Bは存在しない(任意にB以外の要素を含む)ことを意味し得て、別の実施形態では、少なくとも1つのBであって、任意に2つ以上のBを含み、Aは存在しない(任意にA以外の要素を含む)ことを意味し得て、さらに別の実施形態では、少なくとも1つのAであって、任意に2つ以上のAを含み、少なくとも1つのBであって、任意に2つ以上のBを含む(任意に他の要素を含む)ことを意味し得る、などである。
【0115】
特許請求の範囲および上記の明細書において、「備える」、「含む」、「担持する」、「有する」、「含有する」、「伴う」、「保持する」、「で構成される」などの移行句は全て、オープンエンドである、すなわち、含むがそれに限定されないということを意味するものと理解されるべきである。米国特許庁特許審査便覧のセクション2111.03に記載されているように、「からなる」および「本質的に~からなる」という移行句のみがそれぞれクローズドまたはセミクローズド移行句であるものとする。
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図5】