Le sujet des usurpations de préfixes en BGP (en anglais BGP hijacking) est récemment revenu au goût du jour à travers différents rapports publics décrivant leurs utilisations dans un but offensif. Cet article propose de faire le point sur ce sujet en commençant par des rappels sur BGP et le contexte des usurpations récentes. Il décrit ensuite les mécanismes de détection et de prévention qu'il est possible de mettre en œuvre.
1. Comment fonctionne BGP ?
Défini dans la RFC4271, le protocole de routage BGP (pour Border Gateway Protocol) est fondamental au bon fonctionnement de l’Internet. Il est utilisé par tous ses acteurs (opérateurs, hébergeurs ou fournisseurs de services) majeurs pour échanger leurs préfixes IP et ceux de leurs clients. Cet échange particulier est appelé « annonce de préfixes », et indique qu'un acteur est capable de recevoir du trafic pour ces adresses IP, ou de le transférer à un client.
En pratique, un numéro unique, le numéro d’AS (pour Autonomous System), est associé à chaque acteur. Il permet de savoir qui annonce quels préfixes. Ces acteurs sont interconnectés deux à deux à l’aide d’une session BGP point à point dédiée, à travers laquelle sont échangées les annonces de préfixes. À la réception de ces annonces, un AS ajoute son propre numéro et les transfère à ses pairs. Il est ainsi possible de savoir par quels AS ont transité les...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[OBSERVATOIRE-2015] Rapport 2015 de l’observatoire de la résilience de l’Internet français, https://www.ssi.gouv.fr/observatoire
[GUIDE-BGP] Bonnes pratiques de configuration de BGP, https://www.ssi.gouv.fr/uploads/IMG/pdf/guide_configuration_BGP.pdf
[DEFCON2008] Stealing the Internet, https://www.defcon.org/images/defcon-16/dc16-presentations/defcon-16-pilosov-kapela.pdf
[WIKIPEDIA-HACKINGTEAM] Hacking Team, https://fr.wikipedia.org/wiki/Hacking_Team
[WIKILEAKS-HACKINGTEAM] Hacking Team, https://www.wikileaks.org/hackingteam/emails/
[WIKIPEDIA-ROS] Raggruppamento operativo speciale, https://fr.wikipedia.org/wiki/Raggruppamento_operativo_speciale
[BGPMON-HACKINGTEAM] How Hacking Team Helped Italian Special Operations Group with BGP Routing Hijack, https://bgpmon.net/how-hacking-team-helped-italian-special-operations-group-with-bgp-routing-hijack/
[RENESYS-MITM] The New Threat : Targeted Internet Traffic Misdirection, http://research.dyn.com/2013/11/mitm-internet-hijacking/
[SECUREWORKS-COINS] BGP Hijacking for Cryptocurrency Profit, https://www.secureworks.com/research/bgp-hijacking-for-cryptocurrency-profit
[DYN-SPAM] The Vast World of Fraudulent Routing, http://research.dyn.com/2015/01/vast-world-of-fraudulent-routing/
[KREBS] Série d’articles de Brian Krebs sur la société vDoS, http://krebsonsecurity.com/2016/09/israeli-online-attack-service-vdos-earned-600000-in-two-years/, https://krebsonsecurity.com/2016/09/ddos-mitigation-firm-has-history-of-hijacks/
[NANOG-BACKCONNECT] « Defensive » BGP hijacking ?, http://mailman.nanog.org/pipermail/nanog/2016-September/087902.html
[DYN-BACKCONNECT] BackConnect’s Suspicious BGP Hijacks, http://research.dyn.com/2016/09/backconnects-suspicious-bgp-hijacks/
[RIS] RIS Raw Data, https://www.ripe.net/analyse/internet-measurements/routing-information-service-ris/ris-raw-data
[ROUTEVIEWS] Route Views Project, http://www.routeviews.org/
[MANRS] Mutually Agreed Norms for Routing Security, https://www.routingmanifesto.org/manrs