Etude et validation de l'application du paradigme des pots de miel aux attaques visant les protocoles de routage

Transcription

1 Institut de la Francophonie pour l Informatique Institut Eurécom Sophia Antipolis Mémoire de fin d études Etude et validation de l'application du paradigme des pots de miel aux attaques visant les protocoles de routage Réalisé par LA Chi Anh (Promotion 10 IFI) Sous la direction de Marc DACIER Guillaume URVOY-KELLER (Institut Eurécom) Sophia Antipolis, Septembre 2006

2 Table des matières Table des matières...2 Liste des figures... 5 Liste des tableaux...6 Remerciements...7 Résumé...8 CHAPITRE 1 INTRODUCTION Problématique Motivation Méthode de travail Environnement de travail Contribution...12 CHAPITRE 2 ETAT DE L ART Les problèmes des protocoles de routage Authenticité et intégrité des échanges de routes Délai de convergence et instabilité Boucles de routage Croissance de la table de routage Mauvaises configurations Les attaques visant le routage Falsification d annonces Modification d attributs de préférence de trafic Désagrégation de préfixe Modification d attributs de préférence Insertion de fausses annonces Falsification d origine d un préfixe Insertion de retraits Insertion périodique d annonces et de retraits Insertion de messages de notification ou messages mal formés Rétention d annonces Création de boucles Isolation d un réseau

3 2.3. Inondation d annonces Empoisonnement de table de routage Épuisement de ressources de routeur Les attaques indirectes Les attaques TCP TCP SYN et TCP RESET Falsification de messages d erreur ICMP Les attaques ARP Détection d attaques visant les protocoles de routage Détection basée sur la signature Détection basée sur les statistiques Détection par l apprentissage Détection par l analyse en ondelettes Détection basée sur la topologie Détection par la visualisation Les approches de renforcement de protocoles de routage Les règles de filtrage Les approches de sécurité pour BGP S-BGP (Secure BGP) sobgp (Secure Origin BGP) psbgp (Pretty Secure BGP) pgbgp (Pretty Good BGP) Mécanisme «Listen and Whisper» Autres méthodes d authentification de BGP...24 CHAPITRE 3 LA FAISABILITE DES ATTAQUES VISANT LES PROTOCOLES DE ROUTAGE Arbre des attaques de routage Attaques visant RIP Attaques visant OSPF Attaques visant BGP Validation de la faisabilité des attaques de routage La modification d attributs de préférence L insertion de messages de routage La rétention de messages de routage L inondation de messages Les attaques indirectes

4 CHAPITRE 4 VALIDATION DE L'APPLICATION DU PARADIGME DES POTS DE MIEL AUX ATTAQUES SUR LE ROUTAGE Analyse de données d attaques vers les pots de miel du projet Leurré.com L architecture du système de pots de miel Leurré.com Les tentatives vers les ports et les protocoles de routage Les tentatives de reconnaître un routeur par traceroute/tracert La détection de boucles par les messages ICMP type 11 code Analyse de résultat du déploiement d un «routeur de miel» au sein d Eurécom Modèle de déploiement du «routeur de miel» avec Netflow Les informations Netflow récupérées par le «routeur de miel» Validation de l approche de «routeur de miel» dans la détection d attaques de routage...39 Conclusion et perspectives...42 Références...43 Termes et abréviations

5 Liste des figures Figure 3.1. Arbre des attaques visant RIP...26 Figure 3.2. Arbre des attaques visant OSPF...27 Figure 3.3. Le mécanisme RFD...29 Figure 3.4. Arbre des attaques visant BGP Figure 3.5. L utilisation de «AS padding» pour équilibrer le trafic...31 Figure 3.6. Le nombre de noeuds changés dans les routes observées sur PlanetLab..33 Figure 3.7. La distribution de la longueur des préfixes (Route-Views)...34 Figure 4.1. L architecture du système de pots de miel Leurré.com Figure 4.2. La tendance d augmentation des paquets ICMP 11 vers Leurré.com Figure 4.3. La distribution géographique des adresses IP de routeurs qui envoient ICMP 11 à Leurré.com...37 Figure 4.4. Le modèle de déploiement d un routeur de miel Netflow Figure 4.5. Le modèle de déploiement d un routeur de miel Figure 4.6. Le système IDS de routage Netflow

6 Liste des tableaux Table 3.1. L utilisation d attributs de préférence dans un mois (Route-Views) Table 3.2. La distribution de la longueur des AS paddings (Route-Views)...32 Table 4.1. Les tentatives de communication de routage vers Leurré.com Table 4.2. Les tentatives de traceroute/tracert vers Leurré.com...36 Table 4.3. Les tentatives d attaque vers le routeur de miel...39 Table 4.4. La capacité de détecter des attaques de routage par «routeur de miel» et IDS Netflow

7 Remerciements Je remercie M. Marc Dacier et M. Guillaume Urvoy-Keller, professeurs de l Eurecom pour leur direction sur un sujet de recherche très intéressant. Je tiens à exprimer ma reconnaissance pour leurs conseils et encouragements qui ont facilité mon travail. Je tiens à remercier M. Ho Tuong-Vinh et toutes les personnes de l IFI et de l Eurécom de m avoir aidé au cours de mon stage. Je voudrais également remercier ma mère et les membres de ma famille qui m ont supporté et encouragé énormément pendant mes séjours en France. Enfin, je remercie M. Guillaume Urvoy-Keller qui m'a aidé à corriger des erreurs de raisonnement et des fautes orthographes dans ce rapport. 7

8 Résumé Depuis longtemps, l infrastructure de routage sur l Internet a été considérée très vulnérable à plusieurs types d attaque. L attaque contre des protocoles de routage, surtout le protocole de routage «inter-domaine» BGP, peux affecter globalement la connectivité de réseau et causer de grands dommages à l économie. En attaquant des routeurs BGP, les criminels de réseau arriveront à causer le déni d accès (blackholing), la déconnexion, la redirection de trafic, la modification de données et l instabilité de communication. Ce rapport mentionne les types d attaque sur l infrastructure de routage et valide leur faisabilité, ensuite donne une évaluation sur l approche de «pots de miel» pour les détecter. Ce rapport se compose de 4 chapitres. D abord le premier chapitre présente une introduction sur le problème de sécurité dans le routage. Le deuxième chapitre va aborder les problèmes de routage, les types d attaque, les techniques de détection et les approches de sécurité récemment proposées. Le troisième chapitre est une analyse détaillée sur les vulnérabilités de l infrastructure de routage et les possibilités d attaque accompagnées par leur menace en réalité. Le quatrième chapitre valide les enjeux d une approche de pots de miel «honeyrouter» pour détecter les attaques mentionnées. Mots clés : sécurité de routage, attaque BGP, pots de miel, système de détection d'intrusions 8

9 Abstract Internet routing infrastructure has been considered strictly vulnerable to several types of attacks. Routing attacks, especially against the interdomain routing protocol like BGP, can globally affect network connectivity and cause great damage to economic activities. While attacking BGP routers, the criminals have the possibility to cause blackholing, loss of connectivity, instability, traffic redirection or even data modification. This report mentions routing infrastructure attacks and validates their feasibility, then gives an evaluation on the honeypot approach to detect them. This report is composed of 4 chapters. The first chapter presents an introduction to the security problem in routing. The second chapter outlines routing issues, attack possibilities, anomalies detection and current security approaches. The third chapter describes in detail the routing infrastructure vulnerabilities and the possibilities of attack accompanied by their threats in reality. The fourth chapter considers and validates the stakes of a honeypot approach (honeyrouter) to detect routing attacks. Keywords: routing security, BGP attack, honeypot, IDS 9

10 Chapitre 1 Introduction 1. Problématique De nos jours, l'internet joue un rôle de plus en plus important dans tous les secteurs économiques. Les transactions entre les entreprises dépendent la plupart de ce moyen de communication. Ainsi la taille de ce réseau s'agrandit de façon que protéger sa connectivité et sa confidentialité devient une tâche difficile et compliquée. L'infrastructure de routage contient plusieurs vulnérabilités comme les architectes de l'internet n'ont pas prévu la croissance rapide de ce réseau global. Afin de déterminer dynamiquement le chemin pour un paquet, les routeurs communiquent les uns avec les autres des informations sur le routage. Mais il est possible que pour faciliter la flexibilité ou pour simplifier le travail, il n'existe pas par la nature des mécanismes efficaces pour vérifier l'authenticité et la validité de ces informations. Un routeur sur l'internet a donc tout le droit de diffuser des fausses annonces qui sont capables de interrompre la connexion, rediriger le trafic ou causer l'instabilité permanent dans le réseau. Les attaques visant les routeurs, peu importe pour gagner le contrôle d'un routeur ou intervenir directement le protocole de routage, représentent une grave menace en réalité. Les protocoles de routage se classifie en 2 types selon la taille du réseau qu'ils desservent: intra-domaine (RIP, OSPF...) et inter-domaine (BGP Border Gateway Protocol). BGP est un protocole de facto basant sur le vecteur de chemin (path vector based protocol) très utilisé depuis la dernière décennie. Il assure la communication des routes entre les systèmes autonomes AS (par exemple des fournisseurs de service d'internet ISP). Son fonctionnement est basée sur la confiance entre les ISP donc il n'assure pas la validité des annonces de routage entre les routeurs. Un fois de gagner le contrôle d'un routeur BGP, l'attaquant peut exploiter BGP en annonçant les itinéraires faux afin de rediriger le trafic à une destination incorrecte. L'attaque visant le protocole BGP peut affecter globalement des machines sur l'internet. Bien qu'il n'y ait pas encore d'attaque contre BGP qui a été publiquement documentée jusqu'a maintenant, on a reconnu des mauvaises configurations de BGP qui ont posé les mêmes problèmes d'une telle attaque: Le 25 avril 1997 le système autonome (AS) numéro 7007 a diffusé les annonces incorrectes indiquant qu'il a eu le meilleur chemin à plusieurs destinations. Le 7 avril 1998, AS 8584 a annoncé environ préfixes (les adresses de réseau) qu'il n'a pas possédés. Le 6 avril 2001 AS a répété la même erreur en annonçant environ préfixes qu'il n'a pas possédés. La connectivité de plusieurs réseaux sur l'internet a été interrompue pendant plusieurs heures à cause de ces incidents [1]. La panne du moteur de recherche Google le 7 mai 2005 ont été suspectée d'être causée par les fausses annonces BGP de AS 174 [2]. 10

11 La convergence est encore un autre problème de BGP. Normalement, les protocoles de routage ont besoin un délai temporel entre le changement de route et la mise à jour de façon consistante de ce changement dans la table de routage de chaque routeur. Comme BGP est extrêmement bavard - les changements mineurs de connectivité produisent des centaines de messages de BGP et la perte d'une connexion importante peut en produire des millions. Avec la croissance de la taille du réseau, une récente étude a prouvé que ce délai augmente linéairement avec le nombre d'as dans le meilleur cas, et exponentiellement dans le pire [3]. De ce fait, les attaquants ont la chance d'allonger le temps de convergence en lançant des faux changements de route pour causer l'instabilité dans le réseau. De plus, comme le protocole BGP fonctionne sur TCP, une erreur sur la connexion TCP entre 2 routeurs peut forcer le routeur de retirer plusieurs routes, ce qui permet les attaquants de causer l'instabilité par une attaque indirecte via TCP ou ICMP. Plusieurs solutions pour améliorer les protocoles de routage ont été proposées. L'approche S-BGP (secure BGP) s'adresse à la plupart des vulnérabilités de sécurité en employant une combinaison d'ipsec, d'un nouvel attribut du chemin (AS PATH) contenant des «attestations» et une infrastructure de clé publique (PKI) [4]. Cette approche en effet exige trop de changement dans l'infrastructure pour être appliquée en réalité. Le sobgp (secure origin BGP) est une alternative à S-BGP, proposée par des chercheurs à Cisco Systems qui veulent valider des certificats pour assurer l'authenticité et l'autorisation d'annoncer une préfixe [5]. Le psbgp (pretty secure BGP) fournit un modèle d'authentification centralisé pour valider le numéro AS et un modèle d'authentification décentralisé pour vérifier la propriété d origine de préfixe [6]. Le pgbgp (pretty good BGP) suggère de réserver du temps aux administrateurs pour choisir avec précaution des routes indiquant un AS original n'ont pas été vu récemment (pour une période définie) [7]. Les règles de filtrage, la validation de route basée sur une base de données ou une graphe de connectivité... ont été également proposées. Pourtant ces propositions sont encore dans la période de considération. Certaines solutions ne résolvent que partiellement le problème abordé. Les vulnérabilités des protocoles de routage ont été déterminée théoriquement en examinant les possibilités d'abus et les résultats de simulation. Une validation pour reconnaître ce qui sont les menaces réelles est très nécessaire à ce moment. La détection des attaques visant l'infrastructure de routage est encore un nouveau sujet pour le domaine de sécurité. Plusieurs recherches ont été effectuées mais le défi posé par l'immensité des messages BGP est un grand problème pour la détection en temps réel. La complexité de topologie de l'internet provoque aussi la difficulté d'observer des attaquants. Dans le cadre de mon stage à l'institut Eurécom, j'essaie d'étudier les travaux de recherche reliés, vérifier les menaces d'attaque en réalité et valider l'application du paradigme des pots de miel à la détection des attaques sur le routage 2. Motivation La validation de l'arbre des attaques visant les protocoles de routage et la détection d'attaques contre les routeurs sont des sujets de pointe dans le domaine de sécurité de réseau. La variété des attaques, le besoin de protection du réseau... sont des grandes motivations pour qu'on puisse s'engager dans la recherche. En étudiant le sujet, on a une opportunité de maîtriser les protocoles de routage, communiquer avec les experts 11

12 pour avoir les connaissances les plus récentes dans le monde de sécurité, et découvrir les secrets professionnels cachés par la règle de "sécurité par l'obscurité". De plus, en travaillant dans une équipe de recherche on bénéficie d'une formation aux méthodes de travail et hérite des expériences des responsables de stage et d'autres collèges. 3. Méthode de travail Afin d'accomplir le travail donné, j'essaie de maîtriser les principes des protocoles de routage, puis rechercher sur des travaux antérieurs pour construire une arbre des possibilités d'attaque. Le travail suivant est de chercher dans le trafic de réseau des preuves pour confirmer les risques en réalité et éliminer les menaces irréalistes. A partir du modèle d'attaque obtenu, on peut valider les techniques de détection possibles pour les prévenir. 4. Environnement de travail Ce stage s'effectue à l'institut Eurécom, Sophia Antipolis, France. Le Parc scientifique de Sophia Antipolis se fait reconnu aujourd'hui comme un des plus grands centres de recherche dans les domaines de hautes technologies. L'Institut Eurécom est une Grande Ecole internationale d'ingénieurs et un centre de recherche des Systèmes de communication. Ce travail est réalisé sous la direction de M. Marc DACIER et M. Guillaume URVOY-KELLER à l'unité Communications d'entreprise. La recherche du département des Communications d'entreprise s'articule autour de deux domaines : Les protocoles et les services spécifiques aux applications Internet La sécurité pour les réseaux informatiques et systèmes distribués Depuis 2003 l'institut Eurécom a lancé le projet Leurré.com. Le but du projet est de rechercher profondément des attaques sur l'internet. Depuis sa naissance, le projet a attiré beaucoup d'intérêts de la communauté de sécurité. Le réseau de 51 plateformes de pots de miel distribués dans une vingtaine de pays du projet permet de collecter globalement les données des attaques sur l'internet. Cette base de données et les expériences de l'équipe de recherche facilitent certainement le travail de mon stage. 5. Contribution J'ai effectué mon stage de recherche à l'institut Eurécom pendant 6 mois. Les tâches prévues suivant ont été accomplies: Sur le plan théorique, j'ai approfondi le protocole BGP, l'arbre des attaques contre l'infrastructure de routage. J'ai construit une bibliographie complète sur les recherches concernant mon sujet à l'aide d'un Wiki partagé entre les membres du groupe de travail. Les recherches reliées sont classifiées en 4 axes: les problèmes, les attaques, les techniques de détection et les solutions de sécurité proposées pour les 12

13 protocoles de routage. J'ai fait des analyses sur les données pour observer les anomalies ou les signes d'une possible attaque. Les sources de données utilisées sont: La base de donnée du projet Leurré.com à Eurécom [40]. Le Netflow collecté depuis un "routeur de miel" déployé depuis l'année dernière à Eurécom Les traces tcpdump [43] des projets de recherches sur le réseau: MAWI [30], NLANR [31]... Les données du projet Telescope [41] Les données de routage BGP du projet Route-Views [33] Sur le plan pratique, j'ai appris la méthode de déploiement d'un "routeur de miel" utilisant le Netflow. J'ai implémenté des scripts pour récupérer et/ou extraire les données puis générer des rapports d'analyse. J'ai fait une analyse sur la fréquence de changement des routes par le traceroute depuis une vingtaine de machines du projet PlanetLab [32] dont l'eurécom est un partenaire. J'ai construit aussi une base d'adresses IP des routeurs grâce aux machines PlanetLab et une base de préfixes IP collectés par les données de Route-Views pour faciliter les travaux de recherche postérieurs. 13

14 Chapitre 2 Etat de l art 1. Les problèmes des protocoles de routage 1.1. Authenticité et intégrité des échanges de routes Le protocole de routage BGP, qui fonctionne sur TCP, manquent dans sa propre architecture un mécanisme sécurisé pour vérifier l'authenticité et la légitimité des échanges de routage. Il est fortement vulnérable à une variété des types d'attaque. Les experts dans ce domaine recommandent d'utiliser le mécanisme d'authentification MD5 de TCP sur les liens de communication entre les routeurs [8]. Cependant, l'authentification MD5 ne fournit pas le chiffrage des données de routage. Au lieu de cela, elle vérifie justement les parties d'envoi et de réception. La solution complète pour ce problème, le S-BGP avec une infrastructure PKI, n'est pas encore adoptée à cause de l incompatibilité avec les protocoles courantes. Le même problème existe dans le protocole RIP (version 2) qui utilise MD5 dans ses paquets UDP et dans le protocole OSPF qui utilise MD5 dans sa connexion sur IP. Un autre problème des protocoles de routage est l'intégrité et la fiabilité des données. L'information qui est reçue d'un routeur partenaire est simplement crue d'être correcte. Et le routeur est obligé de republier cette information aux autres routeurs sans aucune vérification. Si un routeur indique qu'elle a l'accès à un réseau particulier, les autres croient simplement que l'information est correcte et recalculent leurs chemins à ce réseau. Et si un attaquant arrive à injecter un chemin qui est meilleur dans le calcul des routeurs, il gagne certainement le droit de contrôler le trafic de réseau. L'attaquant a aussi la possibilité de capturer des messages de routage, les modifier et les republier Délai de convergence et instabilité Les mesures expérimentales prouvent que les routeurs d'inter-domaine peuvent prendre des dizaines de minutes pour atteindre une vue cohérente de la topologie de réseau après un changement [3]. Pendant ce délai de convergence, on expérimente l'instabilité de reseau, la perte de paquets, la latence et même les boucles temporaires dans le cheminement [9]. Le temps de convergence pour les protocoles de routage intra-domaine est plus court mais il dépends fortement de la taille et le topologie du réseau. Des simulations sur BGP montrent que les retraits (withdrawal) de chemin prennent plus de temps que les annonces (update) pour atteindre à une mise-à-jour consistante. Une étude sur la convergence de Craig Labovitz et al. montre que ce délai augmente linéairement avec le nombre d'as dans le meilleur cas, et 14

15 exponentiellement dans le pire [3]. Ainsi la convergence de routage devient un problème critique avec le développement rapide de l'internet Boucles de routage En théorie, les protocoles de routage ont des mécanismes pour assurer le cheminement sans boucles. Mais les mesures donnent des évidences que les boucles existent parfois dans le transfert de paquets inter-domaine. La cause exacte de cet effet est peu claire. On crois que le délai de propagation des messages de routage cause des moments où il y a des contradictions de routage entre les routeurs. L'inconsistance de routage forme des boucles temporaires pendant la convergence. D. Pei et al. prouvent que la durée des boucles de routage BGP correspond étroitement au temps de convergence et dépend linéairement de la valeur MRAI (intervalle minimum entre deux publicités de route) du BGP [10]. A. Sridharan et al. trouvent une corrélation forte entre les boucles et le changement de routage inter-domaine [9] Croissance de la table de routage Malgré que CIDR (Classless Inter-Domain Routing) fournisse un mécanisme d'agréger des préfixes (adresses de réseau) en une préfixe plus courte (par exemple on peut agréger /24 et /24 en /23) de façon qu'on puisse réduire la taille de la table de routage, le nombre des préfixes annoncés sur l'internet augmente si rapidement que la table de routage peut être surchargé. Ce problème peut exagérer le temps de traitement dans les routeurs, causer l'instabilité, rejeter les nouveaux chemins, interrompre les sessions d'échanges de route, ou redémarrer le routeur [11] 1.5. Mauvaises configurations On croit certainement que les erreurs de configuration de routage perturbent ou interrompent la connectivité d'internet. Une étude sur une période de trois semaines des annonces de routage sur 23 points du réseau Internet indique que les erreurs de configuration sont nombreuses, elles influencent préfixes (0,2-1% de la taille de la table de routage BGP) [12]. Heureusement, la connectivité des utilisateurs est étonnamment robuste aux mauvaises configurations grâce à la redondance des liens du système de réseau. Cependant, des mauvaises configurations majeures sur le réseau dorsale ne sont pas négligeables en raison de leur influence sur le trafic d'internet. La mauvaise configuration qui annonce les préfixes plus longs que le préfixe original est effectivement dangereuses car elle permet les attaquants de causer à la fois le déni d accès (blackholing) dans un réseau et le déni de service (DoS) dans un autre réseau. 15

16 2. Les attaques visant le routage 2.1. Falsification d annonces Pour le protocole BGP, la falsification d'annonces depuis une machine quel conte sur le réseau est considérée difficile à faire car l intervention à la connexion TCP d un pair de routeurs exige de deviner correctement une combinaison de 3 attributs: le port de source, le port de destination, le numéro de séquence. Cette tâche est difficile pour BGP car l attaquant n a pas le moyen de renifler (normalement sur le lien dorsale entre un pair de routeurs, il n y a pas d autres machines). Et même si l attaquant peut injecter avec succès une annonce de routage, le temps pour que ce pair de routeurs rétablissent leur connexion (après le délai de «ACK storm» ) et retransmettent les vraies informations de routage est court. Pourtant, quand un attaquant arrive à gagner le droit d administration d un routeur, ce sera un problème. Il a toute possibilité de injecter des fausses routes car les protocoles de routage ne sont pas muni d un mécanisme de les vérifier. La falsification de messages de routage RIP et OSPF est beaucoup plus faisable. Elle demande de fournir la clé secrète MD5, qui peut être découvert par capturer et craquer les paquets Modification d attributs de préférence de trafic Désagrégation de préfixe Les protocoles de routage préfèrent la route avec le préfixe le plus long, ce qui exprime que cette route est la plus précise [1]. Les attaquants peut exploiter ce discipline en annonçant les préfixes plus longs que ceux annoncés par la victime qui les possède. Ainsi ils peuvent rediriger le trafic vers une autre destination. C était le cas de la mauvaise configuration de l AS 7007 en 1997 qui a déconnecté globalement l Internet Modification d attributs de préférence Les attributs de préférence sont AS_PATH (séquence de numéro AS qu il faut passer pour parvenir à un réseau), MED, COMMUNITY... (protocole BGP), METRIC (protocole RIP). Pour assurer la politique de trafic d un AS, améliorer la qualité de service, réduire le coût d affaires... les administrateurs configurent ces attributs pour rediriger le trafic vers les liens préférés [13]. En compromettant un routeur, l attaquant est supposé d être capable de modifier les attributs de préférence de la route annoncée avant de la republier aux routeurs partenaires afin de perturber le trafic. 16

17 Insertion de fausses annonces Falsification d origine d un préfixe En compromettant un routeur, l attaquant peut le reconfigurer pour que ce routeur annonce l origine des préfixes appartenant à une victime. Le trafic destiné au réseau de la victime est attiré vers l AS de ce routeur ou à n import quel réseau selon la configuration de l attaquant [1]. Un telle attaque arrive à causer le déni de service d un réseau, le déni d accès d un autre réseau et favoriser le reniflement si le trafic est redirigé à un réseau contrôlé par l attaquant. Une falsification de l origine sur plusieurs préfixes causera la perte de connectivité de l Internet Insertion de retraits L insertion de faux retraits d une route forcent les autres routeurs de recalculer le chemin vers le préfixe annoncé par cette route. Si les autres routeurs ne trouvent plus un chemin valide vers ce préfixe, ce réseau est donc isolé du réseau global Insertion périodique d annonces et de retraits Une fois que un routeur reçoit une annonce ou un retrait de route, il doit recalculer les chemins et republier ce changement à ses partenaires. Ce tâche consume du temps et des ressources du routeur et perturbe le trafic du réseau. L insertion périodique des annonces de routage sont visée à provoquer l instabilité permanente sur le réseau. Pour atténuer ce mauvais effet, BGP propose le mécanisme RFD (atténuation de l oscillation de route). Ce mécanisme incrémente la valeur de pénalité pour une route chaque fois qu elle est changée. Si cette valeur dépasse le seuil de coupure, la route n est plus comptée dans une période de temps jusqu au moment où cette valeur se diminue au seuil de réutilisation. Ce mécanisme pourtant n empêche pas un attaquant de causer l instabilité. Par contre, il peut aussi causer l isolation permanente d un réseau en calculant précisément le moment à injecter les fausses annonces [14] Insertion de messages de notification ou messages mal formés L implémentation des protocoles de routage oblige le calcul des chemins chaque fois on rencontre une erreur ou une remise de connexion. Les messages OPEN et NOTIFICATION de BGP peut être abusés pour forcer le calcul et causer l instabilité du réseau. Des messages mal formés sont injectés intentionnellement en espérant que le routeur peut perdre de temps à les traiter ou dans le pire cas, il peut se casser à cause d une bogue d implémentation [11] Rétention d annonces Normalement, un routeur reçoit des annonces de route, fait des calculs pour obtenir la meilleure route et republie cette route. Mais si ce routeur est compromis, 17

18 L'attaquant peut le reconfigurer pour qu il fonctionne différemment que le protocole l oblige. Un routeur qui ne tient pas compte des annonces et qui ne republie pas ces routes causera des boucles et des isolations sur le réseau [15] Création de boucles Si un routeur R ne fait rien quand une annonce de route arrive, il risque de conserver une ancienne route qui contient un noeud (un autre routeur) R. Mais dans le même moment, le noeud R reçoit une route qui contient R dans son itinéraire, R et R forment un boucle [15] Isolation de réseau Si un routeur ne republie pas les retraits de route, les routeurs partenaires continue à transférer le trafic vers lui. La destination de ce trafic est inaccessible et devient isolée. La même chose aura lieu quand un routeur ne republie les annonces de route [15] Inondation d annonces L attaquant peut compromettre un routeur et l utiliser pour attaquer ses partenaires en envoyant plusieurs annonces de route Empoisonnement de table de routage Au cas où la table de routage est rempli à sa limite, le routeur rejetera le nouveau route ou écrasera les routes actuelles [11]. Ce fait perturbera l activité normale du réseau. Les attaquants envoient des annonces avec les préfixes longs (/24) pour remplir la table de routage et causer les anomalies de trafic Épuisement de ressources de routeur Les attaquants peuvent envoyer plusieurs messages de route pour épuiser les ressources d un routeur car le temps pour traiter une annonce est beaucoup plus long que celui pour envoyer une annonce Les attaques indirectes Le BGP fonctionne sur la connexion TCP, le RIP fonctionne sur la connexion UDP... Celui-ci permet des exploitations indirectes via les protocoles sous-jacents Les attaques TCP TCP SYN et TCP RESET Le BGP est vulnérable à des attaques TCP SYN. Si on ne pense pas à faire un filtrage de paquets, un simple DoS distribué (DDoS) peut interrompre la communication BGP. 18

19 Un paquet TCP RESET avec le numéro de séquence et de port valide peut aussi couper la connexion BGP. Pour faire une attaque de type TCP RESET, l attaquant devra compromettre un routeur partenaire ou bien essayer des milliards de combinaisons de numéro de séquence et des ports dans les paquets TCP. On a montré que ce sera faisable avec la technique «Slipping in the window» qui n envoie que des milliers de paquets dans un très peu de temps pour trouver une combinaison valide dans le cas où l attaquant connaît le nom du système d exploitation du routeur. Le TCP RESET est possiblement exploité pour lancer une attaque contre le mécanisme RFD de BGP [14] Falsification de messages d erreur ICMP Les messages ICMP qui indiquent une erreur dure ( hard-error, ICMP type 3) peuvent interrompre la connexion TCP. Le technique d attaque est similaire à l attaque TCP RESET [16] Les attaques ARP Les messages ARP sont utilisés pour traduire l adresse IP en adresse MAC. L attaquant peut facilement empoisonner la tableau d'arp d un routeur par les adresses MAC fausses pour terminer la session d un pair routeur et éventuellement les forcer de rétablir la session avec un routeur attaquant [11]. Cependant ce type d attaque est facile à détecter car il interrompe le trafic de contrôle de routage aussi que le trafic de données. 3. Détection d attaques visant les protocoles de routage La détection d'attaques visant les protocoles de routage ou la détection d'anomalies dans les routeurs est un sujet très focalisé dans le monde de sécurité, à cause de l'importance de l'infrastructure de routage. Cependant comme aucune attaque de routage n est publiquement documentée, les techniques de détection sont testées souvent sur un environnement de simulation. L énormité des annonces de routage cause aussi un problème à la détection en temps réel. La validation des techniques de détection est effectuée souvent sur les données Route-Views ou RIPE RCC dans les jours où il existait des anomalies du trafic causées par des vers (par exemple l événement du ver Slammer au janvier 2003 [17]), au lieu d une attaque de routage réelle 3.1. Détection basée sur la signature Cette technique est proposée par F. Wu et al [18]. Basé sur la valeur des attributs de préférence de deux chemins consécutivement annoncés, on définit 4 types d annonces: UP: si le deuxième chemin est plus préférable que le précédent, on l appelle un UP (U) DOWN: si le deuxième chemin est moins préférable que le précédent, on l appelle un DOWN (D). 19

20 PLAT : si deux chemins ont la même préférence, on l appelle un PLAT (P). WD : si la deuxième annonce est un retrait de chemin, on l appelle un WD (W) Alors, étant donné une séquence des annonces, on la libelle par une suite des U, D, P, W. Puis on la compare avec les signatures: Type Signature Exemple Indication A Une séquence des annonces terminée par WD {D,D,F,D,W},{U,F,F,D,W},{U,D,U,D,W}, {D,W,D,U,W} Délai de convergence à cause d une panne sur le lien/routeur B Une séquence des annonces avec WD au milieu {D,D,W,U,U},{D,W,U,W,U} Panne temporaire avec une rétablissement immédiate C Une séquence des annonces avec seulement une fluctuation de préférence {U,U,D,D,F},{D,D,U,F,U},{D,D,U,U,D} Panne temporaire avec une rétablissement immédiate ou un changement de route D E F Une séquence des annonces avec la préférence croissante ou décroissante monotone Une séquence des annonces avec plus de 2 fluctuations de préférence Une séquence des annonces avec la même préférence {U,U,U,U,U},{D,D,D,D,D},{U,F,F,U,F}, {D,F,D,F,F} {U,D,U,D,U},{D,U,D,U,D},{D,U,U,D,U} {F,F,F,F,F} Délai de convergence normal Oscillation de route Changement de route avec des attributs de préférence équivalente 3.2. Détection basée sur les statistiques F. Wu et al. proposent l'algorithme NIDES/STAT [18] qui surveille le comportement du système, et donne l'alarme quand le comportement (à court terme) dévie de manière significative de son comportement prévu, qui est décrit par son profil à long terme. On mesure donc cinq valeurs : la fréquence d'arrivée des annonces de routage, le nombre des routes dans une période (mesure d'intensité), le type d annonce, la fréquence d'occurrence de route (mesure catégorique), la différence des routes (mesure quantitative). Le détecteur d'anomalie produit alors d'une valeur commune pour la combinaison de cinq mesures. Les grandes valeurs indiquent le comportement anormal, et les valeurs près de zéro sont les signes du comportement normal Détection par l apprentissage J. Zhang et al. présentent un système de détection par apprentissage [19]. En employant un vecteur quantitatif pour représenter des messages BGP, ce système peut capturer des caractéristiques plus complexes des annonces BGP que les méthodes précédentes qui emploient l'agrégation simple. Ce vecteur est construit en utilisant des transformations en ondelettes. Ainsi on peut éviter d'employer la fenêtre de temps pour l'agrégation. Cette fenêtre est difficile de déterminer. Dans le traitement des signaux, les transformations en ondelettes représentent un signal cru (une fonction de temps) par un signal (ou des coefficients) de tempsfréquence (une fonction de temps et de fréquence). En traitant une séquence des messages BGP comme un signal (une fonction f(t) dont la valeur est le nombre des 20

21 messages au temps t), un éclat de messages peut être regardé comme signal à haute fréquence modulé par un signal de basse fréquence. La transformation en ondelettes peut indiquer ainsi les structures temporelles dans les messages BGP. La technique clustering est choisie pour découvrir la distribution dans les données qui est importante pour détecter des anomalies. Deux types de clustering sur les vecteurs a été expérimentés. D'abord, on effectue le clustering pour chaque préfixe et puis on applique le clustering à travers des préfixes d'un jour aléatoire. On a effectué cette technique sur des données de Route-Views pendant six mois. Les résultats prouvent que seulement quelques préfixes ont les comportements qui sont tout à fait différents de la majorité. En particulier, on observe que ce sont des préfixes instables avec les changements fréquents Détection par l analyse en ondelettes Les travaux courants sur la détection d'anomalie exigent le traitement complexe sur des données de routage. Par conséquence, ces techniques sont limitées au traitement hors-ligne (offline processing) qui a peu d applicabilité. L. Yuan et al. proposent un mécanisme de détection d'anomalie qui exige seulement un compte simple de messages de routage sur une certaine période [20]. Ils étudient l autosimilarité dans le trafic des annonces BGP et présentent une validation préliminaire. A partir de ces résultats, ils ont conçu et implémenté un outil de détection d'anomalie basé sur l'analyse en ondelettes du nombre total d'annonces BGP. Cet outil est efficace en détectant les changements brusques. Cependant, cette méthode est limitée aux anomalies avec un signal plus grand que des bruits. Puisque cette méthode ne traite pas le contenu des messages de routage, on la considère légère et applicable à la détection d'anomalie de BGP Détection basée sur la topologie C. Kruegel et al. proposent un système qui est capable de détecter les messages de routage attaquants par la surveillance passive de trafic BGP [21]. Cette approche n'exige aucune modification de protocole. La technique se fonde sur un modèle de la connectivité des AS pour vérifier que les annonces de route sont conformées à la topologie de réseau. En identifiant les messages anormaux, on empêche des routeurs d'accepter les itinéraires inadmissibles par rapport au graphe de connectivité construit par les messages précédents. On évalue le système par les données de routage de Route-Views et montre que ce système est capable de distinguer les annonces légitimes et les annonces potentiellement malveillantes Détection par la visualisation F. Wu et al. ont construit et examiné un logiciel qui visualisent des événements en temps réel de BGP OASC (Origine AS change, changement d'origine des routes) afin d'utiliser les possibilités cognitives humaines pour détecter les défauts et les attaques sur BGP [22]. A partir des messages BGP, ce logiciel extrait et organise des aspects 21

22 particuliers des données, puis produit un ensemble des évènements de changement OASC et les transforme en un ensemble d'entités de graphiques avec les propriétés appropriées (par exemple couleurs et texture...) pour le visualiser sur l'écran. 4. Les approches de renforcement de protocoles de routage Les protocoles de routage sont fortement vulnérables aux attaques. Heureusement, comme les échanges de chemins se limitent entre les routeurs voisins, les administrateurs de réseau peuvent empêcher efficacement les tentatives d'attaque par les règles de filtrage. Mais le problème de sécurité existe toujours puisque la falsification des données de routage est considérée faisable Les règles de filtrage Les règles de filtrage sont utiles pour partiellement empêcher les attaques contre les activités de routage. Des propositions de filtrage souvent connues sous le terme «BCP» (Best Current Practices) sont obligées d appliquer pour assurer le fonctionnement normal : La recommandation de l authentification MD5 entre les pairs de routeurs L utilisation d un loopback ou d une adresse secondaire pour les échanges de routage Pour les ISP, il faut autoriser les clients à annoncer seulement leurs propres préfixes Limiter l utilisation des routes par défaut Ne pas utiliser ARP pour les adresses des routeurs partenaires (fixer les adresses MAC pour ces IP) Accepter seulement les messages de routage qui proviennent des adresses partenaires Rejeter les préfixes >/28 et </6 (ces longueurs varient selon la taille de réseau) Filtrer les «bogons» (les adresses privées 10.X.X.X, X.X, X.X, X.X...) et les adresses non assignées. Filtrer les numéros d'as privés (de à 65535) Appliquer BGP TTLH ou BTSH (BGP TTL Security Hack) qui exige de mettre la valeur TTL en maximum (255) et les routeurs n accepteront que les paquets de routage avec un TTL de 254 (puisque la distance entre 2 routeurs partenaires est 1). Ce filtrage limite les tentatives vers un routeur de n importe quelle machine Les approches de sécurité pour BGP Plusieurs approches sont proposées pour renforcer la sécurité de ce protocole, qui est un des deux plus importants protocoles (avec DNS) qui constituent la connectivité de l Internet. Le SBGP s adresse à presque tous les problèmes de BGP mais il est difficile à déployer à cause du coût de changement. 22

23 SBGP (Secure BGP) SBGP propose des contre-mesures qui s'adressent à tous les problèmes de BGP [4]. On emploie l'ipsec, l'infrastructure de clé publique (PKI), et un nouvel attribut de chemin de BGP (des «attestations») pour assurer l'authenticité et l'intégrité de la communication BGP. Ces perfectionnements permettront de vérifier et détecter: L'authentification d'un routeur qui participe à la communication de routage L'information sur l'accessibilité reçue d'un routeur partenaire est authentique et n'a pas été modifié sans autorisation La propriété d'un préfixe Les inconsistances causée par la mauvaise configuration Pourtant comme SBGP exige plusieurs de changements par rapport au BGP, il n'est pas encore déployé en raison de l'incompatibilité avec l'infrastructure courante sobgp (Secure Origin BGP) sobgp est proposé par des chercheurs au Cisco Systems comme une alternative légère à SBGP [5]. sobgp vise à authentifier deux aspects d'information de routage. D'abord, sobgp détermine si l'as est autorisé à annoncer un préfixe donné. Ensuite, sobgp essaie de vérifier si l'as a publié un préfixe auquel il a au moins un chemin valide (en terme de politique et de topologie). sobgp emploie trois types de certificat : Le certificat d'entité est employé comme l'identité et la clé publique de l'as. Le Certificat d'autorisation authentifie l'attribution et la délégation des blocs d'ip, ainsi il est employé pour vérifier la propriété de préfixe. Le Certificat de Politique authentifie les politiques d'as, les politiques de préfixe et les informations de connectivité, donc il est nécessaire pour vérifier la validité d'un chemin. Au lieu de compter sur une infrastructure hiérarchique de PKI, sobgp emploie un modèle de Web de Confiance (Web-of-Trust) pour valider des certificats psbgp (Pretty Secure BGP) L'objectif de psbgp est de fournir une alternative à SBGP et sobgp avec un équilibre raisonnable entre la sécurité et l'applicabilité [6]. Il consiste de 2 points: psbgp utilise un modèle de confiance centralisé pour l'authentification des AS. Chaque AS obtient un certificat de clé publique fourni par une des autorités de confiance, par exemple RIR (Regional Internet Registry) psbgp se sert d'un modèle de confiance décentralisé pour la vérification de propriété des préfixes. Chaque AS crée une liste d'assertion des préfixes et des AS qui les possèdent. Cette liste sert à vérifier la propriété des préfixes pour soi-même et pour ses AS partenaires. Un préfixe appartient à un AS s'il est confirmé de façon consistante par ses AS partenaires. De ce fait, on partage la 23

24 difficulté de vérification de propriété des préfixes entre les AS au lieu d'utiliser un mécanisme centralisé. L'avantage de psbgp est qu'il peut apparemment défendre contre des menaces de falsification et de mauvaises configurations en pratique pgbgp (Pretty Good BGP) pgbgp propose un renforcement au BGP, qui recommande de ralentir la republication des chemins attaquants en fournissant le temps aux opérateurs de réseau d'agir avant que le problème se propage sur l'internet [7]. Il est basé sur ce point de vue : les alarme fausses négatives sont plus problématiques que les alarmes fausses positives, parce qu'il y a souvent les chemins alternatifs disponibles à une destination. pgbgp surveille les annonces de routes malveillantes en observant l'as original pour chaque préfixe. Si une message de routage annonce un AS original différent de ce qu'on a vu récemment (pour une période prédéfinie), pgbgp traite le chemin annonce comme anormal. Quand un chemin anormal est détecté, le routeur produit une alarme, exige les opérateurs de réseau ou les systèmes automatisés de vérifier la validité du nouveau chemin Mécanisme «Listen and Whisper» «Listen and Whisper» est une combinaison de deux mécanismes. «Listen» surveille passivement le trafic de données et vérifie si les chemins fondamentaux à différentes destinations existent en observant les flux TCP sur ces chemins. «Whisper» utilise des fonctions cryptographiques avec la redondance de routage pour détecter les annonces de chemins fausses dans la communication de routage. Ces mécanismes sont facile à déployer, et ne se fondent pas sur une infrastructure de clé publique ou une autorité centrale [23] Autres méthodes de l authentification de BGP F. Wu et al. présentent un renforcement au BGP qui permet au BGP de détecter des fausses annonces d'origine de préfixes. Basant sur le fait que la topologie d'internet est richement redondante, ainsi il est difficile de bloquer complètement les informations de routage authentiques. Les annonces de route falsifiées peuvent être détectées en surveillant les conflits [24]. B. Akyol et al. introduisent une nouvelle approche à valider les messages BGP. Ils suggèrent de construire un graphique de validation d'accessibilité (RVG Reachability Validation Graph) pour examiner l'information d'origine et de chemin des annonces [25]. Un RVG est un graphe orienté dans lequel les noeuds sont les AS et les arêtes représentent des liens entre deux AS. Ces information sont fournies par les AS via un système centralisé qui supporte RPSL (Routing Policy Specification Language, le langage de spécification des politiques de routage), via des serveurs web sécurisés ou l'établissement des échanges sécurisées entre des AS. W. Aiello et al. fournissent un mécanisme d'authentification de l'origine du préfixe en formalisant la sémantique de la délégation d'adresse [26]... 24

25 Chapitre 3 La faisabilité des attaques visant les protocoles de routage 1. Arbre des attaques de routage Les attaques visant les protocoles de routage sont théoriquement nombreuses et faisables. S. Murphy recouvre dans le RFC 4272 toutes les possibilités d'attaque visant BGP en terme de protocole, dont certaines ne sont pas faisables en réalité. Cette section essaie de décrire plusieurs scénarios d'attaque de routage qui sont considérés applicables et hautement risqués par les experts de réseau. Les protocoles mentionnés sont RIP, OSPF (intra-domaine) et BGP (inter-domaine). On n'abordera pas les protocoles IGRP et EIGRP qui sont propriétaires de Cisco et du protocole IS-IS de ISO qui n'est utilisé que très peu dans le routage intra-domaine 1.1. Attaques visant RIP RIP est une protocole de routage de type vecteur de distance. Chaque routeur communique aux autres routeurs la distance entre lui et un réseau (METRIC, la métrique ou le nombre des sauts - "hops"). Ainsi, quand un routeur reçoit cette information, il ajoute dans son tableau de routage le chemin vers ce réseau et incrémente la distance avant de republier ce chemin aux autres routeurs. Les routeurs RIP communiquent entre eux par les paquets UDP destinés au port 520. Cela rend ce protocole moins fiable en comparaison de BGP qui utilise TCP. RIP version 1 n'exige aucun mécanisme d'authentification. RIP version 2 a réglé ce problème en recommandant l'utilisation de MD5 dans les paquets UDP. La capture (reniflement sur le lien) des paquets pour une attaque cryptanalytique sera possible pour casser l'authentification et injecter les fausses routes. Les attaques possibles pour RIP sont (Voir figure 3.1): La capture de paquets et l'attaque cryptanalytique sur l'authentification MD5. La capture des messages de routage de RIP donne une image complète de la topologie du réseau. De plus, l'attaque cryptanalytique MD5 sur les paquets UDP est possible dans le cas où l'attaquant veux connaître la clé secrète pour injecter de fausses routes aux routeurs qui utilisent l'authentification MD5. Les tentatives de parler RIP V1 (sans authentification) avec un routeur RIP V2. En raison de la compatibilité descendante (backward compatibility), les routeurs RIP V2 sont supposés accepter les messages RIP V1 qui manquent une mécanisme d'authentification. L'attaquant peut essayer de parler RIP V1 avec un routeur et d'injecter avec succès les fausses routes L'insertion de fausse route pour rediriger le trafic ou empoisonner la table de routage. L'attaquant qui connaît bien la topologie du réseau peut injecter des messages pour forcer un routeur à utiliser d'un chemin particulier afin de 25

26 renifler les données. Il peut aussi empoisonner la table de routage par de fausses routes pour cause l'instabilité. Le déni de service DoS contre le port 520 UDP. L'inondation du port 520 est possible lorsque l'attaquant veut interrompre les échanges de route entre les routeurs Figure 3.1. Arbre des attaques visant RIP 1.2. Attaques visant OSPF OSPF est un protocole de routage de type «état de lien» (Link-State). Chaque routeur envoie à tous les routeurs du réseau, par la diffusion (broadcast, multicast) l'état de chacun de ses liens. A partir de ces informations, chaque routeur construit un graphe de topologie du réseau et choisit la meilleure route pour transférer les données. OSPF nécessite beaucoup de ressources pour stocker le graphe du réseau et effectuer les calculs de meilleur chemin. Cela permet à l'attaquant de causer de l'instabilité en déclenchant de faux changements périodiquement. Pour réduire les échanges de routage entre les routeurs du même réseau, OSPF propose une structure hiérarchique qui permet d'élire un routeur principal (designated router) et un routeur principal de secours (backup designated router) qui serviront de point central d'échange. L'attaquant peut exploiter ce mécanisme d'élection pour devenir le routeur principal et modifier les routes. Les routeurs OSPF communiquent entre eux par la diffusion IP et exigent l'authentification MD5. La capture des paquets pour une attaque cryptanalytique est faisable. 26

27 Les attaques possibles pour OSPF sont (Voir figure 3.2): La capture de paquets et l'attaque cryptanalytique sur l'authentification MD5. La capture des messages de routage OSPF donne une image complète de la topologie du réseau. De plus, l'attaque cryptanalytique MD5 sur les paquets UDP est possible pour trouver la clé secrète et injecter de fausses routes aux routeurs qui utilisent l'authentification MD5. Les tentatives pour être élu comme routeur principal. Le routeur qui gagne dans une élection est celui qui a la plus haute valeur de priorité ou l'adresse IP la plus grande dans son message HELLO. L'attaquant peut établir un faux routeur de haute priorité et forcer les routeurs à réélire le routeur principal (par un DoS vers le routeur principal courant). Après avoir gagné à l'élection, l'attaquant peut modifier les informations de routage comme ce qu'il veut. L'insertion de fausse route. Selon l'équipe Ji-Nao [28], l'attaquant peut effectuer un DoS en mettant la valeur d'âge maximale (Max Age), une grande valeur de séquence (Sequence Number Incrementation) ou en envoyant de faux messages LSA (Link State Advertisement) qui forcent les routeurs OSPF à renvoyer des LSA afin de saturer les ressources. L'attaquant peut aussi injecter un faux chemin avec le numéro de séquence maximal, ce qui ne permet pas au routeur d'origine de ce chemin de corriger le problème (en envoyant le chemin correct avec le numéro de séquence maximal + 1) Figure 3.2. Arbre des attaques visant OSPF 27

28 1.3. Attaques visant BGP BGP est un protocole d'échange de route au niveau des AS (système autonome), au lieu du niveau des routeurs comme les autres protocoles, ceci lui permet de servir des réseaux de grande taille et de supporter le routage inter-domaine. BGP est un protocole de routage de type vecteur de chemin (path vector). Il utilise une séquence des numéros d'as pour décrire un chemin (attribut AS-PATH dans le message UPDATE). Les routeurs BGP communiquent entre eux via une session TCP sur le port 179. BGP est le seul protocole de routage à utiliser TCP comme protocole de transport. Ainsi il est plus difficile d'intervenir et injecter de fausses données car on doit deviner correctement plusieurs paramètres pour un paquet TCP (port source, port destination, numéro de séquence). BGP n'a pas lui même de mécanisme d'authentification. Il exige d'utiliser le signature MD5 dans les paquets TCP. La capture des paquet BGP et l'attaque cryptanalytique sont faisables. Cependant l'insertion des paquets falsifiés est difficile dans une connexion TCP. BGP supporte le routage sans classe (CIDR) et utilise l'agrégation de routes afin de réduire la taille de la table de routage, c'est à dire qu'il préfère des chemins avec un préfixe précis (un préfixe plus long). Cela le rend vulnérable aux attaques de désagrégation. L attaquant peut insérer un faux chemin avec un préfixe qui est plus long que celui annoncé par l origine. Ce chemin affecte la décision de chemin dans tous les routeurs. BGP ne fournit pas de mesures pour vérifier l'authenticité et l'intégrité des informations de routage. Cela permet à un attaquant, en compromettant un routeur, de modifier les messages de routage avant de les republier, ou de falsifier des annonces de route ou des retraits de route. Puisque BGP utilise plusieurs attributs de préférence pour un chemin: préférence locale (LOCAL-PREFERENCE), chemin des AS (AS- PATH), type d'origine (ORIGIN-TYPE), discriminateur multi-sortie (multi-exitdiscriminator MED), une modification dans le message de routage peut changer le trafic du réseau. BGP fonctionne sur la confiance que les routeurs participant au protocole de routage appliquent les chemins annoncés et les republier de façon qu'on puisse assurer la connectivité du réseau. Pourtant si un routeur enlève les messages de routage (par mauvaise configuration ou malveillance), il risque de causer des boucles de routage et des isolations permanentes. RFD (Route Flap Dampening) est un mécanisme qui vise à réduire les effets d'oscillation de routes. Quand une route change trop fréquemment dans un période de temps, sa métrique de pénalité dépasse le seuil de suppression et BGP retire la route pour un certain temps. L'attaquant pourra causer des changements de route consécutives par les erreurs ICMP, TCP RST, ou les messages de notification d erreur BGP pour maintenir le métrique de pénalité d'une route toujours supérieur au seuil de suppression (Figure 3.3). 28

29 Figure 3.3. Le mécanisme RFD Les attaques possibles pour BGP sont (Figure 3.4): La capture de paquets et l'attaque cryptanalytique sur l'authentification MD5 sont possible dans le cas où l'attaquant veux connaît la clé secrète pour injecter de fausses routes aux routeurs qui utilisent l'authentification MD5. En compromettant un routeur, l'attaquant peut modifier les attributs de préférence ou desagréger les préfixes afin de rediriger le trafic. Il est aussi possible d'insérer des annonces qui falsifient l'origine d'un préfixe pour attirer le trafic d'une victime. L'attaquant qui veut causer un déni d'accès d'un réseau peut annoncer de faux retraits. Enfin, il est faisable de causer de l'instabilité du réseau en exploitant le mécanisme RFD par l'insertion périodique de changement de route ou de messages de notification BGP, ou simplement en bloquant les messages de routage qui arrivent à un routeur. L'attaquant peut inonder la table de routage BGP par des longs préfixes qui ne peuvent pas être agrégés. Il peut aussi envoyer plusieurs changements sur plusieurs routes pour épuiser les ressources de routeurs Les attaques BGP via les protocoles sous-jacents sont faisables mais plus difficiles par rapport à RIP et OSPF. En théorie on peut utiliser des erreurs ICMP et les TCP RST pour interrompre une connexion BGP, ce qui force le routeur à rejeter les chemin annoncés par son partenaire. Le déni de service avec TCP SYN au port 179 sera effectué avec succès si les règles de filtrage ne sont pas appliquées. La redirection du trafic en falsifiant les messages ARP est un autre risque qui vient de la couche 2. Pourtant cela necessite d'être dans le même sous-réseau que le routeur 29

30 Figure 3.4. Arbre des attaques visant BGP 2. Validation de la faisabilité des attaques de routage La validation de faisabilité des attaques de routages mentionnées est une tache difficile en pratique. Plusieurs travaux de recherches ont été effectués principalement dans des environnements de simulation [13][14][15]. Dans le cadre de mon travail, j'ai essayé de valider la faisabilité de ces attaques sur des trafics de routage avec les données de Route-Views [33] et les tcpdumps de MAWI [30] et NLANR [31] pour confirmer si les risques abordées existent en réalité 2.1. La modification d attributs de préférence Les attributs de préférence sont utilisés largement dans les annonces de routages. Si l attaquant effectue la modification de ces attributs, il changera le routage du trafic dans le réseau. Les attributs de préférence de trafic utilisés sont AS-PATH et MED (BGP), METRIC (RIP). L attribut COMMUNITY qui est utilisé pour appliquer les politiques de routage BGP sur un groupe de chemins, est le plus utilisé selon les données de Route-Views (Table 3.1). Bien que cet attribut n indique pas une préférence de trafic, sa modification implique une perturbation du réseau. 30

31 Attribut Annonces Pourcentage Community ,6% MED ,8% AS padding ,1% Table 3.1. L utilisation d attributs de préférence dans un mois (Route-Views) L utilisation des duplicats dans l attribut AS-PATH (AS padding), pour augmenter la longueur d un chemin, ainsi forcer les autres routeurs de ne pas choisir une route, est très préférée dans les annonces BGP. L administrateur des AS doivent calculer ces «AS padding» sur la topologie complexe du réseau afin d atteindre une équilibre du trafic. La modification de ces «AS padding» causera les embouteillages sur les liens. Dans la figure 3.5, l'administrateur de l'as 2 veut rediriger le trafic de l'as 4 à l'as 1 vers le lien A au lieu du lien B. Il ajoute des duplicats de l'as 2 à l'attribut AS-PATH dans les messages de routage destinés à l'as 4. Figure 3.5. L'utilisation de «AS padding» pour équilibrer le trafic La longueur du «padding» décide sa portée d'influence. Si un adminstrateur utilise un «padding» de longueur 2 ou 3, il veut affecter la préférence de routage uniquement dans les routeurs qui ne sont pas très loins de son AS [29]. Les données de Route-Views montrent que plus de 75% des AS padding ont la longueur inférieure à 5 (Table 3.2). Cela signifie que l attaquant devrait compromettre un routeur qui n est pas très loin de sa victime pour effectivement effectuer ce type d attaque. 31

32 Longueur d AS padding Annonces % cumulé ,1% ,1% ,7% ,9% ,0% ,3% ,2% ,5% > % Table 3.2. La distribution de la longueur des AS paddings (Route-Views) La désagrégation de préfixes est le type d attaque le plus dangereux car elle redirige tout le trafic destiné à un réseau. Dans les données de Route-Views, on trouve souvent des préfixes annoncés par un ISP et ces préfixes désagrégés annoncés par une organisation qui est un client de cet ISP (des préfixes avec les longueurs annoncées différemment représentent environ 3,9% des routes sur route-views2.oregon-ix.net). En effet on n a pas le moyen de vérifier si un attaquant annonce les préfixes désagrégés d une victime. En conclusion, la désagrégation est faisable et hautement risquée L'insertion de message de routage L origine d un préfixe est le premier numéro d'as dans l attribut AS-PATH d une annonce. L injection de messages falsifiés qui annoncent l origine d un préfixe pour attirer le trafic de ce préfixe est faisable. Normalement, on permet à un préfixe d avoir plusieurs origines dans le cas où une organisation a plus qu un ISP (multi-home). On appelle ce cas un MOAS (multi origin autonomous system). Mais par contre on n est pas capable de distinguer un MOAS avec une falsification d origine annoncée par un attaquant qui a compromis un routeur. Les cas de MOAS occupent 0,75% des préfixes reçus par route-views2.oregon-ix.net (Route-Views). L insertion des messages BGP falsifiés est réellement risquée car on observe des préfixes comme « /20», des numéro d AS privés (65000, ) et aussi des boucles dans les AS_PATH (par exemple 3277 < < <- 3267) sur Route-Views. Il semble que les routeurs ne vérifient pas les défauts dans les annonces de routage. En effet, la falsification des retraits, l insertion périodique d'annonces de route et l insertion de messages de notification pour causer l instabilité et exploiter le mécanisme RFD de BGP sont faisables si l attaquant compromet un routeur La rétention de message de routage La rétention de message de routage peut causer des boucles de routage et l'isolation du réseau. L impact sera plus sérieux si l attaquant compromet le routeur principal (OSPF designated router) ou un routeur de noyau (BGP core router). 32

33 L'isolation du réseau n'est possible que lorsque l'attaquant compromet un routeur de bord tout près du réseau d'une victime "single-home" ou lorsque le routeur compromis se situe sur le meilleur chemin. Des boucles de routage sont facilement formées mais leur impacts se limitent dans les mêmes conditions que l'isolation. Les données de Route-Views [33] montrent que pour un préfixe donné, il y a toujours plusieurs chemins alternatifs pour l'atteindre. Pourtant le changement dans le routage n'est pas très flexible. J'ai observé le changement des routes depuis 21 machines PlanetLab [32] à 46 destinations différemment distribuées sur Internet en terme géographique (soit 966 routes) pendant 3 mois par traceroute. Les résultats montrent que 388 routes (40,1%) ne changent jamais pendant cette période d'observation. Les routes qui ont changé ne contiennent qu'un changement en moyen 2,6 noeuds dans leurs itinéaires (Figure 3.6). Cela signifie que si une isolation ou une boucle de routage est formée, leurs impacts ne sont pas négligeables. Figure 3.6. Le nombre de noeuds changés dans les routes observées sur PlanetLab En conclusion, la rétention de message de routage est un type d'attaque élégant et difficile de détecter. Elle représente un grand danger pour le routage L'inondation de messages L'inondation est tout à fait faisable dans la réalité. Il est possible de limiter les routes annoncées par un routeur partenaire mais c'est une solution qui empêche la fonctionnement normal du protocole de routage. Des statistiques sur Route-Views montrent que la majorité des préfixes sont de longueur /24 (Figure 3.7). Cela signifie qu on a dans le pire cas 2 24 soit routes qui peuvent être insérées dans la table de routage. C'est une quantité énorme par rapport à la capacité des routeurs mentionnés dans les expérimentations de D. Chang et al [27]. 33

34 Figure 3.7. La distribution de la longueur des préfixes (Route-Views) 2.5. Les attaques indirectes Les recherches de S. Convery [11] ont montré que 14.5% des routeurs qui acceptent des SYN ont au moins un sur trois de leur ports d administration (telnet, ssh, http) ouverts à l'internet. La compromission d'un routeur via ces ports est possible. La capture des paquets et l attaque cryptanalytique sont faisables. Le temps pour retrouver une clé secrète varie de quelques minutes pour un mot qui est dans le dictionnaire à quelques heures pour un mot plus compliqué [11]. L attaque sur TCP RST ou à l'aide des messages d'icmp, afin d interrompre la communication de routage et causer l effet RFD, est prouvé possible si l attaquant connaît les information sur le système d exploitation du routeur ou surveille le lien afin de réduire le nombre des combinaisons à essayer (port de source, port de destination, numéro de séquence). Dans les traces tcpdumps de MAWI et NLANR, on a des TTL=1 et TTL=64 sur les liens BGP, ce qui permet de dire que le filtrage BTSH n est pas encore appliqué partout. Le DDoS contre le port UDP 520 (RIP) est faisable. L attaque DDoS contre le port BGP (TCP 179) est possible avec des TCP SYN. Il faut faire attention aussi à l attaque TCP SYN avec MD5 sur un lien BGP qui utilise MD5 car le traitement MD5 épuisera les ressources du routeur [28]. L attaquant a la possibilité d'intervenir dans la communication de routage entre deux routeurs avec des messages ARP falsifiés. Ce type d attaque est facile à découvrir car il interrompe aussi la trafic de données [28] 34

35 Chapitre 4 Validation de l'application du paradigme des pots de miel aux attaques sur le routage 1. Analyse de données d attaques vers les pots de miel du projet Leurré.com 1.1. L architecture du système de pots de miel Leurré.com Depuis 2003 l'institut Eurécom a lancé le projet Leurré.com. Le but du projet est de rechercher à large échelle les attaques sur l'internet. Le réseau de 51 plateformes de pots de miel distribués dans une vingtaine de pays du projet permet de collecter globalement les données des attaques où des tentatives de déclencher une attaque sur l'internet. Chaque plateforme contient de 3 machines virtuelles (3 pots de miel) émulant 3 systèmes d'exploitation: Win98, WinNT et Redhat7.3 et un observateur qui collecte les traces tcpdump destinées à ces 3 machines. Ces données tcpdump sont récupérées quotidiennement par une base de données centralisée à l Eurécom (voir l'architecture dans la figure 4.1). Figure 4.1. L architecture du système de pots de miel Leurré.com 35

36 1.2. Les tentatives vers les ports et les protocoles de routage Depuis 2003 jusqu à maintenant, on a trouvé dans la base de données Leurré.com des tentatives de scanner les ports de routage. Cependant le but de ces tentatives n est pas très clair car les processus d'attaque ont scanné souvent une séquence des ports contenant les ports de routage. Il y avait uniquement un cas où l attaquant s intéressait uniquement au port 179 (BGP) en Mai 2005 (Table 4.1). Protocole/Port Nombre des tentatives Tentatives uniquement vers le port de routage BGP (TCP/179) 48 1 RIP (UDP/520) 45 1 OSPF (Protocole numéro 89) 0 0 Table 4.1. Les tentatives de communication de routage vers Leurré.com 1.3. Les tentatives de reconnaître un routeur par traceroute/tracert Avant de lancer une attaque contre l infrastructure de routage, l attaquant est obligé de tracer la topologie du réseau et d'identifier la location des routeurs. Pour collecter ces données, il se sert d un outil très simple : traceroute (sur UNIX/Linux) ou tracert (Windows). Ces outils envoient des paquets UDP vers un port hautement numéroté (>10000) ou des requêtes d écho ICMP (type 8 code 0) avec une valeur TTL de plus en plus grande pour recevoir les paquets ICMP de TTL expiré (type 11 code 0) retournés par les routeurs. Dans la base de données Leurré.com on trouve des paquets avec TTL=1 (Table 4.2). La plupart de ces paquets sont UDP ou ICMP. 733 sur 740 des paquets UDP sont destinés vers un port > sur 2113 des paquets ICMP sont de type 8 code 0 (requête d écho). Ainsi on peut supposer que ce sont des paquets générés par traceroute. TTL Total paquets UDP ICMP Autres Table 4.2. Les tentatives de traceroute/tracert vers Leurré.com 1.4. La détection de boucles de routage par les messages ICMP type 11 code 0 Les paquets ICMP type 11 code 0 indiquent que le temps de vie d'un paquet IP est dépassé à son arrivée à une passerelle. Un routeur enverra un ICMP type 11 code 0 quand il détruit un paquet IP à cause de l expiration du TTL pour éviter une boucle infinie dans le transfert d un paquet. L'en-tête IP du paquet est renvoyé avec ICMP pour que l'expéditeur sache quel paquet a été détruit. Les paquets ICMP type 11 code 0 indiquent qu'il existe une boucle de cheminement ou une valeur de TTL initiale trop petite. 36

37 Figure 4.2. La tendance d augmentation des paquets ICMP 11 vers Leurré.com Les pots de miels Leurré.com reçoivent chaque jour des paquets ICMP de type TTL expiré envoyés par plusieurs routeurs dans le monde (Figure 4.2). Il est très probable que ces paquets ICMP soient le résultat des trafics qui falsifient l adresse IP des pots de miel. Les attaquants qui lancent des DDoS contre des serveurs utilisent souvent des adresses falsifiées dans leurs paquets. On voit la tendance de l élévation de ce type ICMP dans la base de Leurré.com. Ce phénomène peut être expliqué par une augmentation des DDoS sur l Internet, mais on ne peut pas négliger les boucles de routage annoncées par ces ICMP. Il s agit des boucles formées suite à une mauvaise configuration de routeur, par l indisponibilité temporaire des serveurs attaqués par DDoS ou par le délai de convergence BGP. Dans le pire cas, cette tendance signifie aussi des tentatives d attaque contre des routeurs en mettant une valeur TTL très petite pour forcer le traitement des ICMP type 11 dans les routeur. Ce traitement est supposé de pouvoir épuiser les ressources des routeurs. Dans la base de données de Leurré.com, on a observé plusieurs paquets ICMP type 11 qui ont été envoyés par les routeurs de noyau (core routeur) des États-Unis et de la Chine (Figure 4.3). Figure 4.3. La distribution géographique des adresses IP de routeurs qui envoient ICMP 11 à Leurré.com 37

38 2. Analyse de résultat du déploiement d un «routeur de miel» au sein d Eurécom 2.1. Modèle de déploiement du «routeur de miel» avec Netflow Depuis 2005, on a déployé à Eurécom un routeur de miel pour observer les tentatives d attaque vers l infrastructure de routage (Figure 4.4). On a mis en place un routeur Cisco qui renvoie le trafic destiné à lui sous le format Netflow 5 à une machine qui le capture en utilisant des outils Netflow open-source (flow-tools [34], silktools [35], nfdump [36], flowd [37]...). Figure 4.4. Le modèle de déploiement d un routeur de miel Netflow NetFlow représente une fonctionnalité du système d exploitation IOS de Cisco et un protocole ouvert mais propriétaire de Cisco pour rassembler et diffuser l'information du trafic IP qui passe via un routeur. Les données Netflow ne fournissent pas des informations au niveau paquet mais au niveau flux (flux est défini comme une séquence de paquets qui partagent les 5 attributs: IP source, IP destination, port source, port destination et protocole IP). Cette solution réduit le temps de traitement détaillé des paquets pour le système de détection d intrusion (IDS) et est présenté comme une nouvelle technique pour les IDS dans le futur Les informations Netflow récupérées par le «routeur de miel» Les informations Netflow sur les flux destinés au routeur de miel montrent les tentatives de compromettre le routeur via les ports d administration (telnet/22, ssh/23, http/80) et les tentatives sur le protocole de routage (bgp/179, rip/520, ospf/proto89). Les tentatives de tracer le réseau avec traceroute ne peuvent être détectées qu avec Netflow 9 (Netflow 9 définit 2 champs «TTL max» et «TTL min» pour chaque flux de données) 38

39 Port/Protocole Flux Paquets Octets Tentatives vers port d administration Tentatives vers protocoles de routage OSPF (Protocole 89) Table 4.3. Les tentatives d attaque vers le routeur de miel Les données du routeur de miel ne montrent aucune tentative vers les protocoles de routage (Table 4.3). En fait, les attaques de routage devraient s effectuer en toute logique après avoir estimé la topologie de routage. Pour attirer les attaques, il faut faire croire aux attaquants que le routeur se situe à une place très importante dans le réseau. Il vaut mieux qu on puisse déployer plusieurs routeurs de miel dans le monde et dans le réseau des ISP (sur le bord de l'internet) plutôt qu'à Eurécom. Et surtout l adresse IP du routeur de miel doit être trouvable par un traceroute de l attaquant. 3. Validation de l approche de «routeur de miel» dans la détection d attaques de routage En considérant les résultats obtenus avec Leurré.com et le déploiement du routeur de miel à l Eurécom, je trouve que l approche des pots de miel pourra découvrir certaines tentatives vers l infrastructure de routage comme les attaques pour compromettre un routeur et les tentatives vers les protocoles de routage. Pour un réseau qui se situe derrière un pare-feu, l approche de routeur de miel sera efficace (Figure 4.5). Je propose de déployer dans ce cas un routeur de miel en utilisant : Une instance de honeyd [38] qui simule le système d exploitation Cisco IOS Une ensemble des instances d émulation des protocoles de routage Quagga [39]. Quagga est un outil open-source qui implémente tous les protocole de routage et supporte les commandes avec des syntaxes similaires à IOS. Afin d empêcher l attaquant de tracer les routeurs dans le réseau, on peut implémenter des règles de déni des paquets de traceroute. On peut faire encore mieux avec une modification sur le pare-feu pour que celui-ci réponde aux tentatives de traceroute avec des ICMP type 11 dont l adresse source est celle du routeur de miel. Ainsi on attire les attaques vers le routeur de miel. Ce routeur de miel pourrait être ajouté dans les plateformes de Leurré.com. 39

40 Figure 4.5. Le modèle de déploiement d un routeur de miel Pour un réseau qui ne peut pas se cacher derrière un pare-feu (réseau entre les routeurs de noyau), l approche de routeurs de miel ne semble pas efficace. Les attaquants ont suffisamment d'informations pour attaquer des routeurs réels et éviter des routeurs de miel. Dans ce cas, on peut déployer un système de détection d intrusion IDS qui profite les données Netflow du routeur (Figure 4.6). Cet IDS pourrait se composer de : Un outil qui collecte les données Netflow de routeur flow-tools [34]. Selon mes expériences, flow-tools est l'ensemble des outils le plus complet pour récupérer et analyser les données Netflow par rapport à nfdump [36], flowd [37] et silktools [35]. Un détecteur d intrusion qui analyse les flux Netflow vers les ports d administration Un détecteur d'anomalies sur les protocoles de routage. Ce détecteur peut employer le technique d analyse en ondelettes proposée par C. Chuah et al [20]. C. Chuah et al. ont montré l'auto-similarité des messages de routage et ont implémenté la détection d anomalie par l analyse en ondelettes sur le nombre de messages de routage. Une analyse en ondelettes sur les octets de flux Netflow sur la communication de routage pourrait donner le même résultat dans la détection d anomalie. Figure 4.6. Le système IDS de routage Netflow Le système IDS Netflow proposé est léger et permet de détecter les attaques en temps réel car il n'a pas besoin de vérifier le contenu des messages de routage. Par contre l'approche «routeurs de miel» ne permet de détecter une attaque de routage que dans ses premières phases comme des tentatives de compromettre un routeur via les ports administratifs (http, telnet, ssh) et les tentatives de reconnaître un routeur par traceroute ou nmap [42] (outil de fingerprint). La capacité de détecter les types d attaque est présentée dans la table

41 Type d attaque Compromettre un routeur via les ports administratifs (http, telnet, ssh) Reconnaître un routeur par traceroute Tentatives vers les protocoles de routage (BGP, RIP, OSPF) Insérer de fausses annonces Modifier des attributs de l'annonce originale Capacité de détection Routeur de miel IDS Netflow Oui Oui Oui Oui (Avec Netflow 9) Oui Non Non Oui Oui (Si l insertion produit un grand nombre d annonces) Oui (Si la modification implique un grand nombre d annonces) Inonder des annonces Non Oui Retenir des annonces Non Non Capturer des paquets pour une attaque cryptanalytique MD5 Non Non Attaquer via TCP et ICMP Oui Oui Table 4.4. La capacité de détecter des attaques de routage par «routeur de miel» et IDS Netflow 41

42 Conclusion et perspectives Les problèmes dans les protocoles de routage sont nombreux et susceptibles d être exploités par plusieurs types d attaque. Le protocole BGP qui joue un rôle important dans la connectivité de l Internet contient lui-même des vulnérabilités critiques. Des recherches dans le domaine de sécurité prédisent des attaques sérieuses visant ce protocole dans un futur proche. Plusieurs travaux de recherche ont prouvé ces vulnérabilités principalement par simulation. Dans le travail de mon stage, j ai essayé de donner une vue systématique des tentatives vers l infrastructure de routage par la validation des arbres d attaques. La validation de ces types d'attaque se fait par l analyse détaillée des données du trafic de routage actuel: Route-Views, RIPE NCC, des traces tcpdump de MAWI/NLANR. Les résultats obtenus montrent que la plupart des types d'attaque de routage sont faisables et hautement risqués dans la réalité. Les techniques de détection d attaques de routage actuelles exigent une analyse détaillée du contenu des annonces qui sont trop nombreuses pour exécuter en temps réel. J ai examiné la capacité des pots de miel dans la détection d attaques de routage par des analyses sur les données du projet des pots de miel Leurré.com, les données d un «routeur de miel» déployé à l Eurécom depuis l année dernière et les traces tcpdump du projet Telescope. A partir des résultats d analyse, je propose un modèle de déploiement des routeurs de miel pour Leurré.com et un système IDS avec Netflow pour détecter des anomalies de routage dans le réseau. Le système IDS utilisant Netflow dans ce cas est considéré léger et permet de détecter des attaques en temps réel car il ne vérifie pas le contenu des messages de routage. Par contre l'approche inspirée de la technique «pots de miel» ou «routeurs de miel» ne permet de détecter une attaque de routage que dans ses premières phases comme des tentatives de compromettre un routeur via les ports administratifs (http, telnet, ssh) et les tentatives de reconnaître un routeur par traceroute ou nmap (fingerprint). Ce travail peut être continué par le déploiement du système IDS proposé dans le réseau des ISP. 42

43 Références [1] O. Nordstrom and C. Dovrolis, Beware of BGP attacks, SIGCOMM Computer Communications Review (2004) [2] T. Wan and P. Oorschot, Analysis of BGP Prefix Origins During Google s May 2005 Outage, 2nd International Workshop on Security in Systems and Networks (2006) [3] C. Labovitz, A. Ahuja, A. Bose and F. Jahanian, Delayed Internet Routing Convergence, ACM SIGCOMM (2000) [4] S. Kent, C. Lynn and K. Seo, Secure Border Gateway Protocol (S-BGP) IEEE JSAC Special Issue on Network Security (2000) [5] A. Retana, Secure Origin BGP sobgp, NANOG28 Meeting (2003) [6] T. Wan, E. Kranakis and P. Oorschot, Pretty Secure BGP (psbgp), 12th Annual Network and Distributed System Security Symposium (2005) [7] J. Karlin and S. Forrest, Pretty Good BGP: Protecting BGP by Cautiously Selecting Routes, Technical Report TR-CS , University of New Mexico (2005) [8] A. Heffernan, Protection of BGP Sessions via the TCP MD5 Signature Option IETF RFC 2385 (1998) [9] A. Sridharan, Sue. Moon and C. Diot, On the Correlation between Route Dynamics and Routing Loops, Internet Measurement Conference (2003) [10] D. Pei, L. Zhang, X. Zhao and D. Massey, A Study of BGP Path Vector Route Looping Behavior, International Conference on Distributed Computing Systems ICDCS (2004) [11] S. Convery and M. Franz, BGP Vulnerability Testing: Separating Fact from FUD, NANOG28 Meeting (2003) [12] R. Mahajan, D. Wetherall and T. Anderson, Understanding BGP Misconfiguration, ACM SIGCOMM (2002) [13] J. Kim, S. Ko, D. Nicol, X. Dimitropoulos and G. Riley, A BGP Attack Against Traffic Engineering, Proceedings of the 2004 Winter Simulation Conference (2004) [14] K. Sriram, D. Montgomery, O. Borchert, O. Kim and Rick Kuhn, Autonomous System Isolation under BGP Session Attacks with RFD Exploitation, IEEE JSAC special issue on High-Speed Network Security (2006) [15] K. Zhang, S. Wu and X. Zhao, An Analysis on Selective Dropping Attack in BGP, Proceedings of IEEE International Performance Computing and Communications Conference (2004) [16] F. Gont, ICMP attacks against TCP, Internet Draft (2006) [17] M. Lad, L. Zhang, X. Zhao, B. Zhang and D. Massey, Analysis of BGP Update Surge during Slammer Worm Attack, 5th International Workshop on Distributed Computing (2003) [18] K. Zhang, A. Yen, S. Wu, X. Zhao, D. Massey and L. Zhang, On Detection of Anomalous Routing Dynamics in BGP, Proceedings of Networking LNCS (2004) [19] J. Zhang, J. Feigenbaumy and J. Rexford, Learning-Based Anomaly Detection in BGP Updates. Proceedings of SIGCOMM Workshop on Mining Network Data (2005) [20] L. Yuan, J. Mai and C. Chuah, BGP Anomaly Detection Using Wavelet Analysis, Technical Report ECE-CE University of California, Davis (2004) 43

44 [21] C. Kruegel, D. Mutz, W. Robertson and F. Valeur, Topology-Based Detection of Anomalous BGP Messages RAID (2003) [22] S. Teoh, K. Ma, S. Wu, D. Massey, X. Zhao, D. Pei, L. Wang, L. Zhang and Randy Bush, Visual-based Anomaly Detection for BGP Origin AS Change (OASC) Events, 14th IFIP/IEEE International Workshop on Distributed Systems: Operations and Management DSOM (2003) [23] L. Subramanian et al., Listen and whisper: Security mechanisms for BGP, In First Symposium on Networked Systems Design and Implementation (2004) [24] X. Zhao, D. Massey, A. Mankin, D. Pei, L. Wang, S. Wu and L. Zhang, Detection of Invalid Routing Announcement in the Internet, Proceedings of International Conference on Dependable Systems and Networks 2002 [25] B. Akyol and A. Wright, Securing Interdomain Routing with Reachability Validation Graphs, CIAG Research Projects (2004) [26] W. Aiello, J. Ioannidis and P. McDaniel, Origin Authentication in Interdomain Routing, Proceedings of 10th ACM Conference on Computer and Communication Security (2003) [27] D. Chang, R. Govindan and J. Heidemann, An Empirical Study of Router Response to Large Bgp Routing Table Load, Proceedings of the ACM SIGCOMM Internet Measurement Workshop (2002) [28] A. Vladimirov, K. Gavrilenko, J. Vizulis and A. Mikhailovsky, Hacking Exposed Cisco Networks: Cisco Security Secrets & Solutions, McGraw- Hill/Osborne Media (2006) [29] R. White, D McPherson, S. Sangli, Practical BGP, Addison Wesley (2005) [30] MAWI Working Group Traffic Archive [31] The National Laboratory for Applied Network Research (NLANR) [32] PlanetLab - A collection of machines distributed over the globe [33] University of Oregon Route Views Project [34] Flow-tools A software package for collecting and processing NetFlow data from Cisco and Juniper routers [35] Silktools - A suite of open source tools for monitoring large-scale networks using flow data [36] Nfdump - Tools collect and process netflow data [37] Flowd - A small NetFlow collector [38] Honeyd - A small daemon that creates virtual hosts on a network [39] Quagga - Routing software suite [40] Leurré.com Honeypot project [41] IUCC/IDC Internet Telescope project [42] NMAP - Free open source utility for network exploration or security auditing [43] TCPdump: 44

45 Termes et abréviations Terme ou Abréviation Terme en anglais Description ARP Address Resolution Protocol Protocole de résolution d'adresse qui effectue la traduction d'une adresse de protocole de couche réseau (IP) en une adresse Ethernet (MAC) AS Autonomous System Ensemble des réseaux et routeurs sous la même administration et politique de routage AS PATH Autonomous Systems Path Attribut dans un annonce BGP, contenant une séquence de numéro des AS. Des numéros de AS sont des numéro d identification assignés par IANA (Internet Assigned Number Authority) BGP Border Gateway Protocol Protocole d échanger des informations de routage de facto qui assure la connectivite entre les AS BTSH BGP TTL Security Hack Recommandation de mettre la valeur TTL en 255 et filtrer les TTL<254 sur le lien BGP pour empêcher les tentatives d attaques depuis les machines qui se situent loin du routeur. CIDR Classless Inter-Domain Routing Mécanisme d effectuer des agrégation sur les préfixes DoS Denial of Service Déni de service est un type d'attaque qui vise à rendre une application informatique incapable de répondre aux requêtes de ses utilisateurs souvent par saturation des ressources DDoS Distributed Denial of Service Attaques DoS simultanément effectuées par plusieurs machines contre un seul EIGRP ICMP Enhanced Interior Routing Protocol Internet Control Message Protocol Protocole de routage intradomaine propriétaire de Cisco Protocole de message de contrôle sur Internet, qui permet le contrôle des erreurs de transmission IDS Intrusion Detection Sytem Système de détection des intrusions 45

46 IGRP Terme ou Abréviation Terme en anglais Description Interior Gateway Routing Protocol Protocole de routage intradomaine propriétaire de Cisco pour remplacer RIP IOS Internet Operating System Système d exploitation propriétaire de Cisco utilisé dans les équipements de réseau IP Internet Protocol Protocole de couche réseau qui gère le transport et le routage des paquets IS-IS Intermediate System to Intermediate System Protocole de routage de type d état de lien proposé par ISO ISP Internet Service Provider Fournisseur de service d Internet LSA Link-State Advertisement Message de routage de OSPF MED Multi-Exit Discriminator Attribut dans une annonce BGP pour exprimer la préférence de trafic sur un lien dans le cas ou il existe plusieurs liens entre deux AS MOAS MRAI Multi Origin Autonomous System Minimum Route Advertisement Interval Adresse de reseau qui est annoncée par plusieurs AS comme son origine Intervalle minimale entre deux annonces d un chemin BGP OSPF Open Shortest Path First Protocole de routage de type d état de lien utilisant l algorithme Dijkstra pour calculer les meilleurs routes UDP User Datagram Protocol Protocole de transport non-fiable en mode non-connecté RIP Routing Information Protocol Protocole de routage de type vecteur de distance RIR Regional Internet Registries Organisation qui gère les adresses IP dans sa zone géographique RFC Request for Comment Demande de commentaires pour les documents et normes concernant l'internet RFD Route Flap Dampening Mécanisme de BGP visant à réduire les effets de l'oscillation de routes en ignorant les routes qui changent trop fréquemment RIPE NCC RPSL Réseaux IP Européens Network Coordination Center Routing Policy Specification Language Centre RIR des pays européens Langage de spécification des politiques de routage TCP Transmission Control Protocol Protocole de transport fiable, en mode connecté 46

47 Terme ou Abréviation Terme en anglais Description TTL Time-To-Live Temps de vie d un paquet IP. C'est une valeur qui est décrémentée à chaque passage d'un routeur. Dès que cette valeur atteint 0, le paquet est détruit par le routeur et annonce au émetteur un ICMP de TTL excédé. Ceci évite la boucle à l'infini d un paquet 47