Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

BGP serial hijackers: een reproduceerbaarheidsonderzoek en beoordeling van de huidige dynamiek

Kwaadwillende AS'en vormen nog steeds een bedreiging voor de veiligheid van het internet

Handen typen op het toetsenbord van de desktopcomputer in een donkere kamer
  • donderdag 24 oktober 2024
  • Artikel door: Ebrima Jaw

De oorspronkelijke blogpost is Engelstalig, dit is de Nederlandse vertaling ervan.

Auteurs: Ebrima Jaw (Universiteit Twente), Moritz Müller (Universiteit Twente, SIDN Labs), Cristian Hesselman (Universiteit Twente, SIDN Labs), Lambert Nieuwenhuis (Universiteit Twente)

Ondanks het belang van het BGP voor de schaalbaarheid en robuustheid van het internet, blijft het protocol kwetsbaar voor prefixkapingen, die de toegang tot kritieke diensten kunnen verstoren. Hoewel veel incidenten met het kapen van prefixen worden toegeschreven aan misconfiguraties, betogen wij dat ze niet zomaar mogen worden weggewuifd. Zelfs onbedoelde kapingen kunnen leiden tot significante inbreuken op de veiligheid en uitval van diensten. In deze blog werpen we licht op deze kwestie en benadrukken we het belang van een proactieve aanpak van deze risico's door middel van het creëren van Route Origin Authorizations (ROA's) voor gebruikte én ongebruikte prefixen en het afdwingen van Route Origin Validation (ROV) om de impact van dit soort incidenten te beperken. Deze blog is een samenvatting van een paper die we onlangs op een conferentie hebben gepresenteerd.

BGP: beveiligingslekken en huidige tegenmaatregelen

Het Border Gateway Protocol (BGP) is het meest cruciale protocol van het internet om netwerken, zogeheten Autonome Systemen (AS'en), in staat te stellen informatie over hun bereikbaarheid te delen voor optimale padselectie en verkeersroutering. Daarnaast geeft het protocol AS'en de mogelijkheid om routes uit te wisselen zonder gecentraliseerde controle, waardoor netwerkbeheerders de flexibiliteit hebben om prefixen (een reeks IP-adressen) naar hun upstreams, peers en andere netwerken te sturen zonder een standaard authenticatiemechanisme om het eigendom van netwerkbronnen te valideren. Deze gecentraliseerde aanpak heeft ervoor gezorgd dat het internet kon groeien en effectief functioneert, maar vormt ook een aanzienlijke bedreiging voor de internetinfrastructuur, vanwege de kwetsbaarheid voor prefixkapingen en andere problemen.

Prefixkapingen en tegenmaatregelen

Dat het BGP niet beschikt over een mechanisme waarmee verbonden AS'en standaard de authenticiteit van beschikbare routes kunnen verifiëren, wordt vaak uitgebuit om op grote schaal kwaadwillige of onbedoelde kapingen van netwerkprefixen te veroorzaken, waardoor de toegang tot kritieke systemen en diensten in gevaar komt. Zo zorgde het recente incident met een kaping en routelek waarbij een meer specifieke prefix (1.1.1.1/32) van Cloudflare's 1.1.1.1 betrokken was ervoor dat de DNS-resolver 7 uur en 37 minuten lang onbereikbaar was voor zo'n 300 netwerken in 70 landen, voordat het probleem volledig was verholpen.

BGP-extensies zoals Route Origin Validation (ROV) van RPKI kunnen prefixkapingen voor een deel voorkomen, maar hun dekking is nog niet breed genoeg. Andere maatregelen zoals ASPA en BGPSec bevinden zich in een vroeg stadium van implementatie of moeten nog in het wild worden toegepast.

Motivatie voor het bestuderen van BGP serial hijackers

Testart et al. bedachten de term 'serial hijackers', om te verwijzen naar kwaadwillende actoren die herhaaldelijk prefixkapingen uitvoeren op verschillende netwerken, soms maanden- of jarenlang. Vervolgens gebruikten ze meerdere datasets om de kenmerken van serial hijackersom te zetten in statistische eigenschappen voor de profilering van serial hijackers in het wild.

Dat was in 2019 en nog steeds zijn deze auteurs de enigen die onderzoek hebben gedaan naar seriekapingen. Ze baseerden hun onderzoek op terabytes aan BGP-gegevens, een enorme opgave voor onderzoekers met beperkte middelen. Daarom is de motivatie voor ons onderzoek om (i) hun methode te valideren met minder gegevens, (ii) de evolutie van seriekapingen sinds 2019 te beoordelen, en (iii) vast te stellen welke acties de internetgemeenschap heeft ondernomen als reactie op de gerapporteerde vermeende serial hijackers.

Onze aanpak

We selecteerden slechts 1 dagelijkse momentopname van 5 minuten van de dataset 'peer-pfx-origins' voor 2014-2018 en gebruikten het programma BGPView van CAIDA om de recente momentopnamen voor 2019-2023 te berekenen. We vulden bovenstaande gegevens aan met RIR delegation files en longitudinale MOAS-datasets (Multiple Origin ASes), bestaande uit prefixen die afkomstig waren van meer dan 1 AS. Tot slot gebruikten we bovenstaande datasets om de dominante kenmerken van serial hijackers te bestuderen in combinatie met onze schaarse datasets en om te zetten in statistische eigenschappen voor onze classificatie. We vatten onze bevindingen samen in de volgende 2 secties.

Bevindingen

1. Classificatie van netwerken met schaarse data

We gebruikten berekende eigenschappen uit onze schaarse dataset voor de ground truth (240 AS'en waarvan we weten of ze malafide of bonafide zijn) en de voorspellingsset (10.623 AS'en die ten minste 10 prefixen verstuurden) om onze machine learning classifier te trainen en evalueren voor het beoordelen van de huidige dynamiek van kapingsincidenten. Onder de 240 AS'en voor de ground truth waren 23 malafide netwerken die vermeld werden in de NANOG-mailinglist voor herhaaldelijk gekaapte prefixen. De overige 217 netwerken waren bonafide. Onze resultaten tonen aan dat het voldoende is om de langetermijnkenmerken van reguliere en malafide netwerken te karakteriseren met onze schaarse dataset.

Vervolgens werden 766 AS'en uit onze voorspellingsset (10,6K) door ons model aangemerkt als verdacht, zoals te zien is in Figuur 1. We vergeleken eerst onze aangemerkte AS'en met die in 2019 door Testart et al. waren geïdentificeerd. We ontdekten dat beide modellen 279 AS'en (36,41% van onze aangemerkte netwerken) hadden aangemerkt als netwerken met de kenmerken van een serial hijakcer, wat bevestigt dat er een redelijke overeenkomst tussen beide modellen bestaat ten aanzien van het bestaan van serial hijackers.

Verdelingen van AS'en in een dataset voor een onderzoek.

Figuur 1: Verdelingen van AS'en in onze dataset, voorspellingsset en de aangemerkte AS'en.

Samenvattend zagen we aanwijzingen van mogelijk kwaadwillend en legitiem onconventioneel gedrag onder onze aangemerkte AS'en. Onze aangemerkte AS'en werden bijvoorbeeld vaker aangetroffen tussen de geblackliste AS'en dan niet-aangemerkte AS'en. Tot slot stelden we ook vast dat vermeende serial hijackers vaak actief blijven of op z'n minst toegewezen blijven door de Regional Internet Registries (RIR's).

2. Het lot van de vermeende serial hijackers

We gebruikten RIS-gegevens en archieven van IP-adrestoewijzingen van RIPE en toewijzingen van de 5 RIR's om te achterhalen wat er is gebeurd met de 23 vermeende seriekapende AS'en uit 2019. We ontdekten dat 9 AS'en (39,0%) eind 2022 nog steeds actief waren en prefixen aankondigden. 8 AS'en (34,8%) werden na hun kapingsactiviteiten enige tijd niet toegewezen, maar werden op een later moment opnieuw toegewezen door RIR's. Het is onduidelijk of de nieuwe eigenaren andere waren dan voorheen. Tot slot zijn er nog 4 AS'en (17,4%) die niet meer toegewezen of opnieuw toegewezen zijn, en 2 AS'en (8,7%) die nog steeds toegewezen waren aan dezelfde entiteit, maar geen prefixen aankondigen die zichtbaar zijn in RIS.

Verder duurt het niet altijd even lang voordat de toewijzing van een seriekapend AS wordt ingetrokken. AS'en bleven bijvoorbeeld een mediaan van 239 dagen na de laatste BGP-aankondigingen toegewezen en 2 AS'en gingen nog 20 tot 24 dagen door met het aankondigen van prefixen terwijl ze niet meer waren toegewezen. We beschouwden de aankondigingen in kwestie als ongeldig.

Kort samengevat was 60% van de vermeende kapers niet langer actief. Het is echter onduidelijk of de AS'en in kwestie hun activiteiten vrijwillig staakten of als gevolg van maatregelen zoals het beëindigen van peering-relaties of het intrekken van toewijzingen. Ongeveer 40% van de vermeende kapers was aan het einde van de onderzoeksperiode actiever op de mondiale routeringstabel dan daarvoor. Een mogelijke verklaring zou kunnen zijn dat hun onregelmatige gedrag te wijten was aan wanbeheer, dat later werd opgelost. Een andere verklaring zou kunnen zijn dat de gemeenschap hen niet heeft gestraft voor hun kwaadwillende gedrag.

Discussie: validatie van opzettelijke kaping

Hoewel we onder onze aangemerkte AS'en verdacht gedrag hebben vastgesteld, valt het door de complexe impliciete relaties tussen AS'en niet mee om te achterhalen of er opzet in het spel is. Zo was er een vermeende serial hijakcer (AS19529) wiens gedrag we in detail hebben bestudeerd. 41,6% van zijn aangekondigde prefixen behoort toe aan AS20473, AS397460 en AS39879. Nader onderzoek wees uit dat er sprake was van een klant/aanbiederrelatie tussen AS19529 en AS397460, wat technisch gezien mogelijk is , maar niet iets is wat wordt aanbevolen. Daarom adviseren we om meer onderzoek te doen naar de impact van legitieme versturing van MOAS-prefixen en IP-leasing op systemen voor het classificeren van kapingen.

Reageren op kapingen en onmiddellijk uitvoerbare aanbevelingen

Zelfs als we mogelijke serial hijackers betrouwbaar zouden kunnen identificeren, moeten de onderzoeks- en beheerdersgemeenschappen nog steeds beslissen hoe ze tegen hen optreden. Daarom zou een zorgvuldig uitgewerkte aanpak van 'naming-and-shaming' een positief effect kunnen hebben op de beveiligingsstrategie van het ecosysteem voor de routering tussen domeinen en zo zorgen voor grotere transparantie en verantwoordingsplicht. Op vergelijkbare wijze zouden RIR's zoals RIPE NCC het voortouw kunnen nemen en wetenschappelijke onderzoekers, de industrie, juristen en alle stakeholders betrokken bij de governance van het internet kunnen verenigen om onder hun leiding een standaard en robuust reputatiesysteem te ontwikkelen waarmee AS'en worden geclassificeerd op basis van de prefixen die ze versturen. Het openbaar maken van de reputatiescores zou mogelijke kwaadwillige kapingen tot een minimum beperken.

Net als het MANRS-initiatief zijn ook wij van mening dat een grotere adoptie van RPKI's ROA en het afdwingen van ROV een aanzienlijke mitigatie zou betekenen van het merendeel van de origin hijacks die we onder de vermeende serial hijackers tegenkwamen. Daarom benadrukken we het belang van een gezamenlijke inspanning van netwerkbeheerders om ROA's te registreren voor al hun prefixen, ook die niet in gebruik zijn, en routevalidering af te dwingen. Een dergelijk verenigd front zou de ontwikkeling van een robuuster en veiliger ecosysteem voor de routering tussen domeinen faciliteren.

Beperkingen en toekomstig onderzoek

Met onze steekproefmethode, die is gebaseerd op 1 dagelijkse momentopname, kunnen kortstondige kapingen snel worden gemist. Ook zullen kwaadwillende actoren die padkapingen uitvoeren niet worden gedetecteerd. Onze classifier registreerde ook foutpositieven, bijvoorbeeld door AS'en aan te merken die een significant aandeel MOAS-prefixen verstuurden. Tot slot moeten onze resterende aangemerkte AS'en nog worden gevalideerd. We zijn daarom van plan om voorzieningen te treffen voor een pijplijn om de intentie achter prefixkaping onder de resterende nog niet gevalideerde aangemerkte AS'en te achterhalen. Ook willen we woordvectoren zoals Word2Vec gebruiken om cruciale semantische eigenschappen te extraheren en zo onze foutpositieven te verminderen.

Conclusie

Concluderend hebben we aangetoond dat het mogelijk is om netwerken te karakteriseren met 99,6% minder data dan bij eerder onderzoek. Ook hebben we een concurrerende classifier ontwikkeld die de huidige trends op het gebied van seriekapingen evalueert. We hebben mogelijk kwaadwillend en legitiem eigenaardig gedrag waargenomen onder onze aangemerkte AS'en, waarvan sommige nog steeds betrokken zijn bij gerapporteerde kwaadwillige activiteiten.

Hoewel we de afgelopen 5 jaar (2019-2024) geen toename van seriekapingsactiviteiten hebben waargenomen, vormen mogelijk kwaadwillende AS'en nog steeds een bedreiging voor de veiligheid van het internet. Ten slotte hebben we ook bevestigd dat de meeste vermeende serial hijackers nog steeds actief zijn op het internet, wat erop wijst dat de routeringsgemeenschap nog steeds zoekende is naar een gemeenschappelijke strategie om kwaadwillend gedrag aan te pakken, of dat het onregelmatige gedrag van de AS'en in kwestie te wijten was aan wanbeheer dat inmiddels is verholpen.

Als je meer wilt weten over ons onderzoek, raden we je aan om onze paper te lezen en contact met ons op te nemen als je vragen of suggesties hebt.

Met dank aan

Onze dank gaat uit naar het programma Network Security van het Twente University Centre for Cybersecurity Research (TUCCR) onder subsidienummer 20003215. Het onderzoek van Cristian Hesselman maakte tevens deel uit van de projecten CATRIN en UPIN, die beide financiering ontvingen van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO).

Artikel door:

Ebrima Jaw

Ebrima Jaw

PhD student

Ebrima is sinds 2022 PhD-student in Design and Analysis of Communication Systems (DACS) aan de Universiteit Twente. Hij behaalde zijn MSc in 2022 in Computer Science and Technology (Network and Information Security) aan de Guizhou University in China. Zijn huidige onderzoeksinteresses zijn inter-domein routing security en internetmeting.