De Internet Measurement Conference in Nederland

De ACM Internet Measurement Conference 2019 werd gehouden in het prachtige Royal Tropical Institute (KIT) in Amsterdam en trok meer dan 230 deelnemers uit de academische wereld en de industrie. Het jaarlijks terugkerende evenement brengt al sinds 2001 deskundigen uit de industrie en de academische wereld bij elkaar. Voor deze editie werden 39 papers geaccepteerd die betrekking hadden op de meest uiteenlopende onderwerpen, van advertentienetwerken tot virusscanners. In deze blogpost concentreren we ons op de onderzoeksthema's die het meest relevant zijn voor SIDN Labs: DNS, routing, security en het IoT. Een lijst van alle geaccepteerde papers vind je op de website van het evenement.

DNS: 7 geaccepteerde papers en nog steeds een actueel thema

DNS lijkt steeds meer aandacht te krijgen van de onderzoekscommunity, wat erop duidt dat het nog steeds een relevant en kritiek onderdeel van het internet is en wordt gezien als een aantrekkelijk onderzoeksgebied.

De recente discussie over DNS-versleuteling is opgepakt door de onderzoekscommunity. In twee papers werd verslag gedaan van metingen waarbij het klassieke DNS over TCP/UDP werd vergeleken met versleuteld DNS over TLS en HTTPS (DoT en DoH), in een poging te achterhalen wat de potentiële impact op de prestatie is. De bevindingen waren dat de prestatie in lichte mate wordt beïnvloed, maar dat er geen sprake is van significante overhead. De implementatie van beide protocollen is nog steeds laag, maar neemt gestaag toe. Een ander onderwerp dat de DNS-community al jaren bezighoudt, is de EDNS0 client-subnet (ECS) extensie, waarmee resolver-operators nameservers kunnen attenderen op (delen) van de IP-adressen van hun clients. Met name Content Delivery Networks (CDN's), die DNS gebruiken voor verkeersmanagement, zijn afhankelijk van deze functionaliteit. Uit één studie bleek dat veel resolvers te veel gegevens over hun clients lekken. Ook werd aangetoond dat implementaties van ECS vaak veel bugs bevatten, wat voor sommige internetgebruikers leidt tot aanzienlijk prestatieverlies. Het DNS was ook de focus van onze bijdragen aan het evenement. Mijn collega Giovane presenteerde zijn onderzoek over het kiezen van de juiste TTL-waarden voor DNS-records. Meer informatie is te vinden in de blogpost die hij daar pas over schreef. Giovane werkte ook mee aan een grootschalige studie van DNS-verkeersgegevens die afkomstig waren van recursieve resolvers. Een van de vele bevindingen van deze studie was dat 10 procent van alle nameservers ongeveer de helft van al het verkeer voor hun rekening neemt. Dit wijst op toenemende centralisatie binnen het DNS.

Award voor SIDN Labs

Onze derde bijdrage was een onafhankelijke analyse van de allereerste DNSSEC root KSK rollover ooit, een project dat er in feite toe kon leiden dat een kwart van alle gebruikers zonder internet zou komen te zitten. Het project was een samenwerking tussen zes internationale onderzoeksorganisaties en -bedrijven en werd aangestuurd door SIDN Labs. Hoewel onze conclusie was dat de rollover al met al een succes was, kwamen er ook tal van verontrustende eigenaardigheden aan het licht, zoals een zeer verrassende toename van het aantal queries van bijna 7 procent van de totale queryload op de rootservers. De jury van IMC roemde de uitvoering en actualiteit van onze paper, getiteld “Roll Roll Roll Your Root: A Comprehensive Analysis of the First Ever DNSSEC Root KSK Rollover”, en kende ons een van de twee Distinguished Paper Awards toe.

Een deel van het auteursteam van onze paper “Roll Roll Roll Your Root”, die een Distinguished Paper Award kreeg .

Routing: de paden van het internet beveiligen

Een ander kernprotocol dat weer in zwang lijkt te zijn, is het Border Gateway Protocol (BGP), vooral sinds er meer publiciteit is rondom BGP-kapingen en de beveiligingsextensie RPKI. In de paper “Profiling BGP Serial Hijackers: Capturing Persistent Misbehavior in the Global Routing Table” werd een zelflerend model gepresenteerd dat in staat is om netwerken op het internet die herhaaldelijk de prefixen van andere netwerken kapen, automatisch te classificeren. Met behulp van dit model kon het team honderden netwerken opsporen die zich mogelijk misdragen. Deze paper kreeg de andere Distinguished Paper Award toegekend. Proficiat! De hierboven beschreven resultaten benadrukken de noodzaak voor RPKI, de Resource Public Key Infrastructure. Met RPKI kunnen netwerkbeheerders aangeven welke IP-adressen ze via welke netwerken aankondigen. Vervolgens kunnen routers op het internet deze informatie verifiëren en zo detecteren of er door andere netwerken netwerkprefixen worden gekaapt. Als zo'n kaping succesvol is, kan verkeer worden omgeleid naar bijvoorbeeld malafide websites. Een team met onder meer Taejoong Chung en Roland van Rijswijk-Deij, die ook meewerkten aan onze bekroonde paper, constateerde dat het gebruik van RPKI toeneemt. Zo'n 12 procent van de aangekondigde IP-ruimte is nu gedekt en er zijn nog maar weinig misconfiguraties. Een andere paper keek niet naar de veiligheid maar naar de weerbaarheid van BGP. Door middel van anycast kunnen beheerders een dienst aankondigen vanaf meerdere locaties en als een van die locaties uitvalt, kunnen clients de dienst nog steeds bereiken via de andere locatie. Anycast kan zeer effectief zijn, maar moet met beleid worden beheerd. De paper “Taming Anycast in a Wild Internet” laat zien dat round-trip times voor bepaalde clients aanzienlijk kunnen worden verbeterd door BGP-aankondigingen zorgvuldig aan te passen. Beheerders moeten er echter wel rekening mee houden dat de aanpassingen voor andere clients minder gunstig kunnen uitpakken.

Security en het IoT: bedreigingen in allerlei soorten en maten

Security is nog steeds een thema dat de aandacht van onderzoekers heeft en ook dit jaar ging bijna de helft van alle papers weer over verschillende aspecten van internet security.

Een paper over het Internet of Things (IoT), dat we hier bij SIDN Labs ook een stukje veiliger proberen te maken, ontving de Community Contribution Award voor het publiceren van de beste dataset. De auteurs volgden het gedrag van tientallen IoT-apparaten en kwamen tot de ontdekking dat veel van deze apparaten communiceren met systemen buiten hun rechtsgebied, wat mogelijk privacyrisico's met zich meebrengt. Besmette IoT-apparaten maken vaak deel uit van grote botnets die worden ingezet bij DDoS-aanvallen. Tegenwoordig kan iedereen een DDoS-aanval uitvoeren door gebruik te maken van een booter-service. Met zo'n service kunnen zelfs mensen zonder enige technische kennis voor een paar euro schoolwebsites, gameservers of concurrenten aanvallen. Twee papers onderzochten hoe doeltreffend pogingen om booter-sites neer te halen zijn. Allebei kwamen ze tot de conclusie dat deze vorm van fraudepreventie nog steeds neerkomt op een kat-en-muisspelletje. Wat het gebruik van booter-sites verrassend genoeg wel bleek te verminderen, was het inzetten van advertenties in Google waarin potentiële klanten worden gewezen op het feit dat de services illegaal zijn en het gebruik ervan zal worden bestraft. Tot slot analyseerde de paper “Down the Black Hole: Dismantling Operational Practices of BGP Blackholing at IXPs” een veelgebruikte maatregel tegen DDoS-aanvallen op Internet Exchange Points (IXP's). Blackholing wordt gebruikt om ongewenst verkeer weg te filteren voordat dit het beoogde netwerk bereikt. De auteurs constateerden dat blackholing weliswaar veel wordt gebruikt, maar dat daarmee niet al het aanvalsverkeer wordt weggefilterd. Ze adviseren beheerders dan ook dringend om een fijnmazige filtering te implementeren, wat veel effectiever zou zijn.

Ter afronding van een geslaagd IMC

Wat de IMC zo bijzonder maakt, is de veelzijdigheid van de geaccepteerde papers. Behalve over DNS, BGP en veiligheid werden er interessante papers gepresenteerd over onderwerpen als congestiebeheer, het advertentie-ecosysteem, de decentralisatie van het web en nog veel meer. Wij van SIDN Labs hebben IMC 19 met veel plezier gesponsord, helpen organiseren en bijgewoond en we kijken nu al uit naar de editie van volgend jaar.