JP2019506102A - グローバルルーティングハイジャックを発見するための方法および装置 - Google Patents
グローバルルーティングハイジャックを発見するための方法および装置 Download PDFInfo
- Publication number
- JP2019506102A JP2019506102A JP2018544248A JP2018544248A JP2019506102A JP 2019506102 A JP2019506102 A JP 2019506102A JP 2018544248 A JP2018544248 A JP 2018544248A JP 2018544248 A JP2018544248 A JP 2018544248A JP 2019506102 A JP2019506102 A JP 2019506102A
- Authority
- JP
- Japan
- Prior art keywords
- prefix
- prefixes
- bgp
- routing
- update information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/033—Topology update or discovery by updating distance vector protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本願は、「グローバルルーティングハイジャックを発見するための方法および装置(Methods and Apparatus for Finding Global Routing Hijacks)」と題される2016年2月22日に出願された米国出願番号第62/298,169号の、米国特許法第119条(e)のもとでの優先権利益を主張する。この出願は、全文が引用によって本明細書に援用される。
2013年2月に、ベラルーシ人攻撃者が、選択されたインターネットトラフィックを自身のネットワークを介してリダイレクトした。このことは、当該攻撃者が、進路変更されたトラフィックをコピーし、その内容を検証して、将来的な攻撃のためのターゲットを特定することが可能であったことを意味する。主なターゲットは、大手金融機関、さまざまな政府および世界的なネットワーク会社を含んでいた。この動きは、2013年2月にはほぼ毎日確認されたが、3月の初めに突然中断し、5月に数日間だけ再び見られた。歴史的視点から限定的に振り返ってみると、同様のベラルーシ人の攻撃は、2012年の間ずっと、さまざまなターゲットに対して散発的に発生した。
本技術の実施形態は、インターネット上でルーティングハイジャックを検出する方法を含む。これらの方法の例は、インターネット上で複数の自律システム(Autonomous System:AS)の中の複数のボーダーゲートウェイプロトコル(Border Gateway Protocol:BGP)ルータから複数のBGP更新情報を収集するステップを含む。これらのBGP更新情報の各々は、少なくとも1つのプレフィックスを含む。BGP更新情報に基づいて、少なくとも1つの新たな発信元が特定される。BGP更新情報に含まれるプレフィックスの中から、新たな発信元を有する複数のプレフィックスが形成される。これらのプレフィックスから1つ以上のRFC1918プレフィックスが除去され、残りのプレフィックスのうちの少なくとも1つのプレフィックスが潜在的ルーティングハイジャックとして報告される。
グローバルインターネットと同程度に多様かつダイナミックである環境においてルートハイジャック攻撃を発見することは、複雑な作業である。毎日、何千ものルーティング「ハイジャック」を確認することができるが、それらのうちのほぼ全ては安全なものである。本願には、悪意のあるハイジャックおよび結果として生じるインターネットトラフィックの誤った方向付けを特定するための技術が記載されている。これらの技術は、ボーダーゲートウェイプロトコル(BGP)ルーティング更新情報の広範囲にわたるグローバルなリアルタイムフィードを収集し、過去のBGPルーティングデータに一部基づいて、収集されたBGPルーティング更新情報に高度なアナリティクスを適用することを含む。正当な攻撃が発見されると、当該アナリティクスは、(可能性の高いターゲットを判断するための)ドメインネームシステム(Domain Name System:DNS)データ、(攻撃が中間者攻撃であるか否かを判断するための)トレースルートデータ、(影響の範囲を理解するための)推測される取引関係、およびBGPルーティング更新情報自体の内容で強化され得る。悪意のあるハイジャックを特定して分析するための技術は、いかなるターゲットに対してもグローバルに適用することができ、故意の攻撃(たとえば、本質的に明らかに悪意のある攻撃)も、状況の変化に起因する無害である可能性の高いルーティングエラーまたはフォールスポジティブなどの他の事象も両方とも検出するために用いることができる。
ベラルーシからの2013年2月の攻撃における選択的トラフィック迂回は、さまざまなボーダーゲートウェイプロトコル(BGP)ルート属性を操作して、トラフィックを適切な送信先に転送する前にベラルーシを通るようにリダイレクトすることによってなされた。インターネットルーティングは、元来安全でないBGPに依拠しており、BGPは、プレフィックス、すなわち個々の組織に割り当てられた連続的なインターネットプロトコル(Internet Protocol:IP)アドレスの範囲、を通知および削除することによって世界中のルーティングテーブルに影響を及ぼす。
本明細書に開示されている技術では、通常のルーティングベースラインからの逸脱を特定して、新たな、悪意がある可能性のある行為を発見する。グローバルハイジャックの検出における1つの課題は、インターネットの正確な状態は(特定のASの正確な状態とは対照的に)いかなる時点でも分からず、知ることができないという事実である。この問題に対する直接的アプローチは、1日当たり何千もの多くのフォールスポジティブを生じさせる。そのため、正確性の先験的知識が無い中で、本明細書に開示されている技術では、リアルタイムのBGPルーティングデータおよび過去のBGPルーティングデータから導き出されたインターネットの歴史および一般的な仕組みの理解(たとえば、トラフィックエンジニアリング)を用いる。
インターネットルーティングの技術分野で十分に理解されているように、各AS230またはルーティングドメインは、1つ以上のルータ240と、コンピューティングデバイス250と、BGPルータ260(ボーダールータとしても知られている)と、トレースルートコレクタ220のネットワークとを含み得る。AS230は、コンピューティングデバイス250の郵便番号であると考えることができる。すなわち、各AS230は、ISPに基づくが必ずしも地理的な範囲ではないインターネットのネイバーフッドであると考えることができる。各AS230の中にはBGPルータ260および他のルータ240があり、BGPルータ260および他のルータ240は、AS230のルーティングポリシーを実行し、近傍のASにおけるBGPルータ260との接続を維持する。出願時、グローバルインターネット上のAS230の数は、56,000個を超えている。
図3は、後述するように、何百ものソース(BGPピア)から、BGP UPDATEメッセージ、OPENメッセージ、KEEPALIVEメッセージおよびNOTIFICATIONメッセージを含むグローバルBGPルーティング通知を収集するシステム300を示す。これらのBGPルーティング通知を用いて、推測される取引関係(エッジタグ)および統合されたルーティングテーブルを含むさまざまなデータプロダクトを計算してハイジャックを検出することができる。当該システムは、世界中に分散されたいくつかのリモートデータコレクタ301と、1つ以上のデータセンタ303とを含む。各リモートデータコレクタ301は、ローカルISPによって操作される固有のBGPルータセットに接続されるリナックス(登録商標)サーバとして実現されてもよい。たとえば、図3に示される8個のリモートデータコレクタ301は、400個を超えるIPv4ピアおよび300個を超えるIPv6BGPピアからBGPルーティングデータを収集するが、他の数のリモートデータコレクタ301およびピアも可能である。同様に、図3は、データセンタ303がリモートデータコレクタ301のサブセットとともに配置されることを示しているが、データセンタ303は、リモートデータコレクタ301から離れて位置してもよい。リモートデータコレクタ301の数および場所もさまざまであってもよい。これは、一部には、BGPルーティングデータを遠方から収集することができるため、場所の数はそれほど重要ではないという理由からである。
BGPルーティングデータが収集されると、BGPルーティングデータは、悪意がある可能性のあるBGPルーティングハイジャックを特定するために分析され得る。この分析は、後述するように、いくつかの悪意がある可能性のあるルーティング通知から圧倒的多数の無害なルーティング通知をフィルタリングして取り除くことを含む。要するに、当該分析プロセスは、全ての潜在的に疑わしい発信元の大きな組から始めて、新たな、一般的なルーティングパターンまたは確認できる既存の取引関係では説明できないものに減らしていくことを含む。
右端のAS530は、感知できると思われる明白な発信元、すなわちAS11295(ブラジルホームショッピング社)530gである。次の2つのAS、すなわちAS18739 530hおよびAS10495 530i、は両方とも、想像はつくだろうがブラジルのものである。しかし、このルートは、もっぱらウクライナのプロバイダであるヘットマンソフト(Hetman Soft)(AS8438)530jを介してロシアの固定回線キャリアRETN(AS9002)530kに至るように見える。ここでは、異常なエッジ575c、すなわち8438_18739(ウクライナのプロバイダからブラジルのプロバイダへ)と、異常なダウンストリームトランジットコーン、すなわちウクライナのASNおよびロシアのASNのブラジルプレフィックスダウンストリームとが存在する。プロセス400は、これらの異常を検出し、このプレフィックスを潜在的ハイジャックとしてフラグを立てる。
上記のハイジャック特定プロセス300に関して記載されているフィルタリングは、いかなる正当な脅威も見逃すことを防止するにはかなり保守的であるかもしれない。しかし、これは、報告がフォールスポジティブを含むことを暗に示している。なぜなら、新たな取引協定が絶えず出現している状況で、インターネットは非常に大きくかつダイナミックな場所であるからである。実際、フィルタリングは、1日当たりせいぜい1ページ分の事象を発生させ、これは、訓練された分析者が毎日点検するのに十分に少ない数である。報告される事象をさらに制限するためのステップがあるが、直後に記載しているDDoS軽減サービスを組織が使用し始めたときなどには、残りの安全なケースはそれ自体が対象になるだろう。
複数の民間機関は、問題となっているトラフィックを浄化するために顧客のインターネットトラフィックをデータセンタにリダイレクトすることによってDDoS軽減サービスを提供する。次いで、正当なトラフィックが顧客に戻される。これらのサービスは、攻撃中にBGPを介して顧客のプレフィックスを通知することに依拠するが、顧客は、自身のルートを削除する。移行が比較的クリーンかつ完全であるか、またはサービスが過去に使用されている場合には、ハイジャック特定プロセス300は、このような事象を容易に除外することができる。しかし、ハイジャック特定プロセス300においてチェックのうちのいくつかを無効にすることは、DDoS起動についての報告を生じさせ、DDoS起動のうちのいくつかは、違法なハイジャックではなく、DDoS保護がこの技術によって起動されたことを示すものであり、したがって組織が攻撃下にある可能性があることを示すものであるかもしれない。また、DDoS軽減は、オンプレミスハードウェアデバイス(たとえば、アーバーのピークフロー)を用いて、またはDNSリダイレクトを介して行うことができ、それらはいずれもBGP層では目に見えないため、それらの使用は我々の報告の中には登場しない。
オペレータはしばしばプレフィックスおよびそれらの発信元を(通知のソースにおける)ルータ構成に手動で入力するため、このような入力はヒューマンエラーを起こしやすい。この手の間違いは、時には潜在的ハイジャックとして現れる可能性がある。たとえば、ロシア科学アカデミーのM.V.ケルディッシュ応用数学研究所(AS33812)は、以前に、通常はホストダイム.コム社(HostDime.com,Inc.)(AS33182)によって通知される8.10.120.0/24をハイジャックしていると思われた。AS番号が類似していることおよび2つの入れ替わっている桁が警告を生じさせたという事実に注目されたい。この状況は素早く修正され、オペレータエラーの結果であることはほぼ確実であった。
ハイジャック特定プロセス300は、プライベートアドレス、すなわちRFC1918空間を検討から除去することを含むが、これらのプレフィックスの厳密なフォーマットについてはいくらかの混同がある可能性がある。RFC1918の仕様自体に以下のように記載されている:
インターネット番号割当て機関(Internet Assigned Numbers Authority:IANA)は、プライベートインターネットのためにIPアドレス空間の以下の3つのブロックを確保した
10.0.0.0 −10.255.255.255(10/8プレフィックス)
172.16.0.0 −172.31.255.255(172.16/12プレフィックス)
192.168.0.0 −192.168.255.255(192.168/16プレフィックス)。
BGPリークは、一般に、BGPスピーカが、あたかも正当な発信元であるかのように他者から学習したルートを発信するときに発生する。これは、考えているよりも簡単である。なぜなら、内部ルーティングプロトコル(internal routing protocols:IGP)が、BGPに見られるAS経路を担持しないからである。したがって、プロバイダのIGP学習ルートは、BGPに再注入されると、このプロバイダを発信元としてグローバルインターネットに伝搬される。世界的影響を及ぼしたリークの最古の最も有名な例のうちの1つは、1997年に発生し、この時、AS7007(MAIネットワークサービス(MAI Network Services))は、そのルーティングテーブルのかなりの部分をインターネットに図らずもリークし、そのためルーティングブラックホールを生じさせた。リークされたルートは、インターネット上に元々存在していたルートよりも具体的であったため、このリークの結果、リークされたルートは、より好ましい経路になった。このようなリークは、それ以来定期的に発生している。
時折、支離滅裂なAS経路は、存在しないエッジおよび/または偽の発信元を持ち込む場合がある。その結果、これは、関係が存在しないこの誤解を招くような情報に基づいて潜在的ハイジャックについての報告を生じさせる可能性がある。
インターネット正確性の先験的知識が存在しないので、システムおよびプロセスは、世界中どこでもルーティングハイジャックを発見するという問題に取り組むために過去のBGPルーティングデータおよびAS関係情報に依拠している。当然のことながら、新たな取引関係が出現するたびに、当該取引関係はフォールスポジティブを報告する可能性を生じさせる。これは大部分は不可避であるが、事前のルーティングが目に見える関係の何らかのヒントがあれば、このような変更を発見して報告から取り除くようにルールを設計することができる。
BGP更新情報におけるAS_PATH属性は、2つの異なるデータタイプ、すなわちAS_SEQUENCEまたははるかに一般的でないAS_SET、を備え得る。AS_SETは、順序付けられていないAS群を表わし、AS_SEQUENCEとは異なって、セットから直接隣接性を推測することができない。たとえば、AS番号の装飾されていないシーケンスとして示される単一のAS_SEQUENCEで構成される以下のAS_PATH:174 209について考える。プリペンドの可能性は無視して、この経路は、恐らく、その発信元、すなわちAS209から直接渡された、AS174によって我々と共有されるルートを表わす。すなわち、174_209は、単一のBGPエッジを表わす(これはかなりまれであろうが、AS174は、経路の先頭にAS209を追加してBGPのループ検出を起動し得て、これにより、AS209のボーダーにおいてルートが無視されるであろう。(学問的なBGP MITM攻撃において実証され、時としてトラフィックエンジニアリングに用いられる)このすばらしい技術は、AS209がルートを知ることを防ぐであろう)。
報告は、人間が読み取ることができる形式で(ファイルでまたは電子メールによって配信される)、およびJSONで、たとえば毎日特定の時間に、生成され得る。報告の中のASNおよびプレフィックスは、人間によって入力されてエラーを起こしやすいであろう登録データから導き出されたラベルを特定することによって特定され得る。
さまざまな本発明の実施形態について本明細書において記載し説明してきたが、当業者は、機能を実行するため、および/または、結果および/または本明細書に記載されている利点のうちの1つ以上を得るためのさまざまな他の手段および/または構造を容易に想定し、このような変更例および/または変形例の各々は、本明細書に記載されている本発明の実施形態の範囲の範囲内であると見なされる。より一般的には、本明細書に記載されている全てのパラメータ、寸法、材料および構成は例示的であるよう意図されており、実際のパラメータ、寸法、材料および/または構成は、本発明の教示が用いられる特定の用途に依存する、ということを当業者は容易に理解するであろう。当業者は、通常の実験を用いて、本明細書に記載されている特定の本発明の実施形態との多くの等価物を認識する、または確認することができるであろう。したがって、上記の実施形態は、一例として提示されているに過ぎず、添付の特許請求の範囲およびその等価物の範囲内で、本発明の実施形態は、具体的に記載されクレームされている態様とは異なる態様で実施されてもよい、ということが理解されるべきである。本開示の本発明の実施形態は、本明細書に記載されている各々の個々の特徴、システム、物品、材料、キットおよび/または方法に向けられる。また、2つ以上のこのような特徴、システム、物品、材料、キットおよび/または方法の任意の組み合わせは、このような特徴、システム、物品、材料、キットおよび/または方法が相互に矛盾していなければ、本開示の本発明の範囲の範囲内に包含される。
Claims (19)
- インターネット上でルーティングハイジャックを検出する方法であって、
前記インターネット上で複数の自律システム(AS)の中の複数のBGPルータから複数のボーダーゲートウェイプロトコル(BGP)更新情報を収集するステップを備え、前記複数のBGP更新情報における各BGP更新情報は、少なくとも1つのプレフィックスを含み、前記方法はさらに、
前記複数のBGP更新情報に基づいて少なくとも1つの新たな発信元を特定するステップと、
前記複数のBGP更新情報に含まれる前記プレフィックスの中から前記少なくとも1つの新たな発信元を有する複数のプレフィックスを形成するステップと、
前記複数のプレフィックスから少なくとも1つのRFC1918プレフィックスを除去するステップと、
前記複数のプレフィックスにおける残りのプレフィックスのうちの少なくとも1つのプレフィックスを潜在的ルーティングハイジャックとして報告するステップとを備える、方法。 - 前記少なくとも1つの新たな発信元が前記少なくとも1つの新たな発信元の全てのピアによって確認されたことに応答して、少なくとも1つの複数発信元AS(MOAS)プレフィックスを除去するステップをさらに備える、請求項1に記載の方法。
- 一定期間内に前記少なくとも1つの新たな発信元によって発信された前記複数のプレフィックスから少なくとも1つのプレフィックスを除去するステップをさらに備える、請求項1に記載の方法。
- 前記一定期間は、1ヶ月である、請求項3に記載の方法。
- 前記複数のプレフィックスにおける前記残りのプレフィックスから少なくとも1つのプレフィックスを除去するステップをさらに備え、前記少なくとも1つのプレフィックスは、前記少なくとも1つの新たな発信元に関連付けられ、前記少なくとも1つの新たな発信元よりも古い発信元とBGP関係を有する、請求項1に記載の方法。
- 前記複数のプレフィックスにおける前記残りのプレフィックスから少なくとも1つのプレフィックスを除去するステップをさらに備え、前記少なくとも1つのプレフィックスは、前記少なくとも1つの新たな発信元によって発信されたカバリングプレフィックスに関連付けられる、請求項1に記載の方法。
- 前記複数のプレフィックスにおける前記残りのプレフィックスから、前記少なくとも1つの新たな発信元によって通知された少なくとも1つのプレフィックスを除去するステップをさらに備え、前記少なくとも1つのプレフィックスは、ある組織のために通知され、前記少なくとも1つの新たな発信元は、前記組織のための少なくとも1つの他のプレフィックスを過去に通知している、請求項1に記載の方法。
- AS番号の登録および国レベルのジオロケーションと前記複数のプレフィックスにおける各プレフィックスとを比較するステップをさらに備える、請求項1に記載の方法。
- 前記少なくとも1つの新たな発信元がなりすまし発信元であるか否かを検出するステップをさらに備える、請求項1に記載の方法。
- BGP通知に含まれる冒頭のAS経路フラグメントを分析するステップと、
前記分析に基づいてダウンストリームトランジットコーンにおける異常を検出するステップと、
前記異常のトレースルートレイテンシを判断するステップとをさらに備える、請求項9に記載の方法。 - 前記少なくとも1つのプレフィックスを報告するステップは、AS経路破損、ヒューマンエラーによって引き起こされるルーティング異常、リーク、または隠れたBGP関係のうちの少なくとも1つを検出するステップを含む、請求項1に記載の方法。
- インターネット上でルーティングハイジャックを検出する方法であって、
前記インターネット上で複数の自律システム(AS)の中の複数のBGPルータから複数のボーダーゲートウェイプロトコル(BGP)更新情報を収集するステップを備え、前記複数のBGP更新情報における各BGP更新情報は、少なくとも1つのプレフィックスを含み、前記方法はさらに、
前記複数のBGP更新情報に含まれる前記プレフィックスの中から少なくとも1つの新たな発信元を有する複数のプレフィックスを特定するステップと、
前記BGP更新情報に基づいて少なくとも1つの新たなAS番号(ASN)を特定するステップと、
前記少なくとも1つの新たなASNの登録が前記複数のプレフィックスにおける関連付けられたプレフィックスと同等であるか否かを判断するステップと、
前記登録が同等であると判断すると、前記複数のプレフィックスから前記関連付けられたプレフィックスを除去するステップと、
前記複数のプレフィックスにおける残りのプレフィックスのうちの少なくとも1つのプレフィックスを潜在的ルーティングハイジャックとして報告するステップとを備える、方法。 - 前記複数のBGP更新情報における少なくとも1つのAS経路の冒頭からプライベートASNを除去するステップをさらに備える、請求項12に記載の方法。
- 前記プライベートASNを除去すると、前記少なくとも1つのAS経路がルーティングハイジャックであるか分析するステップをさらに備える、請求項13に記載の方法。
- 各AS経路から一桁のASNを除去するステップと、
前記AS経路を分析して、ルーティングハイジャックを検出するステップとをさらに備える、請求項12に記載の方法。 - 前記少なくとも1つの新たなASNがなりすましASNであるか否かを検出するステップをさらに備える、請求項12に記載の方法。
- BGP通知に含まれる冒頭のAS経路フラグメントを分析するステップと、
前記分析に基づいてダウンストリームトランジットコーンにおける異常を検出するステップと、
前記異常のトレースルートレイテンシを判断するステップとをさらに備える、請求項16に記載の方法。 - 前記少なくとも1つのプレフィックスを報告するステップは、AS経路破損、ヒューマンエラーによって引き起こされるルーティング異常、リーク、または隠れたBGP関係のうちの少なくとも1つを検出するステップを含む、請求項12に記載の方法。
- 前記少なくとも1つの新たなASNのジオロケーションが前記関連付けられたプレフィックスのものと異なっているか否かを判断するステップをさらに備える、請求項12に記載の方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201662298169P | 2016-02-22 | 2016-02-22 | |
US62/298,169 | 2016-02-22 | ||
PCT/US2017/018907 WO2017147166A1 (en) | 2016-02-22 | 2017-02-22 | Methods and apparatus for finding global routing hijacks |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2019506102A true JP2019506102A (ja) | 2019-02-28 |
JP2019506102A5 JP2019506102A5 (ja) | 2020-03-05 |
JP7046818B2 JP7046818B2 (ja) | 2022-04-04 |
Family
ID=59686517
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018544248A Active JP7046818B2 (ja) | 2016-02-22 | 2017-02-22 | グローバルルーティングハイジャックを発見するための方法および装置 |
Country Status (5)
Country | Link |
---|---|
US (2) | US11394745B2 (ja) |
EP (1) | EP3420702B1 (ja) |
JP (1) | JP7046818B2 (ja) |
CN (1) | CN108886521B (ja) |
WO (1) | WO2017147166A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019176309A (ja) * | 2018-03-28 | 2019-10-10 | ソフトバンク株式会社 | 複製モジュール、複製方法、複製プログラム及び監視システム |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017147166A1 (en) * | 2016-02-22 | 2017-08-31 | Dynamic Network Services, Inc. | Methods and apparatus for finding global routing hijacks |
US11012470B2 (en) * | 2018-05-08 | 2021-05-18 | Charter Communications Operating, Llc | Reducing the impact of border gateway protocol (BGP) hijacks |
CN111698189B (zh) * | 2019-03-11 | 2021-12-14 | 华为技术有限公司 | Bgp路由识别方法、装置及设备 |
CN110061918B (zh) * | 2019-04-18 | 2021-01-22 | 广西大学 | 一种自治域间路由安全性评估方法和装置 |
EP4016941A4 (en) * | 2019-08-15 | 2022-11-23 | Huawei Technologies Co., Ltd. | METHOD OF LEARNING ROUTINGS, METHOD OF FORWARDING REPORTS, DEVICE AND STORAGE MEDIA |
US20210084067A1 (en) * | 2019-09-13 | 2021-03-18 | Level 3 Communications, Llc | Scalable ddos scrubbing architecture in a telecommunications network |
US11418429B2 (en) * | 2019-11-01 | 2022-08-16 | Microsoft Technology Licensing, Llc | Route anomaly detection and remediation |
US11132217B2 (en) | 2019-11-03 | 2021-09-28 | Microsoft Technology Licensing, Llc | Cloud-based managed networking service that enables users to consume managed virtualized network functions at edge locations |
CN113225194B (zh) * | 2020-01-21 | 2022-09-09 | 华为技术有限公司 | 路由异常检测方法、装置及系统、计算机存储介质 |
US12120128B1 (en) | 2020-07-31 | 2024-10-15 | Equinix, Inc. | Route and packet flow evaluation on a cloud exchange |
CN116866002A (zh) * | 2020-12-04 | 2023-10-10 | 华为技术有限公司 | 一种验证as对的方法、装置及设备 |
CN112995040B (zh) * | 2021-04-29 | 2021-08-03 | 中国人民解放军国防科技大学 | 一种基于设备标识计算的报文路径溯源方法及装置 |
CN114124802B (zh) * | 2021-11-10 | 2023-08-25 | 中盈优创资讯科技有限公司 | 一种跨域黑洞路由集中管控方法及装置 |
FR3135850A1 (fr) * | 2022-05-17 | 2023-11-24 | Orange | Procédé pour détecter des anomalies de routage entre systèmes autonomes |
CN116016252B (zh) * | 2022-12-21 | 2024-08-02 | 天翼安全科技有限公司 | 一种网关协议的检测方法及装置 |
CN117061192A (zh) * | 2023-08-25 | 2023-11-14 | 清华大学 | Bgp前缀劫持检测方法、装置、电子设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007053430A (ja) * | 2005-08-15 | 2007-03-01 | Nippon Telegr & Teleph Corp <Ntt> | 不正経路監視システムおよび方法 |
JP2010200245A (ja) * | 2009-02-27 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 経路監視装置、経路監視プログラムおよび経路ハイジャック検出システム並びに経路ハイジャック検出方法 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10511573B2 (en) * | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
US9137033B2 (en) * | 2003-03-18 | 2015-09-15 | Dynamic Network Services, Inc. | Methods and systems for monitoring network routing |
US8285874B2 (en) * | 2004-01-27 | 2012-10-09 | Cisco Technology, Inc. | Routing systems and methods for implementing routing policy with reduced configuration and new configuration capabilities |
US7823202B1 (en) * | 2007-03-21 | 2010-10-26 | Narus, Inc. | Method for detecting internet border gateway protocol prefix hijacking attacks |
CN101588343A (zh) | 2008-05-20 | 2009-11-25 | 中国人民解放军信息工程大学 | 前缀与as映射关系的管理方法、报文处理方法和装置 |
US8327444B2 (en) | 2009-04-13 | 2012-12-04 | Verizon Patent And Licensing Inc. | Suspicious autonomous system path detection |
CN102158469A (zh) | 2011-01-27 | 2011-08-17 | 电子科技大学 | 一种边界网关协议前缀劫持攻击防范方法 |
US8640236B2 (en) * | 2011-06-27 | 2014-01-28 | Cisco Technology, Inc. | Performing a defensive procedure in response to certain path advertisements |
CN102394794A (zh) | 2011-11-04 | 2012-03-28 | 中国人民解放军国防科学技术大学 | 防范边界网关协议路由劫持的协同监测方法 |
US9729414B1 (en) * | 2012-05-21 | 2017-08-08 | Thousandeyes, Inc. | Monitoring service availability using distributed BGP routing feeds |
CN105049419B (zh) | 2015-06-19 | 2018-09-11 | 中国人民解放军信息工程大学 | 基于异构多样性的拟态网络逐级交换路由系统 |
EP3326074B1 (en) | 2015-07-22 | 2023-03-15 | Dynamic Network Services, Inc. | Methods, systems, and apparatus for geographic location using trace routes |
US10185761B2 (en) * | 2015-08-07 | 2019-01-22 | Cisco Technology, Inc. | Domain classification based on domain name system (DNS) traffic |
WO2017147166A1 (en) * | 2016-02-22 | 2017-08-31 | Dynamic Network Services, Inc. | Methods and apparatus for finding global routing hijacks |
US11012470B2 (en) * | 2018-05-08 | 2021-05-18 | Charter Communications Operating, Llc | Reducing the impact of border gateway protocol (BGP) hijacks |
US11418429B2 (en) * | 2019-11-01 | 2022-08-16 | Microsoft Technology Licensing, Llc | Route anomaly detection and remediation |
-
2017
- 2017-02-22 WO PCT/US2017/018907 patent/WO2017147166A1/en active Application Filing
- 2017-02-22 US US16/078,302 patent/US11394745B2/en active Active
- 2017-02-22 EP EP17757133.8A patent/EP3420702B1/en active Active
- 2017-02-22 CN CN201780019848.0A patent/CN108886521B/zh active Active
- 2017-02-22 JP JP2018544248A patent/JP7046818B2/ja active Active
-
2022
- 2022-05-09 US US17/739,875 patent/US20220263864A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007053430A (ja) * | 2005-08-15 | 2007-03-01 | Nippon Telegr & Teleph Corp <Ntt> | 不正経路監視システムおよび方法 |
JP2010200245A (ja) * | 2009-02-27 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 経路監視装置、経路監視プログラムおよび経路ハイジャック検出システム並びに経路ハイジャック検出方法 |
Non-Patent Citations (1)
Title |
---|
SCHUTRUP, J. ET AL.: "BGP Hijack Alert System", UNIVERSITEIT VAN AMSTERDAM, JPN6021003468, 7 February 2016 (2016-02-07), pages 1 - 40, ISSN: 0004607882 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019176309A (ja) * | 2018-03-28 | 2019-10-10 | ソフトバンク株式会社 | 複製モジュール、複製方法、複製プログラム及び監視システム |
Also Published As
Publication number | Publication date |
---|---|
WO2017147166A1 (en) | 2017-08-31 |
EP3420702A1 (en) | 2019-01-02 |
JP7046818B2 (ja) | 2022-04-04 |
US11394745B2 (en) | 2022-07-19 |
CN108886521A (zh) | 2018-11-23 |
US20220263864A1 (en) | 2022-08-18 |
EP3420702B1 (en) | 2022-03-30 |
CN108886521B (zh) | 2021-09-10 |
US20210194918A1 (en) | 2021-06-24 |
EP3420702A4 (en) | 2019-08-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7046818B2 (ja) | グローバルルーティングハイジャックを発見するための方法および装置 | |
Sermpezis et al. | ARTEMIS: Neutralizing BGP hijacking within a minute | |
Giotsas et al. | Inferring BGP blackholing activity in the internet | |
Pletinckx et al. | Malware coordination using the blockchain: An analysis of the cerber ransomware | |
Lichtblau et al. | Detection, classification, and analysis of inter-domain traffic with spoofed source IP addresses | |
US11108816B2 (en) | Constructible automata for internet routes | |
Nadji et al. | Connected colors: Unveiling the structure of criminal networks | |
Haddadi et al. | DoS-DDoS: taxonomies of attacks, countermeasures, and well-known defense mechanisms in cloud environment | |
Biron et al. | A big data fusion to profile CPS security threats against operational technology | |
Negash et al. | An overview of modern botnets | |
Bou-Harb et al. | A time series approach for inferring orchestrated probing campaigns by analyzing darknet traffic | |
Rodday et al. | The Resource Public Key Infrastructure (RPKI): A Survey on Measurements and Future Prospects | |
Subramani et al. | Detecting and measuring in-the-wild DRDoS attacks at IXPs | |
Cusack et al. | Detecting and tracing slow attacks on mobile phone user service | |
Vervier et al. | SpamTracer: How stealthy are spammers? | |
Siddiqui et al. | Self-reliant detection of route leaks in inter-domain routing | |
Hiran et al. | Does scale, size, and locality matter? evaluation of collaborative bgp security mechanisms | |
Cho | Tackling Network-Level Adversaries Using Models and Empirical Observations | |
Ramsbrock et al. | The Botnet Problem | |
Wang et al. | The botnet problem | |
Schlamp et al. | Cair: Using formal languages to study routing, leaking, and interception in bgp | |
Mahjoub | Sweeping the IP Space: the Hunt for Evil on the Internet | |
Chowdhary et al. | MANRS Statistical analysis and adoption in india as a collaborative security tool | |
Thing et al. | Adaptive response system for distributed denial-of-service attacks | |
Prehn et al. | Kirin: Hitting the Internet with Millions of Distributed IPv6 Announcements |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200122 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200122 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201211 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210209 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210416 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211005 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211116 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220301 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220323 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7046818 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |