1. VERVIER Pierre-antoine
  2. VERVIER Pierre-antoine
print

VERVIER Pierre-antoine

VERVIER Pierre-antoine
  • VERVIER Pierre-antoine
  • EURECOM - Symantec
  • Doctorant
  • 04 93 00 82 06
  • 374

Thesis

Attaques par détournement BGP malveillant : détection, analyse et contres-mesures

Ces dernières années, la vulnérabilité aux « attaques par détournement BGP » (BGP hijacking) de l’infrastructure de routage dans l’Internet a suscité davantage l’attention, en raison notamment de plusieurs incidents ayant été rapportés. En 2006, Ramachandran et al. ont apporté la preuve que des pirates utilisent ce type d’attaques pour voler des blocs d’adresses IP pour ensuite les utiliser afin d’envoyer du spam.

Ils ont appelé ce phénomène « BGP spectrum agility ». Depuis lors, seuls quelques cas anecdotiques de ce phénomène ont été observés. Néanmoins, il est communément admis au sein de la communauté des opérateurs réseau et Fournisseurs d’Accès à Internet (FAIs) que des attaques de ce type ont lieu régulièrement dans l’Internet.

Personne ne peut cependant en fournir la preuve. L’objectif principal de cette thèse est de déterminer si, à l’heure actuelle, ce phénomène de « BGP spectrum agility » est réel et constitue une menace pour la sécurité de l’Internet. Si cela se confirme,nous souhaitons également determiner la fréquence ainsi que le prévalence de ce type d’attaques.

Un large éventail d’outils existent afin permettre aux opérateurs réseau de se protéger contre ces attaques mais ils souffrent soit d’un coût de déploiement prohibitif soit d’un taux trop élevé de fausses alertes. La contribution de cette thèse est triple.

Premièrement, afin de combler le manque d’outil disponible pour une étude à large échelle des attaques par détournement BGP malveillant, nous proposons un nouveau système de collecte et d’analyse de données, appelé SpamTracer. La collected’informations de routage issus du plan de contrôle (BGP) ainsi que de mesures réseaux actives (traceroute) en rapport avec des blocs IP ayant émis du trafic réseau malveillant, par exemple du spam, consistitue la partie collecte de données de Spam-Tracer. La partie analyse de données de SpamTracer s’appuie sur un procédé novateur de filtrage et d’évaluation d’anomalies de routage extraites des données collectées afin d’identifier et de valider des cas suspects d’attaques par détournementBGP malveillant.

Deuxièmement, nous avons analysé presque deux ans de données et dévoilons plus de 2.000 attaques par détournement BGP malveillant qui ont eu lieu de façon régulière pendant toute la période de l’expérimentation. Un grand nombre de ces attaquesont été confirmées par des victimes ou par des FAIs impliqués involontairement.

Troisièmement, nous révélons un modus operandi sophistiqué utilisé par les cybercriminels afin de subrepticement prendre le contrôle de blocs d’adresses IP sans l’autorisation de leur propriétaire. Nos résultats montrent que les attaques identifiéesont réussi à mettre en échec des mesures de prévention contre le spam et les attaques par détournement BGP. À la lumière de ces résultats, nous proposons des pistes afin de mieux se protéger contre cette menace émergente. Nous tirons également parti des caractéristiques des attaques observées pour concevoir un système de détection en temps réel de détournements de blocs IP.

Enfin, cette thèse invite la communauté réseau à prendre conscience que des attaques par détournementBGP malveillant ont eu lieu dans l’Internet, et ce de façon récurante et persistante, pendant des mois, voire des années. Nous espérons que ce travail inspirera de nouvelles recherches afin de comprendre mieux encore la motivation des pirates derrières ces attaques ainsi que le moyen de s’en prémunir.