Medindo a incidência de spoofing no contexto de tráfego IPv6 inter-domínio em um IXP

Abstract

Spoofing é um tipo de ataque muito conhecido no qual o remetente falsifica o endereço de origem dos pacotes que transmite. Na Internet, o spoofing tem sido consistentemente usado como base para ataques de negação de serviço em massa. Obter uma visibilidade mais ampla no problema de spoofing na Internet é desafiador e exige o uso de sondagens ativas em redes ou a análise passiva de tráfego capturado em pontos de observação. Para a análise passiva, a identificação de pacotes com endereços de origem falsos depende do endereço que foi falsificado: os bogons (prefixos reservados) são mais simples de detectar, mas, caso contrário, é necessário verificar se o endereço de origem é válido naquele Sistema Autônomo (AS) específico e na direção em que está trafegando. Neste trabalho, os recentes avanços na detecção de spoofing na Internet, restritos ao IPv4, são aproveitados e estendidos à primeira análise sob o contexto do IPv6. Em particular, discutimos como usar os dados públicos do BGP para calcular uma hierarquia de ASes clientes abaixo de um AS raiz (conjunto denominado “cone de clientes”) para cada AS e um intervalo válido de endereços IPv6 de origem, permitindo detectar passivamente, além de tráfego que sofreu spoofing, redes que não estão implementando mecanismos de Source Address Validation (SAV) dos pacotes que transmitem. Para avaliar os pontos fortes da metodologia, bem como expor suas limitações, aplicamos a metodologia a uma amostra de dados do sistema IX.BR e simulamos situações de spoofing via tráfego gerado sinteticamente.

Spoofing is a very well-known type of attack in which the sender forges the source address of packets it transmits. In the Internet, spoofing has been consistently used as the basis for massive denial of service attacks. Acquiring broader visibility into the spoofing problem on the Internet is challenging, and requires the use of active probes on networks or passive capture analysis of traffic at large vantage points. For the passive analysis, identifying spoofed packets depends on the fake source address: bogons (reserved prefixes) are more simple to detect, but otherwise, it is necessary to check if the source address is valid at that specific AS and the direction it is going. In this graduation work, we leverage the recent advances on the assessment of spoofing on the Internet, which are restricted to IPv4, and extend them to the first analysis on the context of IPv6. In particular, we show how to use BGP public data to compute a “customer cone” for each AS and a valid range of source addresses that allow us to passively detect spoofed traffic and also networks that are not deploying Source Address Validation (SAV) mechanisms. In order to evaluate the methodology’s strengths and to expose its limitations as well, we apply the methodology to a sample data of the IX.BR system and simulate spoofing situations via synthetically generated traffic.