Erkennung von Fehlkonfigurationen im und Angriffen auf das Inter-Domain Routing
Zusammenfassung der Projektergebnisse
Interessante Arbeitsergebnisse wurden in verschiedenen Bereichen erzielt. Verschiedene Konzepte, die mögliche Motivationen für globale Routinganomlien diskutieren, technische Umsetzungsmöglichkeiten skizzieren und Verfahren zur Erkennung beschreiben, wurden evaluiert, auf deren Plausibilität hin untersucht und konsequent erweitert bzw. revidiert. Diese Betrachtungen führten zu einer strukturierten Übersicht, welche Manipulationen zu erwarten sind, wie diese praktisch durchgeführt werden könnten und wie diese durch passive Analyse von Routinginformationen erkannt werden können. Interessante technische Verfahren wurden sowohl im Bereich der Erkennung von MOAS Konflikten, als auch im Bereich der topologischen Analyse entwickelt. Der hier entwickelte Algorithmus erzielt hervorragende Laufzeiteigenschaften, die eine Echtzeitanalyse einer hohen Anzahl von Routinginformationen ermöglicht. Weiterhin wurden Tools entwickelt und implementiert, die die entwickelten Konzepte prototypisch implementieren, geeignet aufbereiten und die Validierung von Implementierungen anhand synthetischer Daten ermöglicht. Insgesamt wurden die Arbeiten stark durch den Mangel an Projektmitteln für die prototypische Implementierung der entwickelten Verfahren behindert. Aufgrund der Tatsache, dass eine vergleichsweise hohe Anzahl an Routingkonfigurationen im heutigen Internet nicht standardkonform ist, wurde eine umfangreiche Analyse realer Konfigurationsszenarien notwendig. Die hierzu notwendigen Implementierungsarbeiten konnten nicht so schnell wie eigentlich notwendig durchgeführt werden, da die betreffenden Personalmittel deutlich gekürzt wurden. Die Konzepte, die im Rahmen des Projektes entwickelt und zu großen Teilen auch prototypisch implementiert wurden zeigen deutlich, dass die passive Erkennung von Routinganomalien als interessante Alternative zu signaturbasierten Ansätzen zu sehen ist. Aufgrund der Nachteile, die eine mit signaturbasierten Ansätzen verbundene Schlüssel-Infrastruktur mit sich bringt (insbesondere in Bezug auf die Durchsetzung von Zensurmaßnahmen), erscheint diese Alternative zumindest langfristig betrachtenswert. Gleichwohl haben die bisherigen Zwischenergebnisse gezeigt, dass eine zuverlässige, automatische Detektion aufbauend auf Basis der entwickelten und getesteten Verfahren noch nicht möglich ist. Zwar konnten die Erkennungsraten insbesondere durch die Korrelation von Ereignissen gesteigert werden, trotzdem lassen die erreichten Erkennungsraten noch deutlich Spielraum für Verbesserungen. Durch Analyse verschiedener Konfigurationen und die Anreicherung durch externe Datenquellen zur Klassifikation können aus Sicht des Antragstellers hier weitere signifikante Verbesserungen erzielt werden.
Projektbezogene Publikationen (Auswahl)
-
About Prefix Hijacking in the Internet, Oktober 2011. Proceedings of the 36th IEEE Conference on Local Computer Networks, Seiten 143-146
Uli Bornhauser und Peter Martini
-
Automatic Analysis and Classification of Multiple Origin AS (MOAS) Conflicts, Oktober 2011. Prototyp-Demonstration auf der 36sten IEEE Conference on Local Computer Networks (LCN 2011)
U. Bornhauser, J. Luehr, M. Schaefer, T. Trimborn und Z. Ul Huda