メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway

よく検索されるキーワード

IPv6 DNS HTTP WHOIS BGP IPv4 ドメイン名とは IPアドレス FQDN インターネット
ロゴ:JPNIC
WHOIS検索 サイト内検索

よく検索されるキーワード

経路ハイジャックが疑われる状態発生時の対応について

2012年5月28日

はじめに

 このページでは、経路ハイジャック通知実験への参加組織が、 実際に経路ハイジャックが疑われる状態(以下、 疑われる状態)の通知を受けた場合、どのようなケースや行動が存在するかを、 実際の流れにあわせ、検知、情報確認、分析・対処、留意事項、 平時の備えの順に事例を紹介します。

1. 検知 - 疑われる状態の発生 -

 今回の経路ハイジャック通知実験では、 疑われる状態が検知された段階で通知される仕組みであるため、 日常の運用では定期的に通知が発生するわけではありません。 そのため、通知を受けた場合、何をすべきか、 自組織のASがどのような状態になっているか、 通知を受けた時から解析を行うことになります。

 また、疑われる状態の通知を受けた時点でも、 経路ハイジャックが短時間で終了している場合があります。 このようなケースでは、通知を受けた時点で状況調査を開始しても、 調査時には該当経路が確認できない場合があります。 こういった瞬間的な経路ハイジャックの状況分析を行う場合、 後述の経路情報確認サイト等で何が起こっていたかを解析することが可能です。

 現在の連携実験では、 疑われる状態を検知した時点をJPIRRユーザーへ通知しております。 今後は、2009年度中に、 疑われる状態が解消した時点での通知機能を追加する予定です。

2. 情報の確認

 疑われる状態の原因が、自組織の問題であるかどうかを最初に確認します。 疑われる状態とは、 JPIRRへ登録されたRouteオブジェクトと異なるOrigin ASを持つ経路情報を、 経路奉行が検知した状態の事です。 詳しくは以下のWebページをご参照ください。

「Telecom-ISAC Japan経路奉行とJPIRR間の連携実験について
(http:/www.nic.ad.jp/ja/ip/irr/jpirr_exp.html)」

JPIRRと経路奉行の連携

 以下に奉行の誤検知の例を挙げます。

  • IRRの登録間違い(他組織の経路情報へX-Keiro:登録)
    →自組織が保持しないIPアドレスのRouteオブジェクトへのX-Keiro:登録等。
  • 自組織のAS運用による問題
    → プライベートAS番号をOrigin ASとして経路情報をインターネットへ広報した場合も検知する場合があります。
  • 組織内の意思疎通不足による、IRR登録漏れ
    → 顧客へ割り当てたPAアドレスが、顧客の都合により別ASをOrigin ASとして経路情報が広報された場合も検知する場合があります。
  • IXやプライベートピアリングにおいて利用される相互接続セグメントを自AS経路として広報してしまった場合
    → 本来自組織が保持しない、IXから割り当てられたIPアドレスの経路情報が広報された場合も検知する場合があります。

外部の経路情報確認サイトでの情報収集

  • 疑われる状態となった経路情報のIRRやWHOISへの登録状況を確認
    → RADBを検索するとRADBがミラーリングを行って収集している他のIRRの情報も一括検索されるので便利です。
  • 対象の経路情報が自AS内の経路でどうなっているか観察
  • 外部のLooking Glassで、対象のPrefixがどうなっているか観察
    → 上記に差異があった場合、トラフィック傾向を観察します。
    → トラフィック傾向に差異がある場合、 どこかのASへトラフィックが吸い込まれている可能性があります。
  • 外部の経路監視サイトをチェック
    ISAlarm(MyASN)
    https://www.ripe.net/is/account/login(事前登録必要)
    RIPE NCCが運営する、経路情報に関する情報通知サイトです。 PrefixとOrigin AS、電子メールアドレスを登録し、 異なるOriginASを検知した場合に通知するサービスが存在します。
    Routing Information Service(RIS)
    http://www.ripe.net/ris/(事前登録必要)
    ISAlarmと同様RIPENCCが運営している経路情報のアーカイブサイトです。 世界各地のIX等で収集された経路情報を保存。 最古は1997年より存在。
    BGPMON
    http://bgpmon.net/(事前登録必要)
    前述のRISのリアルタイムデータを使った経路アラートサイトです。 経路のOriginASだけでなくAS-PATHを正規表現で入力し、 マッチしない場合に通知するなどの機能が存在します。
    Internet Alert Registry(pgBGP)
    2012年5月現在、既に運用を停止しています。
    http://iar.cs.unm.edu/(事前登録必要)
    サイト運営者が提唱するpgBGPの実装を利用した、 経路ハイジャック検知サイトです。 情報はWebで一般向けに公開されています。

    経路ハイジャックの情報をRADB等のIRRと比較した結果も自動的に出力されます。
    以下のLooking Glassのサイトでは、 登録なしに各サイトの経路の状態を確認することが可能です。
    University of Oregon Route Views Project
    http://www.routeviews.org/
    Neptune Looking Glass
    http://neptune.dti.ad.jp/
    www.traceroute.org
    http://www.traceroute.org/

3. 分析と対処

 疑われる状態の発生要因となったASへコンタクトし、 状況確認を行います。 疑われる状態が発生しても、 故意である場合は少なく、 オペレーション等が要因である場合があります。 相手先へのコンタクトは事実を落ち着いて通知します。 コンタクト先情報を得るためには、IRRやWHOIS、PeeringDBなどが使えます。

PeeringDB
https://www.peeringdb.com/
情報閲覧はゲストアカウントで可能です。 自ASの情報を登録するには、ユーザー登録、 データベース運営者の確認後、 情報登録が可能になります。

 コンタクト先情報を得ることができた場合、 原因ASと原因ASに対し、 AS-PATH順で見たときに、一つ上位のASへコンタクトします。

  • AS-PATHに対し、原因ASの一つ上位のASへコンタクトすることが有用である場合が多い

 また、相手先ASによってはメーリングリストなどを使ってコンタクトする方法もあります。

  • 日本のASではコミュニティへメーリングリストを利用して問いかける
  • 海外のASでは複数対応を組み合わせる
    • 自分のTransit ISPを頼り、対応を依頼する。
      • 上記の依頼内容は、対象Prefixをフィルタしてもらう事や、疑われる状態の原因となったASの上位へコンタクトしてもらう等などが考えられます。

 具体的には、 各国のNetwork Operators Group(NOG)のような、 技術者のコミュニティへ助けを求めることができます。

 回復に向けた対応として、複数の対応を紹介しましたが、 以下の点にも注意が必要です。

  • 対応しているうちに直ってしまう場合が多い点。
  • 時間の経過とともに回復することも多い点。
  • 各種経路検知・情報提供サイト・IRR・WHOISも完全に正確ではない点。

4. 留意事項

疑われる状態の発生時、 X-Keiro: への通知を受信できない場合も存在します。

 X-Keiro:へ登録された電子メールアドレスに対し、 受信するメールサーバが存在する経路情報がへの到達性が失われた場合、 メール受信サーバへの到達性が失われるため、 到達性が回復するまで回復するまでメール通知が遅延する場合があります。

→ 対策として、 受信するメールサーバが異なる複数の電子メールアドレスをX-Keiro: へ登録することにより、この問題の影響を低減することが可能です。

5. 平時の備え

 これまでの対応は、 ハイジャック発生から回復に向けた事例を紹介してきました。 本章では、 平時の備えについて紹介します。

疑われる状態発生時の手順を整理

通知先の調査方法
電子メールアドレス:peering/admin/noc@~ 等一般的な連絡先の調査方法を手順化する。
通知内容
自分の経路である、 というエビデンスとしてIRRの情報等を添付する等を手順化する。
経路情報を細かく広告する手順を作成
  • 通常の集成した経路を、/24単位など、細かく広報する手順を整備する。
  • 自網内で重要なIPアドレスブロックを、集成した経路より細かく流す時の準備として、社内手続きを整備する。
  • 重要なIPアドレスの例
    • DNSキャッシュサーバ
    • DNS権威サーバ
    • 認証サーバ
  • 経路を細かくする場合の注意
    経路を細かく広報する場合は、 広報先がIPアドレスとサブネットマスクを厳密に一致する経路情報だけを受け入れるポリシーである場合を想定し、 広報先とも調整する必要があります。 また、 経路情報を細かくする事は、経路情報の増大の原因の一つとなります。 実施の際には影響を考えてから実施する必要があります。

終わりに

 現在のインターネットレジストリにおいては、 登録された情報に誤りがある場合があります。 また、オペレーション環境においては、 広告した経路情報が正確に他のASへ受け入れられているか、 完全に確認することは難しい状況となっています。

  • Internet Registry(WHOIS)の情報が正確ではない可能性があります。
  • IRRの情報は正確ではない可能性があります。
    • proxy-registered(広報された経路情報が自動的にIRRへ自動で登録されてしまったオブジェクト)登録もあるかもしれません。
  • Looking Glass、経路情報収集サイトは、情報を収集できていない可能性があります。

 本内容は、 財団法人日本データ通信協会 Telecom-ISAC推進会議経路情報共有ワーキンググループとJPNICが作成しました。 経路情報共有ワーキンググループの皆様に感謝します。

 今後もインターネットを取り巻く環境などの傾向にあわせ、 定期的に更新する予定です。

以上

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

メールマガジン(JPNIC News & Views)登録

パスワードが記載された確認メールが発送されます。 確認メールが届かない場合は、 ご入力いただいたメールアドレスが
誤っていた可能性がありますので、 再度ご登録手続きを行ってください。

ロゴ:JPNIC

Copyright© 1996-2024 Japan Network Information Center. All Rights Reserved.