cNotes 検索 一覧 カテゴリ

L.ROOT-SERVERS.NETの 経路ハイジャック ?

Published: 2008/05/22

ICANNのブログに経緯が載りましたね。でも内容的には?な感じで、結局なんだったのかはわからず。残念な感じですが

事象的には、

旧L.ROOT-SERVERS.NETのIPアドレス(198.32.64.12)が2007/11/1以降「199.7.83.42」に変更になりました。当然世界中のインパクトを考えて(にしては短いんですが)移行期間が6ヶ月ほど置かれ、11/1以降も旧IPアドレスは利用できていたわけです。で、2008/5/2に移行期間の終了に伴い管理元であるICANNが旧サーバーをshutdownし、このアドレスに関する経路広告も停止した。ところが・・・

5/2以降も別のASからこのアドレスブロックの経路広告は継続されていた。しかもご丁寧に旧L.ROOT向けのクエリに応答も返してらしい

という出来事。

これは経路情報まで乗っ取った完璧な形のフィッシング?・・・

BGP的に198.32.64.0/24の経路情報は

  • AS20144(ICANN)からの経路広告が正解
  • 2007/12/19ごろからAS42909からの経路広告が始まってます。
  • 2008/3/19ごろからAS9584からの経路広告が始まってます。
  • 2008/5/17ごろにこれらの経路広告はすべて止まっています。

事情がわからないので、anycastのオペレーションをしくじったのかと思ってましたが、L.ROOTはanycast化してない?一部のNW管理者が6ヶ月の移行期間なんて短すぎるからそのNWの利用者の利便性を考慮して良かれ配信?その経路が外に漏れた?とかいろいろ想像は膨らむわけですが。

事情がわからないと、AS9584(香港)とかだとちょっと気持ちわるいかも。そもそもL.ROOTのIPアドレスをAS42909から借りていた?経緯や、今回の変更の経緯も不明ってなってますからね…

セキュリティ狼少年さん的には「経路ハイジャック」の可能性とか、「DNSハイジャック」の可能性を煽ることになるでしょうか?

まぁROOTサーバーほどのインパクトではないですが、SEO攻撃やフィッシング等で、信用を買うために古いドメインや、昔人気があったURLを買って新たにサイトを立ち上げて人やシステムを騙す行為が行われていますが、そっちにも関連する問題なんでしょうかね?矮小化しすぎか?似たような経緯のIPアドレス、ドメインは多々あるでしょう。

興味があるのは、世界中のDNSの何%が今回のアドレス変更に対応したんでしょうね?

:::

経路ハイジャックって、簡単に言えばイントラ内で間違ってPCのインターフェースにdefalutgatewayを設定しちゃって、全員の通信を引っ張っちゃいました的なことをインターネットバックボーンに拡大解釈したようなもの。実際、発生している問題のほとんどすべてがオペレーションミス、ミスコンフィグレーション。事象的にも同じだし。つまり、SMTPやHTTPと同様にインターネットルーティングっていうものも、脆弱(いいかげん)な技術、すでに時代遅れな技術ということの証明になっちゃうんですかね?かなりレベルの低い話とも捉えることができるのが残念です。が、まだまだインターネットは成長過程と捉えるべきなんですかね。成熟するときはくるのか、、、、、

意図的に経路ハイジャックするというのは理論的には攻撃力は高いですが、実行するための敷居は高いし、明確に実行者はばれるし、得られるものは破壊しかないのでそこまでリスキーな攻撃はしないんじゃないですかね?

にしても「経路ハイジャック」って単語、残念というか痛いというか、もっとかっこいい表現ってないんですかね?

[カテゴリ:routing system security]

by jyake