【论文分享】如何度量网络流量遭受监听的潜在安全风险?

IoT 2年前 (2022) admin
383 0 0
今天分享的论文主题为出入境流量所受监听及篡改行为的潜在风险度量。该工作主要由加利福尼亚大学及美国东北大学等学术单位的研究人员共同完成。为了定量研究部分国家出入境流量受到监听和篡改的潜在风险,研究者提出了国家级流量过境影响(Country-level Transit Influence,CTI)指标,对网络拓扑数据进行了分析。研究者发现,在34个国家中,单个自治系统(Autonomous System)可以访问到通往超过40%IP地址的流量,导致这些国家的过境流量受到监听和篡改的风险较高。该论文发表于网络测量领域重要会议PAM 2022。

【论文分享】如何度量网络流量遭受监听的潜在安全风险?

全文约2900字,阅读时间约6分钟。


01

【研究背景】


据已有研究报道,某些国家的出入境网络流量仅由少数自治系统负责转发。这意味着,此类国家的网络流量存在着被特定自治系统监听及篡改的安全风险。此前研究中,一类工作主要关注国家级别的路由,以确定网络拓扑瓶颈[1,2],或评估特定国家的AS对通往其他国家的路由的影响[3]。但其在处理数据时,均将整个AS映射到同一个国家。而事实上,一个AS可能跨越多个国家(尤其是重要的枢纽AS)这种做法不够准确;此外,部分研究工作侧重于特定国家(例如德国[4]、中国[5]和非洲[6])的拓扑结构,其方法和数据集难以推广到其他国家;还有一类研究工作[7]描述全球路由系统上各个AS之间的关系,但是缺少AS对流向一个国家的流量的监听能力的分析。

本文研究的是如何推断任意AS对任意国家的影响,与以往工作的区别在于,本文提出的方法能用于任何一个国家和任何一个AS,而非特定的国家和AS。此外,本文的关注点不是AS与AS的关系,而是AS对国家流量的监听能力。


02

【数据来源】


本文通过自己定义的CTI(Country-level Transit Influence)指标来衡量一个国家的出入境网络受到一个AS监听的潜能,在计算CTI的过程中,需要知道一个国家有哪些IP地址、IP地址属于哪些AS以及通往国家内部的流量路径。为了获得这些信息,本工作选取了以下几个数据集:RIPE RIS[8],RouteViews[9],CAIDA AS-relationships[10]以及Netacuity[11],详细介绍如下:


(1)RIPE RIS和RouteViews数据集:从世界各地的路由器上收集到的BGP信息,包括BGP Monitor信息。论文将其用于获取到达某个网段的路径;


(2)CAIDA AS-relationships数据集:主要包括IP地址所属的AS信息。论文将其用于获取一个IP地址的AS信息;


(3)Netacuity 数据集:主要包括IP地址的地理位置信息。论文将其用于确定一个IP地址所属的国家;


总之,论文利用上述数据集,从BGP路径中导出了一系列IP网段,获取到这些IP网段所属的AS和国家,并提取出到这些IP网段的路径信息。


03

【研究方法】


为了研究一个国家出入境流量受到监听和篡改的潜在风险,研究者重点考虑了出入境数据在国家边界时遇到的情况。假如大量入境流量都经过某个AS进入某一国家,大量出境流量也都经过这个AS离开这个国家,那么这个国家的出入境流量受到这个AS监听和篡改的潜在风险就比较高。


研究者定义了两个概念:“源AS”和“过境AS”。以入境流量为例,它要到达的国内AS称为“源AS”,它途径的(具有流量监控潜能的)AS称为“过境AS”。除了定性分析之外,研究者还想定量确定流量监听和篡改的潜在风险。


(1)整体研究思路

首先,研究人员梳理出每个自治系统所包含的IP地址信息,并将IP地址与所属国家信息实现关联映射;接着,对于每个出现在BGP Monitor项目中自治系统,研究人员恢复出BGP Monitor项目中所观测到的网络流量传输路径;最后,研究人员依据上述网络流量传输路径信息,评估特定自治系统对某一国家的影响。


(2)自治系统对国家影响的具体评估方法

作者提出了国家级流量过境影响(Country-level Transit Influence,CTI)指标,以计算某个自治系统对国家的影响。CTI衡量了一个AS对一个国家过境流量的影响。由于一个国家包含多个目标网段,所以CTI是AS对每个目标网段影响之和。同时,数据可能来源于多个BGP Monitor,所以CTI的最终结果应当是用每个BGP Monitor的数据计算得到的结果的加权平均。

具体来说,假如特定AS不在BGP Monitor到目标网段的路径上,那么就认为它对流向目标网段的流量没有影响;如果它在路径上,则用目标网段中属于那个国家的IP地址总数与这个国家的总IP地址数的比值来估计这种影响,同时要除以特定AS与网段之间的跳数。之所以要除以跳数,是因为作者考虑到AS的影响力随跳数的增加而衰减,也是为了权衡备份链路等存在替代链路的情况。

得到AS对各个目标网段的影响之后,首先把其加在一起。然后考虑BGP Monitor的因素。利用每个BGP Monitor项目的数据,均可得到一个结果。总结果是各BGP Monitor结果的加权平均值。一个需要注意的细节是,利用一个BGP Monitor进行计算时,需要排除BGP Monitor本身包含在AS中的情况。

【论文分享】如何度量网络流量遭受监听的潜在安全风险?

图表1: 一个计算CTI值的例子

以图表1为例,所研究的国家有8个/24网段,3个过境AS,4个源AS。右边的过境AS具有最高的CTI,因为它服务于最多的地址(整个国家地址的一半),其次是左边的过境AS(3/8)和中间的AS(1/8)。注意,顶部AS的CTI为0,因为它包含了BGP Monitor(本示例中使用的数据就是来自这个BGP Monitor)。


04

【主要发现】


图表2是依据各国CTI指标对其排名的CTI箱线图,包含每个国家CTI排名在前五的5个AS。研究者发现,一些国家的少数几个AS的CTI的值特别高,而其他AS的值则相对很小,其箱线图看上去“头重脚轻”;还有一些国家的各个AS的CTI值相差不大,其箱线图较为平缓。研究者指出,CTI值分布头重脚轻的国家流量受到特定网络监听的可能性较大,而CTI分布较为平缓的网络系统受过境AS流量监听的潜能较小。


【论文分享】如何度量网络流量遭受监听的潜在安全风险?

图表2:各国CTI指标排名前5的AS的CTI箱线图


研究者发现,在选取的75个国家(这些国家几乎没有国际对等网络,其与国际互联网的连接只能依赖于其他国家提供的服务)中,有34个国家的CTI值最高的AS可以访问到通往超过40%IP地址的流量,这意味着它们的网络流量受到特定自治系统的监听和篡改的风险较高。研究者还发现,CTI值随其排名下降而迅速下降,从排在第1位的CTI到排在第2位的CTI,中位数大约减少了一半。


【论文分享】如何度量网络流量遭受监听的潜在安全风险?

图表3:被研究的75个国家中,排名靠前的5个AS对各个国家的CTI值


进一步地,研究者把所有国家的情况绘制在一个重叠条形图(如图表3所示)中,结合前面的结果,又进行了以下几方面的分析。

1. 流量暴露程度最高的国家。只有四个国家拥有CTI指数高于0.75的AS,分别是古巴、利比亚、塞拉利昂和所罗门群岛(一个小岛国)。古巴似乎拥有最暴露的流量生态系统,其中排名第一的AS的CTI为0.96。

2. 中位数附近的国家。图表2箱线图中最左侧的一列是各国CTI指数最高的AS,一些国家CTI最高的AS虽然仅仅处于中等水平(CTI值从0.34到0.44不等),但这些国家的网络流量暴露在监听和篡改中的风险仍然相当高,包括:埃及、赤道几内亚、伯利兹和泰国。例如在几内亚,前两名AS的CTI均超过0.3。

3. 流量暴露程度最少的国家。图表3的右端是五个CTI值都低于0.2的国家:乍得、孟加拉国、白俄罗斯、土耳其和北马其顿,这些国家的CTI分布更平坦。因此,研究者没有发现这些国家特别暴露于单一网络的证据。

4. 在许多国家中CTI值都排名靠前的AS。在图表3所示的165个AS中,有126个AS只在一个国家进入前5名,另有31个AS最多在10个国家进入前5名。然而,有8个AS在许多国家中排名前5:3356*-Lumen(在25个国家中排名前5),1299*-Telia (24), 174*-Cogent (24), 6939-HE(18), 5511*-Orange (16), 6762*-T. Italia(14),23520-C&W(14)和6453*-Tata(12)。几乎所有这些网络(用*标记)都靠近全球传输层次结构[12]的顶部(核心枢纽)。

除了各个国家的CTI统计分析之外,研究者还发现,海底电缆公司和国有电信公司在国家出入境连接中扮演着重要角色。众所周知,海底电缆是全球互联网基础设施的重要组成部分[13,14,15],在研究的大多数国家的前5个AS中发挥着作用。对于每个国家,研究者找到CTI排名最高的AS,进一步分析是否有证据表明这个AS与海底电缆的所有者或运营商之间存在联系。如果可以根据TeleGeography[16]和Infrapedia[17]找到AS名称、AS组织[18]或母公司组织与海底电缆运营商所有者之间的直接匹配,研究者就将AS定义为海底电缆运营商。经过分析,研究者在51个国家中发现了46个海底电缆AS。

另外,研究者发现,在超过三分之一的国家中,排名前5位的AS中至少有一个是国有的。研究者提出的CTI指标可以用于评估AS对一个国家的影响力,结合AS的归属信息后,也可以用于衡量国有电信公司的影响力。研究者指出,一些位于非洲和中亚的国家,提供的网络运输服务大大增加了其国家的影响力。这些过境AS具有流量监听和篡改的潜能。例如,有迹象表明,缅甸国有的缅甸邮电公司参与了最近政变[19]期间该国互联网服务的中断。



05

【结论】


研究论文量化分析了国家出入境流量依赖于少数AS的安全风险,研究者提出了国家流量过境影响(CTI)指标,定量地给出一个国家的出入境流量对特定AS的依赖程度。研究者对一些国家的CTI数据进行了分析,揭示了部分国家的网络流量受到监听和篡改的高风险。


原文链接

https://secpaper.cn/static/papers/1_2045798558_PAM_Quantifying_Nations__Exposure_to_Traffic_Observation_and_Selective_Tampering.pdf



参考文献

[1] Leyba, K.G., Edwards, B., Freeman, C., Crandall, J.R., Forrest, S.: Borders and gateways: measuring and analyzing national AS chokepoints. In: COMPASS (2019)
[2] Roberts, H., Larochelle, D., Faris, R., John, P.: Mapping local internet control. Tech Report, Berkman Center, Harvard University (2011)
[3] Karlin, J., Forrest, S., Rexford, J.: Nation-state routing: censorship, wiretapping, and BGP. In: CoRR (2009).
[4] Wahlisch, M., Schmidt, T.C., de Brun, M., Haberlen, T.: Exposing a nation-centric view on the German internet – a change in perspective on AS-level. In: Taft, N., Ricciato, F. (eds.) PAM 2012. LNCS, vol. 7192, pp. 200–210. Springer, Heidelberg (2012).
[5] Zhou, S., Zhang, G., Zhang, G.: Chinese internet AS-level topology. IET Commun. 2(1) (2007)
[6] Fanou, R., Francois, P., Aben, E.: On the diversity of interdomain routing in Africa. In: Mirkovic, J., Liu, Y. (eds.) PAM 2015. LNCS, vol. 8995, pp. 41–54. Springer, Cham (2015).
[7] Luckie, M., Huffaker, B., Dhamdhere, A., Giotsas, V., Claffy, K.: AS relationships, customer cones, and validation. In: ACM IMC (2013)
[8] RIPE Routing Information Service (RIS) (2019).
[9] RouteViews (2019). http://www.routeviews.org/routeviews/
[10] CAIDA AS-relationships (2019). http://data.caida.org/datasets/as-relationships/
[11] Netacuity (2020). http://info.digitalelement.com/
[12] Coral Sea cable system (2020). www.coralseacablesystem.com.au/about/
[13] Bischof, Z.S., Fontugne, R., Bustamante, F.E.: Untangling the world-wide mesh of undersea cables. In: HotNets 2018, pp. 78–84. ACM, New York (2018)
[14] Fanou, R., Huffaker, B., Mok, R., Claffy, K.C.: Unintended consequences: effects of submarine cable deployment on internet routing. In: Sperotto, A., Dainotti, A., Stiller, B. (eds.) PAM 2020. LNCS, vol. 12048, pp. 211–227. Springer, Cham (2020).
[15] Liu, S., Bischof, Z.S., Madan, I., Chan, P.K., Bustamante, F.E.: Out of sight, not out of mind: a user-view on the criticality of the submarine cable network. In: IMC 2020, pp. 194–200. ACM, New York (2020)
[16] TeleGeography. Submarine Cable Map (2020). www.submarinecablemap.com
[17] Infrapedia. Infrapedia (2020). https://www.infrapedia.com/app
[18] CAIDA. AS2Org (2020). https://www.caida.org/research/topology/as2org/
[19] Giles, C.: Myanmar coup: how the military disrupted the internet-BBC news. https://www.bbc.com/news/world-asia-55889565. Accessed 02 May2021



编辑&审校|刘保君、张一铭

原文始发于微信公众号(NISL实验室):【论文分享】如何度量网络流量遭受监听的潜在安全风险?

版权声明:admin 发表于 2022年12月28日 下午5:30。
转载请注明:【论文分享】如何度量网络流量遭受监听的潜在安全风险? | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...