panorámicasobreel secuestrode redes ipv{4|6} · redes ipv{4|6} alejandro acosta...

Panorámica sobre el secuestro de redes IPv{4|6}

Alejandro Acostaalejandro @\ lacnic.net

@ITandNetworking

Panorámica sobre el secuestro de redes IP

TerminologíaSecuestro de red o HijackEs el apoderamiento ilegítimo de una red IP

manipulando las tablas BGP

TerminologíaSecuestro de red o HijackEs el apoderamiento ilegítimo de una red IP

manipulando las tablas BGP

EventoPara este documento, “evento” corresponde a cualquier actividad en tornoal secuestro de redes (pe, secuestrar / ser secuestrado)

Terminología

SecuestradorEl actor que realiza el

secuestro de una red.

Secuestro de red o HijackEs el apoderamiento ilegítimo de una red IP

manipulando las tablas BGP

EventoPara este documento, “evento” corresponde a cualquier actividad en tornoal secuestro de redes (pe, secuestrar / ser secuestrado)

Terminología

SecuestradorEl actor que realiza el

secuestro de una red.SecuestradoEs la organización dueña de los recursos que

son víctima del secuestro.

Secuestro de red o HijackEs el apoderamiento ilegítimo de una red IP

manipulando las tablas BGP

EventoPara este documento, “evento” corresponde a cualquier actividad en tornoal secuestro de redes (pe, secuestrar / ser secuestrado)

Origen de los datosTwitter: @bgpstream

Origen de los datosTwitter: @bgpstream

Todos los tweets desde el 1 de Enero de 2016 al 31 de Mayo de 2020 de la cuenta twitter @bgpstream siendo un total de 45.000 (todos los eventos)

Origen de los datos

{"usernameTweet": "bgpstream", "url": "/bgpstream/status/1041905881250758656", "datetime": "2018-09-18 00:24:54", "nbr_reply": 0, "is_reply": false, "ID": "1041905881250758656", "text": "BGP,HJ,hijacked prefix AS3356 189.125.240.0/23, Level 3 Parent, LLC,-,By AS266069 Banco BMG S.A., http:// bgpstream.com/event/151944 ", "user_id": "3237083798", "nbr_retweet": 0, "nbr_favorite": 0, "is_retweet":false}

Twitter: @bgpstream

Todos los tweets desde el 1 de Enero de 2016 al 31 de Mayo de 2020 de la cuenta twitter @bgpstream siendo un total de 45.000 (todos los eventos)

Origen de los datos

{"usernameTweet": "bgpstream", "url": "/bgpstream/status/1041905881250758656", "datetime": "2018-09-18 00:24:54", "nbr_reply": 0, "is_reply": false, "ID": "1041905881250758656", "text": "BGP,HJ,hijacked prefix AS3356 189.125.240.0/23, Level 3 Parent, LLC,-,By AS266069 Banco BMG S.A., http:// bgpstream.com/event/151944 ", "user_id": "3237083798", "nbr_retweet": 0, "nbr_favorite": 0, "is_retweet":false}

Twitter: @bgpstream

HJ = La info contentiva de este tweet que corresponde a un Hijack, un secuestro de red (estos son los tipos de tweets que precisamos)AS3356 = AS Origen del prefijo de la redSE = Código del país correspondiente al prefijo de la red

189.125.240.0/23 = Prefijo de red secuestradoAS2660 = AS del secuestradorhttp://bgpstream.com/event/151944 = URL para obtenermás detalles

Todos los tweets desde el 1 de Enero de 2016 al 31 de Mayo de 2020 de la cuenta twitter @bgpstream siendo un total de 45.000 (todos los eventos)

Procesamiento de los datos

Python3https://www.python.org/

TweetScraperhttps://github.com/jonbakerfish/TweetScraper

Adicionalmente se utilizó el API de RIPE NCC para geolocalización de varios

Resultados

Resultados

Recordemos que 2020 es hasta el mes de Mayo

Cantidad de secuestros por año

ResultadosCantidad de secuestros por año x protocolo

ResultadosCantidad de secuestros por año x protocolo

ResultadosDistribución de eventos de red por año

ResultadosCantidad de secuestros por año x protocolo

* Según la hora reportada por TweetScraper

ResultadosRIR que más secuestros recibe *

* según Sistema Autónomo del secuestrado

* según Sistema Autónomo del secuestrador

ResultadosRIR que más secuestros realiza *

ResultadosDía de la semana con menos secuestros por RIR

5.5.5.0/24 5

103.15.168.0/24 7

185.58.128.0/24 7187.16.216.0/21 7

2.2.2.0/24 7

2001:bf7:170::/44 8

80.249.208.0/21 18

ResultadosTabla de frecuencia. TOP Prefijos

ResultadosFrecuencia longitud de máscara - IPv4

ResultadosFrecuencia longitud de prefijo – IPv6

ResultadosTOP 10 países más afectados

Posición Country Times1 US 8592 BR 7023 IN 3504 CN 3195 GB 2776 DE 2647 RU 2088 NL 1999 IR 17710 HK 172

ResultadosTOP 10 países más “secuestrador”

Ranking Eventos CC1 1034 US2 703 BR3 307 RU4 226 IN5 181 DE6 172 HK7 172 GB8 153 PL9 148 IR10 146 CH

Resultados¿Curiosidades?

Resultados¿Curiosidades?

AS 2147483647

Resultados¿Curiosidades?

AS 2147483647

Este ASN es reservado; el mismo realizóun total de 36 secuestros entre el año 2016 y el 2018

¡ Muchas gracias !

¿Consultas? / ¿Preguntas?

Alejandro Acostaalejandro @\ lacnic.net@ITandNetworking