Panorámicasobreel secuestrode redes IPv{4|6} · redes IPv{4|6} Alejandro Acosta...
Transcript of Panorámicasobreel secuestrode redes IPv{4|6} · redes IPv{4|6} Alejandro Acosta...
Panorámica sobre el secuestro de redes IPv{4|6}
Alejandro Acostaalejandro @\ lacnic.net
@ITandNetworking
Panorámica sobre el secuestro de redes IP
TerminologíaSecuestro de red o HijackEs el apoderamiento ilegítimo de una red IP
manipulando las tablas BGP
TerminologíaSecuestro de red o HijackEs el apoderamiento ilegítimo de una red IP
manipulando las tablas BGP
EventoPara este documento, “evento” corresponde a cualquier actividad en tornoal secuestro de redes (pe, secuestrar / ser secuestrado)
Terminología
SecuestradorEl actor que realiza el
secuestro de una red.
Secuestro de red o HijackEs el apoderamiento ilegítimo de una red IP
manipulando las tablas BGP
EventoPara este documento, “evento” corresponde a cualquier actividad en tornoal secuestro de redes (pe, secuestrar / ser secuestrado)
Terminología
SecuestradorEl actor que realiza el
secuestro de una red.SecuestradoEs la organización dueña de los recursos que
son víctima del secuestro.
Secuestro de red o HijackEs el apoderamiento ilegítimo de una red IP
manipulando las tablas BGP
EventoPara este documento, “evento” corresponde a cualquier actividad en tornoal secuestro de redes (pe, secuestrar / ser secuestrado)
Origen de los datosTwitter: @bgpstream
Origen de los datosTwitter: @bgpstream
Todos los tweets desde el 1 de Enero de 2016 al 31 de Mayo de 2020 de la cuenta twitter @bgpstream siendo un total de 45.000 (todos los eventos)
Origen de los datos
{"usernameTweet": "bgpstream", "url": "/bgpstream/status/1041905881250758656", "datetime": "2018-09-18 00:24:54", "nbr_reply": 0, "is_reply": false, "ID": "1041905881250758656", "text": "BGP,HJ,hijacked prefix AS3356 189.125.240.0/23, Level 3 Parent, LLC,-,By AS266069 Banco BMG S.A., http:// bgpstream.com/event/151944 ", "user_id": "3237083798", "nbr_retweet": 0, "nbr_favorite": 0, "is_retweet":false}
Twitter: @bgpstream
Todos los tweets desde el 1 de Enero de 2016 al 31 de Mayo de 2020 de la cuenta twitter @bgpstream siendo un total de 45.000 (todos los eventos)
Origen de los datos
{"usernameTweet": "bgpstream", "url": "/bgpstream/status/1041905881250758656", "datetime": "2018-09-18 00:24:54", "nbr_reply": 0, "is_reply": false, "ID": "1041905881250758656", "text": "BGP,HJ,hijacked prefix AS3356 189.125.240.0/23, Level 3 Parent, LLC,-,By AS266069 Banco BMG S.A., http:// bgpstream.com/event/151944 ", "user_id": "3237083798", "nbr_retweet": 0, "nbr_favorite": 0, "is_retweet":false}
Twitter: @bgpstream
HJ = La info contentiva de este tweet que corresponde a un Hijack, un secuestro de red (estos son los tipos de tweets que precisamos)AS3356 = AS Origen del prefijo de la redSE = Código del país correspondiente al prefijo de la red
189.125.240.0/23 = Prefijo de red secuestradoAS2660 = AS del secuestradorhttp://bgpstream.com/event/151944 = URL para obtenermás detalles
Todos los tweets desde el 1 de Enero de 2016 al 31 de Mayo de 2020 de la cuenta twitter @bgpstream siendo un total de 45.000 (todos los eventos)
Procesamiento de los datos
Python3https://www.python.org/
TweetScraperhttps://github.com/jonbakerfish/TweetScraper
Adicionalmente se utilizó el API de RIPE NCC para geolocalización de varios
Resultados
Resultados
Recordemos que 2020 es hasta el mes de Mayo
Cantidad de secuestros por año
ResultadosCantidad de secuestros por año x protocolo
ResultadosCantidad de secuestros por año x protocolo
ResultadosDistribución de eventos de red por año
ResultadosCantidad de secuestros por año x protocolo
* Según la hora reportada por TweetScraper
ResultadosRIR que más secuestros recibe *
* según Sistema Autónomo del secuestrado
* según Sistema Autónomo del secuestrador
ResultadosRIR que más secuestros realiza *
ResultadosDía de la semana con menos secuestros por RIR
5.5.5.0/24 5
103.15.168.0/24 7
185.58.128.0/24 7187.16.216.0/21 7
2.2.2.0/24 7
2001:bf7:170::/44 8
80.249.208.0/21 18
ResultadosTabla de frecuencia. TOP Prefijos
ResultadosFrecuencia longitud de máscara - IPv4
ResultadosFrecuencia longitud de prefijo – IPv6
ResultadosTOP 10 países más afectados
Posición Country Times1 US 8592 BR 7023 IN 3504 CN 3195 GB 2776 DE 2647 RU 2088 NL 1999 IR 17710 HK 172
ResultadosTOP 10 países más “secuestrador”
Ranking Eventos CC1 1034 US2 703 BR3 307 RU4 226 IN5 181 DE6 172 HK7 172 GB8 153 PL9 148 IR10 146 CH
Resultados¿Curiosidades?
Resultados¿Curiosidades?
AS 2147483647
Resultados¿Curiosidades?
AS 2147483647
Este ASN es reservado; el mismo realizóun total de 36 secuestros entre el año 2016 y el 2018
¡ Muchas gracias !
¿Consultas? / ¿Preguntas?
Alejandro Acostaalejandro @\ lacnic.net@ITandNetworking