8.8.8.8に対するBGPハイジャックの話

   このエントリをはてなブックマークに登録    2014/3/19-1

一昨日書いた記事に対する補足です。

まず、最初にBGPハイジャックそのものは、世界各所で毎月のように発生しており、別に珍しくもない話です。 そのほとんどが、意図的にトラフィックを乗っ取る目的で行われたものではなく、単なるオペレーションミスであると言われています。

BGPハイジャックで有名なのが、2008年にYouTubeへのトラフィックをパキスタンのISPが吸い込んでしまった事件(参考:RIPE-NCC: YouTube Hijacking: A RIPE NCC RIS case study)ですが、これも意図的にやったのではなく、パキスタン国内向けのネット検閲設定が外部に漏れてしまったというオペレーションミスだったと思われます。

オペレーションミスは、漏らしてしまった側だけではない可能性もあります。 そもそも、/32などのプレフィックス長を持つ経路はフィルタされていることが多いので、普通はそういうのは受け取らず、普通であればBGPハイジャックが成立するような経路でもなさそうでもあります。 「誤って外部に漏らしてしまった」のと「誤って漏れたものを食べてしまった」というミスが重なったのかも知れません。

で、今回のポイントは、BGPハイジャックが発生したということそのものではなく、8.8.8.8に対してAS7908(BT LATAM Venezuela,S.A.)が何かをしてそうだ、という点です。 AS7908は、ラテンアメリカ及びカリブ海地域のRIR(Regional Internet Registry)であるLACNICのwhoisにおいて、ベネズエラと記載されているBritish Telecomの子会社です。 ベネズエラとありますが、その他の南米地域においてもサービスを提供しています。

そのAS7908から8.8.8.8/32が広告されたということは、AS7908内部で8.8.8.8/32に対して「何か」をしていることを示してそうです。 「8.8.8.8はコッチですよーーー!」と言われた先に居るのが、AS7908内部(もしくは関連するAS内部)の偽キャッシュDNSサーバではないかと推測しています。 偽8.8.8.8は、監視や検閲などを行うためにMan-In-The-Middleを行ってそうです。 AS7908内部、またはAS7908を経由してインターネットに接続しているユーザは、Google Public DNSの8.8.8.8に対して直接通信を行っているつもりでも、間に偽8.8.8.8が挟まった状態で通信を行っているという状況じゃないかという感じです。

ネット検閲そのものは世界各国で行われており、ベネズエラに限らず、世界各地で同様のことが行われているのではないかとも思います。 ということで、ただ単に、南米地域でサービスを提供しているISPにおいてそういったことが行われているということが表面化しただけなんだろうなぁというのが、現時点での感想です。

   このエントリをはてなブックマークに登録