BGP Stream: um ano de análise sobre incidentes BGP
04/03/2024
Por Alejandro Acosta, Coordenador de I+D no LACNIC
O LACNIC apresenta a primeira página on-line que mostra os incidentes e análises de dados de medição do Border Gateway Protocol (BGP) na América Latina e o Caribe.
EVENTOS PRINCIPAIS. Além de resumir as informações, são apreciados os três principais eventos que são: possíveis sequestros de rede, interrupções BGP e vazamentos de rotas.
Possível sequestro de rede: é a aquisição ilegítima de conjuntos de endereços IP, corrompendo as tabelas de roteamento da Internet. Isso acontece tradicionalmente quando o sistema autônomo anuncia um prefixo que não lhe pertence.
Interrupções (outages): refere-se à perda de visibilidade dos prefixos de rede por um grupo majoritário de sensores.
Vazamentos de rotas: como o nome sugere, refere-se ao anúncio (possivelmente) não intencional de algum prefixo de rede via BGP. Por exemplo, em uma troca de tráfego de peering privado, algum dos participantes anuncia o prefixo do peer à Internet. Este é o caso mais difícil de detectar pelos algoritmos e não consegue identificar alguns desses incidentes.
Como os dados são obtidos?
Esta iniciativa usa BGP Stream da Cisco, um processo automatizado que seleciona os incidentes maiores e mais importantes, que tipo de situação é e quais ASN estão envolvidos.
As informações são publicadas abertamente uma vez que o LACNIC considera que são informações importantes para que engenheiros, responsáveis de redes e organizações possam conhecer os incidentes mais comuns da região e conscientizar sobre a situação.
Isso permite a pesquisa eficiente de eventos, prototipagem rápida e ferramentas complexas e aplicativos de monitoramento em grande escala (por exemplo, detecção de interrupções de conectividade, ataques ou sequestros de BGP).
A partir de um sistema desenvolvido pela área de I+D do LACNIC, os dados brutos são obtidos, plotados, identificados, limpos e armazenados em um banco de dados para posteriormente gerar estatísticas e gráficos. Isso ocorre a cada 24 horas de forma automatizada.
RESULTADOS. Durante o período estudado −fevereiro de 2023 a fevereiro de 2024− observamos os resultados que mostramos no gráfico a seguir, que comparam eventos BGP globais versus eventos BGP da nossa região.
Comparando o gráfico global com o gráfico da região, vemos que a ordem dos incidentes é semelhante (o maior é outages, seguido por possíveis sequestros de rede e terminando com vazamentos de prefixo). Adicionalmente, cabe ressaltar que na nossa região as interrupções (outages) são mais frequentes em comparação ao total global de eventos BGP.
Ao analisar a tabela de resultados que mostra eventos BGP mundiais versus eventos BGP da nossa região, encontramos os seguintes fatos.
TOP 5 países da nossa região com interrupções BGP (Outages)
| Outages | |
| CC | Eventos |
| BR | 781 |
| AR | 99 |
| HT | 24 |
| MX | 22 |
| CL | 17 |
TOP 5 países da nossa região com sequestros de prefixos (Possible Hijacks)
| Esperado CC | Detectado CC | Eventos |
| BR | BR | 67 |
| BR | Nenhum | 35 |
| PY | BR | 24 |
| BR | US | 22 |
| BR | CN | 9 |
TOP 3 países da nossa região com vazamentos de rotas (Route Leaks)
| Origem CC | Vazador CC | Eventos |
| VE | VE | 7 |
| MX | MX | 5 |
| CL | PA | 2 |
O impacto
Neste primeiro ano de operação, desde o LACNIC observamos uma diminuição nos incidentes BGP, entre as razões para estes resultados podemos identificar: a) a implantação e adoção do Sistema de Certificação de Recursos (RPKI); b) o Registro de Roteamento da Internet do LACNIC (IRR) e a adoção do RFC 9234 (Funções no BGP).
A adoção dessas ferramentas está ocorrendo devido às melhores práticas das operadoras e à promoção do MANRS pela ISOC.
Conclusões
Os potenciais sequestros de rede (BGP Hijacks), interrupções BGP (Outages) e vazamentos de rotas são os incidentes BGP mais comuns. Durante o primeiro ano de coleta de dados observa-se uma diminuição destes casos; no entanto, no futuro próximo, eles não desaparecerão completamente. É fundamental implementar medidas robustas de redundância e resiliência nas redes, bem como a detecção e prevenção precoce de possíveis sequestros para garantir a integridade e fiabilidade das rotas da Internet.
No LACNIC procuramos conscientizar e motivar os ISP e as organizações a estarem preparados para enfrentar esses incidentes de forma eficiente quando eles ocorrerem.
Referências:
https://stats.labs.lacnic.net/BGP/bgpstream-lac-region.html
https://stats.labs.lacnic.net/BGP/bgpstream.html
https://bgpstream.crosswork.cisco.com/