<div dir="ltr">Fixing the Internet's routing security is urgent and requires collaboration<br><br>A volunteer participation program for ISPs to prevent route hijacks and IP<br>spoofing is gaining some traction<br><br>Lucian Constantin <a href="http://www.pcworld.com/author/Lucian-Constantin/">http://www.pcworld.com/author/Lucian-Constantin/</a><br><br>IDG News Service<br><br>Feb 26, 2016 10:44 AM<br><br>The Internet is fragile. Many of its protocols were designed at a time when<br>the goal was rapid network expansion based on trust among operators. Today,<br>the Internet's open nature is what makes it so great for business,<br>education and communication, but the absence of security mechanisms at its<br>core is something that criminals are eager to exploit.<br><br>In late January, traffic to many IP (Internet Protocol) addresses of the<br>U.S. Marine Corps was temporarily diverted through an ISP in<br>Venezuela. According to Doug Madory, director of Internet analysis at Dyn,<br>such routing leaks occur almost on a daily basis and while many of them are<br>accidents, some are clearly attempts to hijack Internet traffic.<br><br>Another frequent occurrence is the hijacking of dormant or unused IP<br>address spaces. Known as IP address squatting, this technique is preferred<br>by email spammers who need blocks of IP addresses that haven't already<br>been blacklisted by spam filters.<br><br>To pull off such attacks, spammers need to find ISPs that will accept their<br>fraudulent routing advertisements without too much scrutiny. In early<br>February, the anti-spam outfit Spamhaus reported that Verizon<br>Communications was routing over 4 million IP addresses hijacked by<br>criminals, putting it in the top 10 list of ISPs worldwide who route spam<br>traffic.<br><br>The abuses don't stop there. The User Datagram Protocol (UDP), which is<br>widely used in Internet communications, is particularly vulnerable to<br>source address spoofing. This allows attackers to send data packets that<br>appear to originate from other people's IP addresses.<br><br>The weakness has been increasingly exploited in recent years to launch<br>crippling and hard-to-trace distributed denial-of-service (DDoS) attacks.<br>DDoS reflection, as the technique is known, involves attackers sending<br>requests with spoofed addresses to misconfigured servers on the Internet.<br>This forces those servers to send their responses to the spoofed addresses<br>instead of the true IP addresses from where the requests originated.<br><br>This hides the source of malicious traffic, but can also have an<br>amplification effect if the generated responses are larger than the<br>requests that triggered them. By using reflection against servers that run<br>UDP-based services like DNS (Domain Name System), mDNS (multicast DNS), NTP<br>(Network Time Protocol), SSDP (Simple Service Discovery Protocol), SNMP<br>(Simple Network Management Protocol) and others, attackers can generate<br>tens or hundreds of times more traffic than they could otherwise.<br><br>All of these problems require a high level of cooperation among network<br>operators to fix because, unlike other industries, the Internet has no<br>central governing body that could force ISPs to implement routing security<br>measures.<br><br>The Internet Society (ISOC), an international non-profit organization that<br>advances Internet-related standards, education and policy, strongly<br>believes that tackling security issues is a shared responsibility that<br>requires a collaborative approach<br><a href="http://www.internetsociety.org/collaborativesecurity">http://www.internetsociety.org/collaborativesecurity</a>. As such, in late<br>2014, the organization, together with nine network operators, launched an<br>initiative called MANRS <a href="https://www.routingmanifesto.org/manrs/">https://www.routingmanifesto.org/manrs/</a>, or<br>Mutually Agreed Norms for Routing Security.<br><br>Network operators who choose to participate in the MANRS program commit to<br>implementing various security controls in order to prevent the propagation<br>of incorrect routing information through their networks, prevent traffic<br>with spoofed source IP addresses and facilitate the validation of routing<br>information globally.<br><br>Over the past year, the program has grown steadily, the number of<br>participants now reaching 40. ISOC hopes that MANRS membership will become<br>a badge of honor or a quality mark that networks operators will strive to<br>obtain in order to differentiate themselves from the competition.<br><br>Whether the volunteer-based approach is enough for the program to continue<br>growing remains to be seen. But if it gains enough traction and becomes<br>large enough, ISPs who are not interested in joining now might be pushed by<br>market forces in the future. For example if three Internet providers<br>compete for a project, and only one of them is MANRS-compliant, the<br>customer might choose the MANRS member because it ostensibly cares more<br>about security.<br><br>There are network operators in countries like China or Russia that do a<br>fair amount of business by offering services to cybercriminals. Such<br>companies would probably not want to implement these security measures, but<br>if MANRS grows large enough, they might find themselves isolated and unable<br>to find uplink providers to carry their traffic internationally.<br><br>Implementing the MANRS recommendations, which are based on existing<br>industry best practices, can have some short-term costs for ISPs, but<br>according to ISOC, that's probably not the reason why many of them have<br>failed to implement them. The bigger problem, the organization believes,<br>is a lack of awareness about these problems or not having the expertise to<br>fix them.<br><br>The methods through which routing leaks and IP address spoofing can be<br>dealt with are diverse and currently documented in different places across<br>the Internet. That's why ISOC and the MANRS members are working on a Best<br>Current Operational Practices (BCOP) document that will bring those<br>recommendations together and provide clear guidance for their<br>implementation.<br><br>The goal is to assist the small, regional ISPs with adopting these<br>measures, because they make up around 80 percent of the Internet, said<br>Andrei Robachevsky, ISOC’s technology program manager.<br><br>If these ISPs were to start validating the routing announcements of their<br>own customers, there would be a much smaller chance that rogue<br>announcements would reach the global routing system.<br><br>Another thing that the MANRS members will be working on in 2016 is a set of<br>compliance tests to ensure that new potential members have indeed achieved<br>the program's goals and that they remain compliant over time. One example<br>of such a test is with a tool called Spoofer that checks if a network<br>allows IP spoofing or not. MANRS participants could run this tool inside<br>their networks periodically and report the results back.<br><br>Creating more incentives for ISPs to join the program is also an important<br>issue that ISOC and the existing MANRS members are discussing. For example,<br>some participants are considering including MANRS requirements in their<br>peering arrangements or offering higher bandwidth peering only to<br>MANRS-compliant network operators, Robachevsky said.<br><br>At this stage, however, the program is growing primarily by identifying and<br>co-opting ISPs who are industry leaders from a security perspective. These<br>are ISPs that have already implemented all of these protections on their<br>own, independently of MANRS, he said.<br><br>It's unlikely that the MANRS recommendations will ever be adopted by all of<br>the world's network operators and unfortunately some attacks, like DDoS<br>reflection, will not completely disappear without widespread implementation<br>of anti-IP spoofing measures. However, even if MANRS succeeds in creating<br>only small, but safe neighborhoods on the Internet, it would reduce the<br>problem.<br><br>Imagine a cybercriminal group that has access to 1,000 infected computers<br>from around the world that are organized in a botnet. If they get a list of<br>1,000 misconfigured DNS or NTP servers, they could abuse those servers to<br>amplify the traffic they could otherwise generate from those 1,000<br>computers by using the DDoS reflection technique.<br><br>However, if 20 percent of those infected computers were located within<br>networks that prevent IP spoofing, the attackers wouldn't be able to use<br>them for DDoS reflection at all, because their spoofed requests would be<br>blocked by their ISPs and would never reach the vulnerable DNS or NTP<br>servers.<br><br>Fortunately, the MANRS proposals will be beneficial in incremental<br>deployments, said Danny Cooper, a security researcher at Akamai. "Even if<br>not everyone on the Internet is participating and there's only a partial<br>uptake, it still reduces the places on the Internet that certain attacks<br>can be launched from."<br><br>The defense techniques proposed by MANRS are by no means perfect, and there<br>are some techniques to partially evade them, but overall they force<br>attackers to reduce the scope of their attacks, Cooper said.<br><br>MANRS represents a collection of pretty smart network operators that got<br>together and came up with some best practices to improve the state of<br>Internet routing, said Dyn's Madory. "Regardless of whether it gains<br>adoption by all ISPs, it's certainly the right thing do. We should try to<br>capture all the lessons learned from the various network engineers around<br>the world and advocate for their implementation."<br><br>After all, perfect or not, there aren't many alternatives to this kind of<br>industry self-regulation. Attacks will only get worse with the passing of<br>time and if nothing is done, there is a danger that national governments<br>could intervene with legislation that will endanger the openness of the<br>Internet. The fragmentation of the Internet is already happening to some<br>extent due to political, economic, religious and other reasons.<br><br>The good news is that the number of network operators who are implementing<br>anti-spoofing and route hijacking protections is growing. According to the<br>Worldwide Infrastructure Security Report released by DDoS mitigation<br>provider Arbor Networks in January, an estimated 44 percent of ISPs have<br>implemented anti-spoofing filters. This is up from 37 percent in 2014. In<br>addition, 54 percent now also monitor for route hijacks, compared to 40<br>percent in 2014. The report is based on a survey of 354 global network<br>operators.<br><br>"There's still a lot of room for improvement, obviously, but we are seeing<br>numbers trending in the right direction," said Gary Sockrider, principal<br>security technologist at Arbor Networks.<br><br>According to Sockrider, during the past year Arbor Networks has observed a<br>huge growth in both the number and size of DDoS reflection/amplification<br>attacks, across many protocols.<br><br>"I applaud the efforts of any organization, including the MANRS initiative,<br>to improve security, make networks more resilient and stop things like IP<br>address spoofing," Sockrider said. "I truly think that's important and I<br>fully support it."<br><br>________________________________<br><br>Olaf M. Kolkman<br>Chief Internet Technology Officer Internet Society<br><br>e-mail: <a href="mailto:kolkman@isoc.org">kolkman@isoc.org</a><br>LinkedIn:OlafKolkman<br>Twitter: @Kolkman<br><br>________________________________<br><br><br>From:<br><br><ul style="font-size:12.8px"><li style="margin-left:15px"><a href="http://www.itworld.com/article/3038713/fixing-the-internets-routing-security-is-urgent-and-requires-collaboration.html" target="_blank">ITWorld</a></li><li style="margin-left:15px"><a href="http://www.pcworld.com/article/3038714/fixing-the-internets-routing-security-is-urgent-and-requires-collaboration.html" target="_blank">PCWorld</a></li><li style="margin-left:15px"><a href="http://www.cio.com/article/3038752/fixing-the-internets-routing-security-is-urgent-and-requires-collaboration.html" target="_blank">CIO</a></li><li style="margin-left:15px"><a href="http://www.computerworld.com/article/3038715/security/the-internets-routing-security-needs-an-urgent-fix-but-itll-require-collaboration.html" target="_blank">Computerworld</a></li><li style="margin-left:15px"><a href="http://www.networkworld.com/article/3038251/fixing-the-internets-routing-security-is-urgent-and-requires-collaboration.html" target="_blank">Networkworld</a></li><li style="margin-left:15px"><a href="http://www.itnews.com/article/3038753/fixing-the-internets-routing-security-is-urgent-and-requires-collaboration.html" target="_blank">ITNews</a></li><li style="margin-left:15px"><a href="http://www.arnnet.com.au/article/594858/fixing-internet-routing-security-urgent-requires-collaboration/?fp=2&fpid=1" target="_blank">ARNnet</a></li><li style="margin-left:15px"><a href="http://www.techworld.com.au/article/594858/fixing-internet-routing-security-urgent-requires-collaboration/" target="_blank">Techworld</a></li></ul><br><br><br>-- <br><br><br>Narelle Clark<br><a href="mailto:narellec@gmail.com">narellec@gmail.com</a></div>