Een eerste blik op de adoptie van BGP-gebaseerde DDoS-wasstraten
A 5-year longitudinal analysis
De oorspronkelijke blogpost is Engelstalig. Dit is de Nederlandse vertaling ervan.
Bijdragers: Suzan Bayhan (Universiteit Twente), Ralph Holz (Universität Münster en Universiteit Twente), Saeedeh Shokoohi (University of Waikato), Marinho Barcellos (University of Waikato) en Cristian Hesselman (SIDN Labs en Universiteit Twente).
Een Autonoom Systeem (AS) kan zich beschermen tegen DDoS-aanvallen door inkomend DDoS-verkeer om te leiden door een zogeheten 'DDoS-wasstraat', een proces dat doorgaans wordt uitgevoerd met behulp van het Border Gateway Protocol (BGP). Hoewel BGP-gebaseerde wasstraten een nuttige dienst leveren, is het onduidelijk in hoeverre er op het wereldwijde internet gebruik van wordt gemaakt. Dit gebrek aan inzicht maakt het lastig om te beoordelen hoe effectief het internet grootschalige DDoS-aanvallen kan bestrijden en de beschikbaarheid van diensten voor legitiem verkeer kan handhaven. Daarom hebben we een methodologie ontwikkeld die licht werpt op de adoptie van de mondiale top 5 van BGP-gebaseerde DDoS-wasstraten in de periode 2020-2024. Deze blog is een samenvatting van de paper die we presenteerden tijdens de International Conference on Network and Service Management (CNSM’25).
Achtergrondinformatie over DDoS-wasstraten
Een methode om DDoS-aanvallen te bestrijden is door verkeer om te leiden naar een DDoS-wasstraat. Zo'n wasstraat draait meestal op een over de hele wereld verspreid netwerk van datacenters, zodat een DDoS-aanval zo dicht mogelijk bij de bron kan worden onderschept en alleen het legitieme verkeer het beschermde netwerk bereikt. Er zijn 2 soorten DDoS-wasstraten, afhankelijk van hoe het verkeer wordt omgeleid: gebaseerd op DNS en gebaseerd op BGP. DNS-gebaseerde wasstraten worden meestal ingezet om websites te beschermen, door verkeer om te leiden via aanpassingen aan DNS-records (bijvoorbeeld CNAME- of A-records). BGP-gebaseerde wasstraten daarentegen beschermen volledige netwerken die meerdere diensten hosten – zoals databases, e-mail of IP-telefonie – en vereisen dat de klant een eigen Autonoom Systeem (AS) beheert, het zogeheten beschermde AS. In ons onderzoek keken we naar de inzet van BGP-gebaseerde wasstraten op het wereldwijde internet, een onderwerp dat, voor zover wij weten, nog nauwelijks is onderzocht.
Bij BGP-gebaseerde wasstraten maakt het beschermde AS verbinding met de wasstraat via methoden zoals GRE-tunnels, directe verbindingen of peeringafspraken (bijvoorbeeld via een Internet Exchange of datacenter). Het AS maakt vervolgens zijn routes kenbaar aan de wasstraat met behulp van BGP of statische routering, waarbij BGP meestal de voorkeur heeft vanwege de flexibiliteit en het vereenvoudigde netwerkbeheer. Afhankelijk van de beschermingsmodus kan het AS zijn prefixen continu via de wasstraat aankondigen ('always-on'-bescherming) of alleen tijdens een aanval ('on-demand'-bescherming).
Waarom is inzicht in de adoptie van BGP-gebaseerde DDoS-wasstraten van belang?
Wij zijn van mening dat inzicht in de adoptie van BGP-gebaseerde wasstraten interessant is voor verschillende doelgroepen. Zo zou het beheerders van AS'en de mogelijkheid geven om transitproviders of peers te selecteren die DDoS-bescherming toepassen, zodat BGP-paden beter bestand zijn tegen DDoS-aanvallen. Een ander voorbeeld is de MANRS+-werkgroep, die de routeringsbeveiliging beoogt te verbeteren door middel van strengere compliance en audits. Deze werkgroep kan inzichten in de adoptie van DDoS-wasstraten gebruiken voor hun 'DDoS Attack Prevention'-indicator, die bijhoudt welke AS'en gebruikmaken van BGP-gebaseerde DDoS-bescherming. Verder kunnen nationale beleidsmakers en netwerkoperatorgroepen de inzichten meenemen wanneer zij overwegen om in hun land of gemeenschap DDoS-beschermingsdiensten in te zetten.
Begrijpen hoe BGP-gebaseerde DDoS-wasstraten werken
We richtten ons in onze analyse op de BGP-gebaseerde wasstraten die in het rapport The Forrester Wave: DDoS Mitigation Solutions uit 2021 zijn aangemerkt als de mondiale top 5: Akamai Prolexic, Cloudflare, Vercara (voorheen Neustar), Imperva en Radware. We kozen hiervoor omdat er, voor zover wij weten, nog geen officiële geverifieerde lijst van alle DDoS-wasstraten bestaat.
Om goed te begrijpen hoe deze wasstraten werken, hebben we niet alleen hun eigen documentatie bestudeerd, maar ook die van 3 andere wasstraten. Daarnaast analyseerden we verslagen van eerdere activiteiten waarbij verkeer werd 'gewassen', bijvoorbeeld in blogs (Kentik, ThousandEyes), en informatie uit mailinglijsten. De inzichten die we daaruit opdeden, hebben we ter controle voorgelegd aan de exploitanten van 4 wasstraten: NaWas, DDoS-Guard, Akamai en Radware. We ontdekten dat BGP-gebaseerde wasstraten in 2 categorieën kunnen worden onderverdeeld. In de eerste categorie verschijnt de wasstraat in de BGP-gegevens als de upstream provider van een beschermd AS. Dit leidt tot 4 verschillende patronen in de BGP-gegevens, zoals we in de volgende sectie toelichten. In de tweede categorie draagt een beschermd AS het aankondigen van zijn prefixen over aan de wasstraat, waardoor deze in de BGP-gegevens wordt weergegeven als het AS van oorsprong.
In onze paper en in deze blog richten we ons op het model waarbij de wasstraat in de BGP-gegevens wordt weergegeven als een upstream provider van een beschermd AS. Het tweede model (waarbij de aankondiging van een beschermd prefix wordt overgedragen) bewaren we voor toekomstig onderzoek.
Beschermde prefixen en AS'en identificeren aan de hand van 4 AS-padpatronen binnen BGP
We analyseerden RIB-gegevens (Routing Information Bases) die van 2020 tot 2024 op de eerste dag van elke maand werden verzameld door de route collectors RIS en RouteViews. Door met maandelijkse steekproeven te werken konden we de hoeveelheid te verwerken gegevens beperken, wat hielp om, zoals beoogd, een goed eerste overzicht te krijgen van de adoptie van BGP-gebaseerde DDoS-wasstraten.
We identificeerden 4 patronen waarin het AS-nummer (ASN) van een wasstraat in de RIB-gegevens wordt weergegeven als upstream provider van een beschermd AS, zoals te zien is in Tabel 1. De rechterkolom toont per patroon een voorbeeld voor de wasstraat van Radware, met AS-nummer 198949. Een AS-pad volgens patroon 3 heeft bijvoorbeeld het beschermde AS als oorsprong (AS28006), het wasstraat-AS als upstream provider (AS198949, derde positie) en daartussen een verwant AS (AS26613). De AS-nummers 28006 en 26613 behoren tot dezelfde organisatie.
Tabel 1: 4 patronen waarin een wasstraat-AS voor beschermingsdoeleinden wordt weergegeven als upstream provider.
ID | Patronen gebaseerd op positie van wasstraat-ASN | Voorbeelden (Radware) |
1 | Directe provider | [41666 34927 1299 198949 6352] |
2 | Voorafgegaan door het beschermde AS | [1798 3356 198949 12235 12235] |
3 | Voorafgegaan door verwante AS'en van het beschermde AS | [37721 2914 198949 26613 28006] |
4 | Voorafgegaan door niet-verwante AS'en | [1798 174 1299 198949 12625 15814] |
We hebben patroon 4 buiten beschouwing gelaten, omdat we niet konden vaststellen of het AS van oorsprong (AS15814 in het voorbeeld in Tabel 1) een wasstraat gebruikt. Bovendien komt dit patroon zeer zelden voor in onze analyse (zie Figuur 1).
Figuur 1: Verdeling van de 4 AS-patronen over beschermde AS'en in de maandelijkse RIB-snapshots van 2024. De getallen boven de balken geven het gemiddelde aantal beschermde AS'en per wasstraat weer, berekend over de 12 snapshots.
Toename van de adoptiegraad van BGP-gebaseerde DDoS-wasstraten
Onze longitudinale analyse in Figuur 2 laat zien dat het percentage AS'en dat BGP-gebaseerde bescherming toepast tussen 2020 en 2024 bijna is verdrievoudigd: van 0,7% naar 2% (van 464 AS'en naar 1.730 AS'en). Het percentage beschermde prefixen is in dezelfde periode eveneens verdrievoudigd: van 0,3% naar 0,9% (van 3.154 naar 12.362 prefixen), verspreid over zowel IPv4 als IPv6.
Figuur 2: Wereldwijde adoptiegraad van BGP-gebaseerde DDoS-wasstraten, met het percentage beschermde AS'en en prefixen.
Analyse van de AS-typen die BGP-gebaseerde DDoS-wasstraten gebruiken
Met behulp van de Stanford ASdb-datasetclassificeerden we AS'en wereldwijd op basis van het type diensten dat ze aanbieden. Hiervoor gebruikten we gegevens uit 2021, aangezien dit het vroegst beschikbare jaar is. We constateerden dat het merendeel van de beschermde AS'en (1.295 van in totaal 1.730) binnen de volgende 9 categorieën valt: Financiën, Gezondheid, Detailhandel, Industrie, Cloud, Overheid, IT, ISP en Onderwijs. Uit Figuur 3 blijkt dat op 1 december 2024 7.04% van de financiële AS'en (494 van de 7.021, zoals geclassificeerd door ASdb) een wasstraat gebruikte. Financiële instellingen hebben sinds 2021 consequent het voortouw genomen in de adoptie van BGP-gebaseerde wasstraten.
Figuur 3: Procentueel verloop door de jaren heen van de 9 AS-typen die vaker door de 5 wasstraten worden beschermd. De getallen tussen haakjes geven het totale aantal AS'en van dat type op het internet weer, zoals op 1 januari 2024 geclassificeerd door ASdb.
Samenvatting en toekomstig onderzoek
We presenteerden een eerste onderzoek naar de wereldwijde adoptie en karakterisering van BGP-gebaseerde DDoS-wasstraten in de periode 2020-2024, gebaseerd op een nieuwe methode die we ontwikkelden om beschermde AS'en en prefixen te identificeren. In ons onderzoek bestuderen we de 5 wasstraten die mondiaal het meest worden gebruikt. We laten zien dat op 1 december 2024 2% van circa 84.000 AS'en en 0,9% van 1.4 miljoen globaal routeerbare prefixen gebruikmaakt van een van de door ons geselecteerde BGP-gebaseerde DDoS-wasstraten.
In toekomstig onderzoek richten we ons op het identificeren van beschermde AS'en en prefixen waarbij de wasstraat optreedt als ASN van oorsprong en zo DDoS-bescherming biedt aan netwerken waarvan het ASN niet zichtbaar is in de AS-paden.
Met dank aan
Dit onderzoek ontving financiering van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) in het kader van de projecten CATRIN (NWA.1215.18.003) en UPIN (CS.004). CATRIN maakt deel uit van de Nationale Wetenschapsagenda (NWA) van NWO.
