Il existe principalement deux approches (pas forcément contradictoires) pour faire face aux détournements #BGP dans l’Internet (style Pakistan Telecom vs. YouTube) : empêcher les détournements par un système de validation des annonces de route (l’approche de la #RPKI et des #ROA) ou bien détecter le problème et prendre des actions correctives. Cette seconde approche est utilisée dans des systèmes comme #Cyclops ou #BGPmon. Ce nouveau système, #Argus, est légèrement différent.
Argus fonctionne en détectant les annonces qui changent et en testant (ping...) la connectivité de l’AS (Autonomous System) après le changement, pour éliminer des faux positifs (AS qui a réellement changé d’opérateur, par exemple). Cette approche, combinant le plan de contrôle (BGP) et le plan de données (ping) a l’avantage de limiter le nombre de faux positifs. Elle a l’inconvénient de ne pas marcher du tout si le détourneur redirige le trafic vers l’AS normal (« BGP shunt » comme dans l’attaque Kapela&Pilosov) ou s’il répond à la place de l’AS normal. Argus ne peut donc être utilisé que pour les détournements accidentels, pas contre les attaques.
Le site Web officiel :
►http://argus.csnet1.cs.tsinghua.edu.cn
L’article originel :
►http://argus.csnet1.cs.tsinghua.edu.cn/static/Argus.FIST11.pdf
Attention, comme beaucoup d’articles scientifiques, l’auteur exagère les capacités de son jouet et diminue celle des autres. Par exemple, contrairement à ce qu’il prétend, les systèmes d’alarmes existants comme Cyclops ou BGPmon ne se limitent pas à l’AS d’origine.
