This is an old revision of the document!
Détournement de préfixes et routage externe
Nous analysons dans ce document un évènement fréquent sur Internet qui consiste en un détournement de préfixes IP. Nous considérons l'épisode qui a eu lieu le 6 novembre 2015 et concernait le préfixe de la banque Associated Bank située aux Etats-Unis.
Un préfixe d'adresses IP est un bloc d'adresses contiguës. Par exemple, 192.168.1.0/24 dénote l'ensemble des adresses IP comprises entre 192.168.1.0 et 192.168.1.255.
La banque Associated Bank dispose de huit préfixes d'adresses IP dont le préfixe 12.180.184.0/24 qui est l'objet de cette étude. Ce préfixe est annoncé par BGP aux fournisseurs d'accès de la banque : AT&T et Windstream. A leur tour, AT&T et Windstream relayent l'annonce de préfixe de la banque vers NTT et TeliaSonera. Ainsi, de proche en proche, l'information de routage se propage pour atteindre tous les réseaux sur Internet comme indiqué sur la figure 1.
De cette façon, les routeurs BGP des différents réseaux sur Internet sélectionnent un chemin vers le réseau de la banque. Ils peuvent maintenant routeur du trafic vers le préfixe 12.180.184.0/24 comme représenté sur la figure 2.
Mais que se passe-t-il si un autre réseau, dans cet épisode l'opérateur téléphonique indien Airtel, annonce par BGP qu'il possède le préfixe 12.180.184.0/24 ?