Unexpected routes: BGP prefixes beyond recommended practices

Abstract

The Internet is composed of a vast collection of interconnected networks, also known as Autonomous Systems (ASes). ASes use Border Gateway Protocol (BGP) to exchange the reachability information of IP prefixes. The Resource Public Key Infrastructure (RPKI) enhances BGP security by providing cryptographically verifiable objects that confirm the ownership of the IP prefix by an AS. A set of well-documented best practices and guidelines for route announcements governs the Internet’s interdomain routing between ASes. For proper operation of Internet routing, adherence of network operators to the recommended norms and best practices is important. Among these best practices are the recommendations for using prefix lengths up to /24 for IPv4 and up to /48 for IPv6, single origin AS for IP prefix announcement, and registering a single prefix per Route Origin Authorization (ROA) object in RPKI. However, not all network operators follow these recommendations, and instead, their route announcements might be based on their policies, business needs, or technical limitations. Deviating from best routing practices can lead to routing inconsistency, complicate prefix origin validation, and disrupt network performance. This dissertation examines the routing ecosystem for violations of the aforementioned best practices. We define these cases as “unexpected routes” because they represent routes that are less anticipated and remain underexplored in prior research. First, we examine the routing ecosystem of the Internet for IP prefix sizes that are too specific. More precisely, we focus on IP prefixes more specific than /24 in IPv4 (i.e., /25 to /32) and than /48 for IPv6 (i.e., /49 to /128), and we refer to these prefixes as Hyper- specific Prefixes (HSPs). We analyze over eleven years of BGP data from well-known route collector projects to understand the evolution, examine their BGP communities and CIDR sizes to understand the reasons for HSP existence, and the potential role they might serve in Internet routing. Our findings show that most HSPs are accidental (internal) route leaks, or infrastructure peering subnets, and BGP blackholing. Next, we examine the origin AS for IP prefixes announced via BGP to the Internet. Using single-origin AS for a prefix is recommended; however, the routing ecosystem of the Internet exhibits several thousand prefixes having Multi Origin AS (MOAS) prefixes. We analyze MOAS prefixes, using over six years of daily BGP Routing Information Base (RIB) snapshots from route collectors to examine the lifespan, propagation pattern, and potential relationship between the origin ASes of MOAS prefixes and the reason for MOAS prefixes’ existence on the Internet. Our findings reveal that company mergers are the largest contributors to MOAS prefixes, and examining their CIDR sizes indicates their potential for fine-grained traffic engineering. Hypergiants, including Google and Amazon, are also among the users of MOAS prefixes. Then, we analyze the relationship between IPv4 and IPv6 address families at the prefix level. We use DNS records hosted on IPv4 and IPv6 prefixes and apply the Jaccard similarity index to identify pairs of IPv4 and IPv6 prefixes having a similar set of DNS records on their IPs and refer to them as sibling prefix pairs. We identify 76k IPv4-IPv6 sibling pairs, and 60% of the sibling prefixes are registered in the RPKI. Finally, we examine the current ROA structure across five RIRs’ RPKI trees for single prefix per ROA recommendation and analyze the RPKI validation delay by setting a testbed. We find that the current ROA structure across five RIRs is not the same, and the network delay and cryptographic verification of ROAs are the main delay contributors in the RPKI synchronization process.

Das Internet besteht aus einer großen Sammlung miteinander verbundener Netzwerke, die als Autonomous Systems (ASes) bezeichnet werden. ASes verwenden das Border Gateway Protocol (BGP), um Informationen über die Erreichbarkeit von IP-Präfixen auszutauschen. Die RPKI verbessert die Sicherheit von BGP, indem sie kryptografisch überprüfbare Objekte bereitstellt, die den Besitz eines IP-Präfixes durch ein AS bestätigen. Eine Reihe gut dokumentierter Best Practices und Richtlinien für Routenankündigungen regelt das Interdomain-Routing zwischen ASes im Internet. Für den ordnungsgemäßen Betrieb des Internet-Routings ist es wichtig, dass Netzbetreiber die empfohlenen Normen und Best Practices einhalten. Zu diesen Empfehlungen gehören unter anderem die Verwendung von Präfixlängen bis zu /24 für IPv4 und /48 für IPv6, die Nutzung eines einzelnen Origin-AS für die Ankündigung eines IP-Präfixes sowie die Registrierung eines einzelnen Präfixes pro ROA-Objekt in der RPKI. Nicht alle Netzbetreiber halten sich jedoch an diese Empfehlungen. Stattdessen können ihre Routenankündigungen auf eigenen Richtlinien, geschäftlichen Anforderungen oder technischen Einschränkungen beruhen. Abweichungen von bewährten Routing- Praktiken können zu Routing-Inkonsistenzen, erschwerter Prefix-Origin-Validierung und Beeinträchtigungen der Netzwerkleistung führen. Diese Dissertation untersucht das Routing-Ökosystem auf Verstöße gegen die genannten Best Practices. Wir definieren diese Fälle als “unexpected routes”, da sie weniger erwartete Routen darstellen, die in bisherigen Forschungen kaum untersucht wurden. Zunächst untersuchen wir das Routing-Ökosystem des Internets im Hinblick auf zu spezifische IP-Präfixgrößen. Genauer gesagt konzentrieren wir uns auf IP-Präfixe, die spezifischer sind als /24 bei IPv4 (i.e., /25 bis /32) und spezifischer als /48 bei IPv6 (i.e., /49 bis /128). Diese Präfixe bezeichnen wir als Hyper-specific Prefixes (HSPs). Wir analysieren über elf Jahre BGP-Daten aus bekannten Route-Collector-Projekten, um ihre Entwicklung zu verstehen, ihre BGP-Communities und CIDR-Größen zu untersuchen, die Gründe für ihre Existenz zu identifizieren und ihre mögliche Rolle im Internet-Routing zu bewerten. Unsere Ergebnisse zeigen, dass die meisten HSPs auf versehentliche (interne) Route-Leaks, Infrastruktur-Peering-Subnetze oder BGP-Blackholing zurückzuführen sind. Als Nächstes analysieren wir die Origin-ASes von IP-Präfixen, die über BGP im Internet angekündigt werden. Obwohl empfohlen wird, für ein Präfix nur ein einzelnes Origin-AS zu verwenden, zeigt das Routing-Ökosystem des Internets mehrere tausend Präfixe mit Multi-Origin AS (MOAS). Wir untersuchen MOAS-Präfixe anhand von über sechs Jahren täglicher BGP-RIB-Snapshots aus Route-Collector-Daten, um ihre Lebensdauer, Verbreitungsmuster und potenzielle Beziehungen zwischen den Origin-ASes zu analysieren sowie die Gründe für das Auftreten von MOAS-Präfixen im Internet zu verstehen. Unsere Ergebnisse zeigen, dass Unternehmensfusionen die Hauptursache für MOAS-Präfixe darstellen, und eine Betrachtung ihrer CIDR-Größen deutet auf eine mögliche Nutzung für feingranulares Traffic Engineering hin. Große Anbieter wie Google und Amazon gehören ebenfalls zu den Nutzern von MOAS-Präfixen. Anschließend untersuchen wir die mögliche Beziehung zwischen den Adressfamilien IPv4 und IPv6 auf Präfixebene. Wir verwenden DNS-Einträge, die auf IPv4- und IPv6- Präfixen gehostet sind, und wenden den Jaccard-Ähnlichkeitsindex an, um Paare von IPv4- und IPv6-Präfixen mit ähnlichen DNS-Einträgen zu identifizieren, die wir als sibling prefix pairs bezeichnen. Wir identifizieren 76k IPv4–IPv6 sibling prefixes, von denen 60% in der RPKI registriert sind. Abschließend analysieren wir die aktuelle ROA-Struktur in den RPKI-Bäumen der fünf RIRs im Hinblick auf die Empfehlung, nur ein einzelnes Präfix pro ROA zu registrieren, und untersuchen die RPKI-Validierungsverzögerung mithilfe eines aufgebauten Testbeds. Wir stellen fest, dass sich die aktuelle ROA-Struktur zwischen den fünf RIRs unterscheidet und dass Netzwerklatenzen sowie die kryptografische Verifikation der ROAs die Hauptursachen für Verzögerungen im RPKI-Synchronisationsprozess sind.