Skip to main content
QUICK REVIEW

[논문 리뷰] Peerlock: Flexsealing BGP

Tyler McDaniel, Jared M. Smith|arXiv (Cornell University)|2020. 06. 11.
Internet Traffic Analysis and Secure E-voting참고 문헌 19인용 수 3
한 줄 요약

Peerlock는 글로벌 협력이나 신뢰 인fra 없이도 트랜짓 제공자가 필터링 협약을 자율적으로 이행할 수 있도록 해주는 BGP 라우트 누출 방지 시스템이다. 실시간 실험 결과, 티어1 네트워크 간에 잠재적인 Peerlock 필터의 48%가 구현되어 있으며, 대규모 ISP에서 Peerlock-lite를 전략적으로 구현할 경우 시뮬레이션된 티어1 라우트 누출의 80%를 완화할 수 있다.

ABSTRACT

BGP route leaks frequently precipitate serious disruptions to interdomain routing. These incidents have plagued the Internet for decades while deployment and usability issues cripple efforts to mitigate the problem. Peerlock, introduced in 2016, addresses route leaks with a new approach. Peerlock enables filtering agreements between transit providers to protect their own networks without the need for broad cooperation or a trust infrastructure. We outline the Peerlock system and one variant, Peerlock-lite, and conduct live Internet experiments to measure their deployment on the control plane. Our measurements find evidence for significant Peerlock protection between Tier 1 networks in the peering clique, where 48% of potential Peerlock filters are deployed, and reveal that many other networks also deploy filters against Tier 1 leaks. To guide further deployment, we also quantify Peerlock's impact on route leaks both at currently observed levels and under hypothetical future deployment scenarios via BGP simulation. These experiments reveal present Peerlock deployment restricts Tier 1 leak export to 10% or fewer networks for 40% of simulated leaks. Strategic additional Peerlock-lite deployment at all large ISPs (fewer than 1% of all networks), in tandem with Peerlock within the peering clique as deployed, completely mitigates 80% of simulated Tier 1 route leaks.

연구 동기 및 목표

  • 주요 인터넷 장애를 유발하는 지속적인 BGP 라우트 누출 문제를 해결하기 위해.
  • 누출 방지를 위해 광범위한 협력이나 신뢰 인fra에 의존하지 않도록 하기 위해.
  • 트랜짓 제공자가 자율적으로 네트워크를 보호할 수 있도록 확장 가능하고 구현 가능한 시스템을 설계하기 위해.
  • 실시간 실험과 BGP 시뮬레이션을 통해 Peerlock의 실제 구현 및 영향을 평가하기 위해.

제안 방법

  • Peerlock는 트랜짓 제공자 간 이원적 필터링 협약을 체결하여 누출 라우트를 원천 차단한다.
  • Peerlock-lite는 필터 교환을 단순화함으로써 구현 복잡도를 낮춘 경량 버전이다.
  • 시스템은 BGP 제어 평면 측정을 활용해 실시간 인터넷 환경에서의 구현 및 효과를 검증한다.
  • BGP 시뮬레이션은 현재 및 향후 구현 시나리오를 모델링하여 다양한 구성에서 누출 완화 정도를 정량화한다.
  • 필터 구현 수준은 티어1 네트워크 및 기타 대규모 ISP의 실시간 데이터를 통해 측정된다.
  • 전 세계 정책 협력이나 신뢰 모델이 필요 없이 피어 간 상호 합의에 기반한다.

실험 결과

연구 질문

  • RQ1실제 인터넷에서 티어1 네트워크 간에 Peerlock 필터가 얼마나 널리 구현되어 있는가?
  • RQ2현재 구현 수준에서 Peerlock은 티어1 라우트 누출의 확산을 얼마나 효과적으로 제한하는가?
  • RQ3대규모 ISP에서 Peerlock-lite를 광범위하게 구현할 경우 시뮬레이션된 티어1 라우트 누출을 얼마나 완화할 수 있는가?
  • RQ4현재 Peerlock 구현 수준과 향후 가상의 구현 시나리오 간에 누출 제어 능력은 어떻게 비교되는가?
  • RQ5피어 클럽 내 Peerlock과 함께 대규모 ISP에서 Peerlock-lite를 구현할 경우 누출 완화에 얼마나 기여하는가?

주요 결과

  • 티어1 네트워크 간 피어 클럽에서 잠재적인 Peerlock 필터의 48%가 실제로 구현되어 있어 실질적인 보급을 보여준다.
  • 현재 구현 수준에서 Peerlock은 시뮬레이션된 누출의 40%에 대해 티어1 누출 내보내기 대상 네트워크를 10개 이하로 제한한다.
  • 모든 대규모 ISP에서 Peerlock-lite를 전략적으로 구현할 경우(모든 네트워크의 1% 미만), 시뮬레이션된 티어1 라우트 누출의 80%를 완전히 완화할 수 있다.
  • 제한된 협력으로도 Peerlock 구현은 라우트 누출의 영향 범위를 크게 줄여주며, 구현 단위당 강력한 영향력을 보여준다.
  • 피어 클럽 내 Peerlock과 대규모 ISP에서의 Peerlock-lite 조합은 매우 효과적이고 확장 가능한 완화 전략을 제공한다.
  • 결과적으로, 타겟적이고 점진적인 Peerlock 변종 배포 전략이 BGP 라우팅 보안 향상에 상당한 기여를 할 수 있음을 시사한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.