Kan ik een BGP-kaping van mijn thuisnetwerk detecteren?

Niet direct. De kaping vindt stroomopwaarts plaats; uw verkeer stroomt naar de verkeerde bestemming, maar u merkt het pas als de bestemming zich verkeerd gedraagt (certificaatwaarschuwingen, onbekende diensten). HTTPS maakt de meeste kapingen zichtbaar via TLS-fouten; pure-IP-diensten zijn moeilijker te detecteren.

Voorkomt RPKI alle BGP-kapingen?

Het voorkomt oorsprongskapingen (valse AS die een voorvoegsel voortbrengt). Het voorkomt geen pad-spoofing-aanvallen waarbij het AS-pad vervalst is. RPKI is de praktische verdediging voor het meest voorkomende aanvalstype; BGPsec sluit de rest, maar wordt niet geïmplementeerd.

Hoe vaak gebeurt het kapen van BGP?

Er gebeuren dagelijks kleine incidenten; de meeste zijn eerder verkeerde configuraties dan aanvallen. Grotere incidenten met aanzienlijke gevolgen voor het verkeer zijn zeldzamer (een handvol per jaar). Het detectievermogen is verbeterd, zodat incidenten die in 2010 onopgemerkt zouden zijn gebleven, in 2024 openbaar worden gemaakt.

Kan een kleine ISP een wereldwijde storing veroorzaken?

Ja, met verkeerde filtering bij upstream providers. De meeste grote luchtvaartmaatschappijen filteren nu klantaankondigingen op basis van verwachte routesets; een verkeerd geconfigureerde upstream die niet filtert, kan ervoor zorgen dat de fouten van een kleine ISP zich wereldwijd verspreiden. Betere filterpraktijken hebben dit risico verminderd, maar niet geëlimineerd.

Zullen kwantumcomputers de BGP-ondertekening verbreken?

RPKI maakt gebruik van RSA-handtekeningen, die in principe kwantumkwetsbaar zijn. Migratie naar post-kwantumsignaturen is een toekomstige zorg, maar niet urgent: kwantumcomputers die groot genoeg zijn om RPKI-sleutels te kraken bestaan nog niet. De RPKI-implementatietijdlijn biedt voldoende ruimte om te migreren voordat dit urgent wordt.

BGP-kaping uitgelegd: wanneer de routering van internet liegt

BGP-kaping vindt plaats wanneer een netwerk ten onrechte het eigendom bekendmaakt van IP-adressen die het niet beheert. Het routeringsprotocol van het internet gelooft ze, het verkeer stroomt naar de verkeerde bestemming en de gevolgen variëren van onbedoelde storingen tot opzettelijke surveillance. De oplossing – RPKI – is vooruitgegaan, maar is nog niet voltooid. De categorie blijft een infrastructuurbedreiging van het hoogste niveau.

De volledige artikeltekst vindt u hieronder in het Engels.

BGP-kaping is de aanval (of het ongeval) waarbij een autonoom systeem het eigendom aankondigt van IP-voorvoegsels die er niet bij horen. BGP-routers over de hele wereld accepteren de aankondiging (omdat traditionele BGP geen authenticatie heeft) en beginnen verkeer voor die voorvoegsels naar de kaper te routeren. De schade kan bestaan uit servicestoringen, onderschepping van verkeer en diefstal van inloggegevens.

Hoe het werkt

BGP is het protocol dat internetroutes tussen AS's propageert - zie ons BGP-artikel. De vereenvoudigde stroom:

De AS van de kaper kondigt aan: "Ik heb een route met het voorvoegsel X."
BGP-routers ontvangen de aankondiging en vergelijken deze met andere routes die ze kennen.
Als de aankondiging van de kaper specifieker is (langer voorvoegsel) of een korter AS-pad heeft, geven de routers de voorkeur it.
Traffic bestemd voor prefix X stroomt nu door de AS.
De kaper kan het verkeer blackholeen (denial of service), monitoren (surveillance), wijzigen (man-in-the-middle) of transparant doorgeven terwijl het verzamelen van metadata.

Het probleem op protocolniveau: BGP accepteert traditioneel degene die het luidst aankondigt. Er is geen validatie dat de omroeper daadwerkelijk eigenaar is van het voorvoegsel.

Typen BGP-kaping

Originele kaping. AS X kondigt een voorvoegsel aan dat eigendom is van AS Y. Meest gebruikelijk. Vaak onbedoelde verkeerde configuraties.
Prefix-kaping. Aankondiging van een meer specifieke subset van het voorvoegsel van iemand anders. Wint routeringsbeslissingen omdat specifiekere routes de voorkeur hebben.
Path-kaping. Aankondiging van een vervalst AS-pad. Subtieler; moeilijker te detecteren.
Blackholing. Aankondiging van een voorvoegsel om verkeer te absorberen en te laten vallen. Zowel kwaadwillig (DoS) als defensief gebruikt (DDoS-beperking).
Sub-prefix-kaping met MITM. Het gekaapte verkeer doorsturen naar de echte bestemming na observatie/aanpassing. De meest schadelijke variant.

Beroemde incidenten

Pakistan/YouTube (2008). Pakistan Telecom probeerde YouTube in eigen land te blokkeren door lokaal een specifieker YouTube-voorvoegsel aan te kondigen. De aankondiging lekte naar de upstreamprovider en verspreidde zich wereldwijd. YouTube ging wereldwijd ~2 uur lang uit.
China Telecom (2010). Kondigde 15% van alle internetroutes aan gedurende 18 minuten. Grote verkeershinder; mogelijke verzameling van inlichtingen.
Indosat (2014). 320.000 voorvoegsels gekaapt gedurende enkele uren.
Russische omleiding (2017). Russische ISP’s hebben kortstondig routes gekaapt naar grote westerse technische en financiële instellingen sites.
Verschillende BGP-kapingen gericht op cryptocurrency. Gecoördineerde kapingen die verkeer omleiden naar phishing-pagina's in crypto-wallets, die soms slechts enkele minuten duren maar aanzienlijke bedragen wegtrekken.
KlayMaker / KlaySwap (2022). Koreaanse crypto-uitwisseling gekaapt via BGP, ~$2M gestolen.
Twitter/X 2024. Kort gekaapt door een Russische provider, verkeer werd een paar uur door Rusland geleid.

Ongevallen en opzettelijke aanvallen zijn moeilijk te onderscheiden. Het Pakistaanse YouTube-incident was een ongeluk; sommige anderen waren vrijwel zeker opzettelijke verzameling van inlichtingen.

RPKI: de gedeeltelijke oplossing

RPKI (Resource Public Key Infrastructure) laat adreshouders cryptografisch aangeven welke AS's geautoriseerd zijn om hun voorvoegsels bekend te maken. Routers die zijn geconfigureerd om RPKI te valideren, weigeren aankondigingen die niet overeenkomen met een geldige Route Origin Authorization (ROA).

RPKI-implementatie vanaf 2026:

Major Tier-1-providers (Lumen, NTT, Telia, Cogent, Tata) valideren allemaal RPKI op hun klantgerichte routes.
~50% van de gerouteerde voorvoegsels heeft geldige ROA's.
De adoptie is gestaag gegroeid, maar de niet-ondertekende helft blijft zichtbaar.
RPKI vangt origin-kapingen op (de meest voorkomende aanval); het vangt geen pad-spoofing-aanvallen op waarbij het AS-pad vervalst is.

BGPsec: de grotere oplossing die niet is gebeurd

BGPsec (RFC 8205, 2017) was de voorgestelde extensie die het AS-pad cryptografisch ondertekent en pad-spoofing-aanvallen verslaat. De acceptatie is in wezen nul geweest omdat:

Performance — het ondertekenen van elke route-update vereist een aanzienlijke CPU op elke BGP-sprekende router.
Memory — extra status per route verhoogt de geheugenbehoeften van de router aanzienlijk.
Compatibiliteit — gedeeltelijke implementatie levert geen voordeel op; heeft vrijwel universele acceptatie nodig.

BGPsec is de cryptografisch complete oplossing die de operationele gemeenschap zich niet kan veroorloven te implementeren. RPKI is de gedeeltelijk maar inzetbare oplossing die de gemeenschap stapsgewijs adopteert.

Detectie

Verschillende monitoringservices letten op onverwachte aankondigingen:

BGPMon (Cisco)
Hurricane Electric's BGP-toolkit
RIPE Stat / RIS
Cloudflare Radar
Internet Society's MANRS-observatorium

Voor organisaties die hun eigen voorvoegsels gebruiken, is geautomatiseerde waarschuwing over "onverwachte AS afkomstig van mijn voorvoegsel" de praktische verdediging. Sommige prefixhouders implementeren ook zelf de validatie van de BGP-oorsprong en wijzen verdachte aankondigingen af.

Wat individuen kunnen doen

BGP-kaping is meestal een bedreiging op de infrastructuurlaag. Individuele gebruikers kunnen zich er niet rechtstreeks tegen verdedigen. De realistische oplossing: end-to-end-codering (HTTPS, E2E-berichten) maakt het meeste op BGP gebaseerde afluisteren ineffectief. De kaper ziet versleuteld verkeer en leert bestemmingen kennen, maar geen inhoud.

Voor verkeer met hoge inzet beperken multi-path benaderingen en end-to-end authenticatie (mTLS, certificaat vastzetten, FIDO2) wat kaping kan bereiken.

Veelgestelde vragen

Kan ik een BGP-kaping van mijn thuisnetwerk detecteren?: Niet direct. De kaping vindt stroomopwaarts plaats; uw verkeer stroomt naar de verkeerde bestemming, maar u merkt het pas als de bestemming zich verkeerd gedraagt (certificaatwaarschuwingen, onbekende diensten). HTTPS maakt de meeste kapingen zichtbaar via TLS-fouten; pure-IP-diensten zijn moeilijker te detecteren.
Voorkomt RPKI alle BGP-kapingen?: Het voorkomt oorsprongskapingen (valse AS die een voorvoegsel voortbrengt). Het voorkomt geen pad-spoofing-aanvallen waarbij het AS-pad vervalst is. RPKI is de praktische verdediging voor het meest voorkomende aanvalstype; BGPsec sluit de rest, maar wordt niet geïmplementeerd.
Hoe vaak gebeurt het kapen van BGP?: Er gebeuren dagelijks kleine incidenten; de meeste zijn eerder verkeerde configuraties dan aanvallen. Grotere incidenten met aanzienlijke gevolgen voor het verkeer zijn zeldzamer (een handvol per jaar). Het detectievermogen is verbeterd, zodat incidenten die in 2010 onopgemerkt zouden zijn gebleven, in 2024 openbaar worden gemaakt.
Kan een kleine ISP een wereldwijde storing veroorzaken?: Ja, met verkeerde filtering bij upstream providers. De meeste grote luchtvaartmaatschappijen filteren nu klantaankondigingen op basis van verwachte routesets; een verkeerd geconfigureerde upstream die niet filtert, kan ervoor zorgen dat de fouten van een kleine ISP zich wereldwijd verspreiden. Betere filterpraktijken hebben dit risico verminderd, maar niet geëlimineerd.
Zullen kwantumcomputers de BGP-ondertekening verbreken?: RPKI maakt gebruik van RSA-handtekeningen, die in principe kwantumkwetsbaar zijn. Migratie naar post-kwantumsignaturen is een toekomstige zorg, maar niet urgent: kwantumcomputers die groot genoeg zijn om RPKI-sleutels te kraken bestaan nog niet. De RPKI-implementatietijdlijn biedt voldoende ruimte om te migreren voordat dit urgent wordt.