
<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<title></title>

</head>

<body>

<div name="messageBodySection">

<div dir="auto">Hello,<br />

<br />

Our research lab at the University of Tennessee (<a href="volsec.org">volsec.org</a>) has recently completed<br />

a study on channeling link-flooding attack (transit link DDoS) flows<br />

via BGP poisoning: the Maestro attack. We are seeking feedback on mitigation (see below). A brief summary from the abstract:<br />

<br />

"Executed from a compromised or malicious Autonomous System (AS),<br />

Maestro advertises specific-prefix routes poisoned for selected ASes<br />

to collapse inbound traffic paths onto a single target link. A greedy<br />

heuristic fed by publicly available AS relationship data iteratively<br />

builds the set of ASes to poison. Given a compromised BGP speaker with<br />

advantageous positioning relative to the target link in the Internet<br />

topology, an adversary can expect to enhance flow density by more than 30%.<br />

For a large botnet (e.g., Mirai), the bottom line result is augmenting a<br />

DDoS by more than a million additional infected hosts. Interestingly, the<br />

size of the adversary-controlled AS plays little role in this<br />

amplification effect. Devastating attacks on core links can be executed by<br />

small, resource-limited ASes."<br />

<br />

We are seeking feedback from operators on the attack and the proposed<br />

mitigations we have identified. While we have worked with our campus BGP<br />

operators, we are reaching out to the broader community for additional insights.<br />

<br />

Other than general notes/comments, we have two specific questions that we would<br />

like to include feedback for in the final paper soon to be submitted:<br />

<br />

1) Do you already filter poisoned/path prepend advertisements? This would<br />

mitigate the attack.<br />

<br />

2) After seeing this attack, would you consider adding poison filtering or some other Day mitigation?<br />

<br />

The preprint is available at: <a href="https://tiny.utk.edu/maestro">tiny.utk.edu/maestro</a>. See Section 7 on defenses.<br />

<br />

Please reply with any thoughts. Thank you in advance for comments, insight, and general feedback.<br />

<br />

Best,<br />

Tyler McDaniel, Jared Smith, and Max Schuchard<br />

UT Computer Security Lab<br />

<a href="volsec.org">volsec.org</a></div>

</div>

</body>

</html>