Jump to content

перехват BGP

Перехват BGP (иногда называемый перехватом префикса , перехватом маршрута или перехватом IP ) — это незаконный захват групп IP-адресов путем повреждения Интернета таблиц маршрутизации , поддерживаемых с использованием протокола пограничного шлюза (BGP). [1] [2] [3] [4] [5]

Фон

[ редактировать ]

Интернет — это глобальная сеть, которая позволяет любому подключенному хосту, идентифицируемому его уникальным IP-адресом , общаться с любым другим хостом в любой точке мира. Это достигается путем передачи данных от одного маршрутизатора к другому, многократно перемещая каждый пакет ближе к месту назначения, пока он не будет доставлен. Для этого каждый маршрутизатор должен регулярно снабжаться актуальными таблицами маршрутизации . На глобальном уровне отдельные IP-адреса группируются в префиксы . Эти префиксы будут создаваться или принадлежать автономной системе (AS), а таблицы маршрутизации между AS поддерживаются с использованием протокола пограничного шлюза (BGP).

Группа сетей, которая работает в соответствии с единой политикой внешней маршрутизации, называется автономной системой. Например, Sprint , Verizon и AT&T являются AS. Каждая AS имеет свой уникальный идентификационный номер AS. BGP — это стандартный протокол маршрутизации, используемый для обмена информацией об IP-маршрутизации между автономными системами.

Каждая AS использует BGP для объявления префиксов, на которые она может доставлять трафик. Например, если сетевой префикс 192.0.2.0/24 предназначенный находится внутри AS 64496 ам) и/или одноранговым узлам, что она может доставлять любой трафик, 192.0.2.0/24 , то эта AS будет объявлять своему провайдеру ( . для

Хотя для BGP доступны расширения безопасности и существуют сторонние ресурсы базы данных маршрутов для проверки маршрутов, по умолчанию протокол BGP предназначен для доверия ко всем объявлениям маршрутов, отправленным узлами. Лишь немногие интернет-провайдеры строго контролируют сеансы BGP .

Механизм

[ редактировать ]

Взлом IP-адреса может произойти намеренно или случайно одним из нескольких способов:

  • AS объявляет, что она создает префикс, которого она на самом деле не создает.
  • AS объявляет более конкретный префикс, чем тот, который может быть объявлен истинной исходной AS.
  • AS объявляет, что она может направлять трафик к захваченной AS по более короткому маршруту, чем уже доступен, независимо от того, существует ли этот маршрут.

Общим для этих способов является нарушение нормальной сетевой маршрутизации: пакеты в конечном итоге пересылаются не в ту часть сети, а затем либо попадают в бесконечный цикл (и отбрасываются), либо оказываются во власти нарушившей AS.

Обычно интернет-провайдеры фильтруют трафик BGP, позволяя объявлениям BGP из своих нижестоящих сетей содержать только допустимое IP-пространство. Однако история инцидентов с угонами показывает, что это не всегда так.

Ресурсная инфраструктура открытых ключей (RPKI) предназначена для аутентификации происхождения маршрутов через цепочки криптографических сертификатов, демонстрируя владение диапазоном блоков адресов, но пока не получила широкого распространения. После развертывания перехват IP-адресов посредством ошибочных проблем в источнике (случайно или намеренно) должен быть обнаружен и отфильтрован.

Перехват IP-адреса иногда используется злонамеренными пользователями для получения IP-адресов для использования в рассылке спама или распределенной атаке типа «отказ в обслуживании» (DDoS).

Когда маршрутизатор распространяет ошибочную информацию о маршрутизации BGP, независимо от того, является ли это действие преднамеренным или случайным, Инженерная группа Интернета (IETF) в RFC 7908 определяет это как «утечку маршрута». Такие утечки описываются как «распространение объявлений о маршрутизации за пределы их предполагаемого объема. То есть объявление автономной системы (AS) об изученном маршруте BGP другой AS нарушает намеченные политики получателя, отправителя, и/или одну из AS на предыдущем пути AS." Подобные утечки возможны из-за давней «…системной уязвимости системы маршрутизации Border Gateway Protocol…» [6]

Перехват BGP и проблемы транзитной AS

[ редактировать ]

Как и атака сброса TCP , перехват сеанса предполагает вторжение в текущий сеанс BGP, т. е. злоумышленник успешно маскируется под одного из узлов в сеансе BGP и требует ту же информацию, которая необходима для выполнения атаки сброса. Разница в том, что атака перехвата сеанса может быть предназначена для достижения большего, чем просто прерывание сеанса между узлами BGP. Например, целью может быть изменение маршрутов, используемых узлом, чтобы облегчить подслушивание, «черную дыру» или анализ трафика .

По умолчанию узлы EBGP попытаются добавить все маршруты, полученные другим узлом, в таблицу маршрутизации устройства, а затем попытаются объявить почти все эти маршруты другим узлам EBGP. Это может стать проблемой, поскольку многосетевые организации могут непреднамеренно рекламировать префиксы, полученные от одной AS, другой, в результате чего конечный клиент становится новым, лучшим путем к рассматриваемым префиксам. Например, клиент с маршрутизатором Cisco, взаимодействующим, скажем, с AT&T и Verizon и не использующим фильтрацию, автоматически попытается связать двух основных операторов связи, что может привести к тому, что провайдеры предпочтут отправлять часть или весь трафик через клиента (возможно, на T1). , вместо использования высокоскоростных выделенных каналов. Эта проблема может в дальнейшем повлиять на других пользователей, которые взаимодействуют с этими двумя провайдерами, а также привести к тому, что эти AS предпочтут неправильно настроенный канал. На самом деле эта проблема почти никогда не возникает у крупных интернет-провайдеров, поскольку эти интернет-провайдеры имеют тенденцию ограничивать то, что может рекламировать конечный клиент. Однако любой интернет-провайдер, не фильтрующий рекламу клиентов, может позволить ошибочной информации попасть в глобальную таблицу маршрутизации, где это может повлиять даже на крупных провайдеров уровня 1.

Концепция перехвата BGP вращается вокруг обнаружения интернет-провайдера, который не фильтрует рекламу (намеренно или иным образом), или обнаружения интернет-провайдера, чей внутренний сеанс BGP или сеанс BGP между интернет-провайдерами подвержен атаке « человек посередине» . После обнаружения злоумышленник потенциально может объявить любой желаемый префикс, в результате чего часть или весь трафик будет перенаправлен от реального источника к злоумышленнику. Это можно сделать либо для перегрузки интернет-провайдера, в которого проник злоумышленник, либо для выполнения DoS-атаки или атаки по выдаче себя за другое лицо на объект, префикс которого рекламируется. Злоумышленник нередко вызывает серьезные сбои в работе, вплоть до полной потери соединения. В начале 2008 года как минимум восемь университетов США однажды утром перенаправили трафик в Индонезию примерно на 90 минут в результате атаки, которую участники атаки в основном молчали. [ нужна ссылка ] Кроме того, в феврале 2008 года большая часть адресного пространства YouTube была перенаправлена ​​в Пакистан, когда ОТА решило заблокировать доступ. [7] на сайт изнутри страны, но случайно заблокировал маршрут в глобальной таблице BGP.

Хотя фильтрация и защита MD5/TTL уже доступны для большинства реализаций BGP (таким образом предотвращая источник большинства атак), проблема связана с тем, что интернет-провайдеры редко когда-либо фильтруют рекламные объявления от других интернет-провайдеров, поскольку не существует общего или эффективного способа определить список допустимых префиксов, которые может создавать каждая AS. Наказание за объявление ошибочной информации может варьироваться от простой фильтрации другими/более крупными интернет-провайдерами до полного закрытия сеанса BGP соседним интернет-провайдером (в результате чего два интернет-провайдера прекращают пиринг), а повторяющиеся проблемы часто заканчиваются окончательным завершением сеанса BGP. все пиринговые соглашения. Также примечательно, что даже если крупный провайдер заблокирует или отключит меньшего проблемного провайдера, глобальная таблица BGP часто переконфигурирует и перенаправит трафик по другим доступным маршрутам, пока все одноранговые узлы не примут меры или пока ошибочный интернет-провайдер не устранит проблему на источник.

Одним из полезных ответвлений этой концепции является произвольная рассылка BGP , которая часто используется корневыми DNS-серверами, чтобы позволить нескольким серверам использовать один и тот же IP-адрес, обеспечивая избыточность и уровень защиты от DoS-атак без публикации сотен IP-адресов серверов. Отличие в этой ситуации состоит в том, что каждая точка, рекламирующая префикс, на самом деле имеет доступ к реальным данным (в данном случае DNS) и корректно отвечает на запросы конечных пользователей.

Публичные инциденты

[ редактировать ]
  • Апрель 1997 г.: « Инцидент с AS 7007 ». [8]
  • 24 декабря 2004 г.: TTNet в Турции захватывает Интернет. [9]
  • 7 мая 2005 г.: сбой в работе Google в мае 2005 г. [10]
  • 22 января 2006 г.: Con Edison Communications захватывает большую часть Интернета. [11]
  • 24 февраля 2008 г.: попытка Пакистана заблокировать доступ к YouTube на территории страны полностью отключила YouTube. [12]
  • 11 ноября 2008 г.: Бразильский интернет-провайдер CTBC - Companhia de Telecomunicações do Brasil Central слил свою внутреннюю таблицу в глобальную таблицу BGP. [13] Это длилось более 5 минут. Однако он был обнаружен сервером маршрутов RIPE и затем не был распространен, затронув практически только клиентов их собственных интернет-провайдеров и некоторых других.
  • 8 апреля 2010 г.: китайский интернет-провайдер захватывает Интернет. [14]
  • Июль 2013 г.: команда хакеров помогла Raggruppamento Operativo Speciale (ROS — группа специальных операций Национальной военной полиции Италии) восстановить доступ к клиентам инструмента удаленного доступа (RAT) после того, как они внезапно потеряли доступ к одному из своих серверов управления при использовании префикса Santrex IPv4. 46.166.163.0/24 стал навсегда недоступен. ROS и команда хакеров работали с итальянским сетевым оператором Aruba SpA (AS31034), чтобы получить префикс, объявленный в BGP, чтобы восстановить доступ к управляющему серверу. [15]
  • Февраль 2014 г.: канадский интернет-провайдер перенаправляет данные от интернет-провайдеров. [16] - В 22 инцидентах с февраля по май хакер перенаправлял трафик примерно на 30 секунд в каждом сеансе. Биткойн и другие операции по добыче криптовалюты были атакованы, а валюта была украдена.
  • Январь 2017 г.: Цензура порнографии в Иране. [17]
  • Апрель 2017 г.: Российская телекоммуникационная компания Ростелеком (AS12389) создала 37 префиксов. [18] для многих других автономных систем. Захваченные префиксы принадлежали финансовым учреждениям (в первую очередь MasterCard и Visa), другим телекоммуникационным компаниям и множеству других организаций. [19] Несмотря на то, что возможный захват длился не более 7 минут, до сих пор неясно, был ли трафик перехвачен или изменен.
  • Декабрь 2017 г.: Восемьдесят префиксов с высоким трафиком, которые обычно анонсируются Google , Apple , Facebook , Microsoft , Twitch , NTT Communications , Riot Games и другими, были анонсированы российской AS DV-LINK-AS (AS39523). [20] [21]
  • Апрель 2018 г.: около 1300 IP-адресов в пространстве Amazon Web Services , выделенных для Amazon Route 53 , были захвачены eNet (или ее клиентом), интернет-провайдером в Колумбусе, штат Огайо. Несколько пиринговых партнеров, таких как Hurricane Electric, слепо распространяли эти объявления. [22]
  • Июль 2018 г.: Иранская телекоммуникационная компания (AS58224) создала 10 префиксов Telegram Messenger . [23]
  • Ноябрь 2018 г.: американский сайт China Telecom создал адреса Google. [24]
  • Май 2019 г.: трафик к общедоступному DNS, управляемому Тайваньским сетевым информационным центром (TWNIC), был перенаправлен на объект в Бразилии (AS268869). [25]
  • Июнь 2019 г.: крупный европейский мобильный трафик был перенаправлен через China Telecom (AS4134). [26] [27] «Эта утечка маршрутов началась, когда [швейцарская] SafeHost (AS21217) объявила своему провайдеру China Telecom (AS 4134) более сорока тысяч маршрутов IPv4, полученных от других узлов и провайдеров. …В свою очередь, China Telecom приняла эти маршруты и размножил их…» [28]
  • Февраль 2021 г.: первоначально сообщалось, что компания Cablevision Mexico (AS28548) привела к утечке 282 префиксов, что привело к конфликтам для 763 номеров ASN в 80 странах, причем основные последствия произошли в Мексике. Данные из дампа Isolario MRT показали, что 7200 префиксов IPv4 были объявлены и переданы в AS1874, что затронуло более 1290 ASN из более чем 100 стран. [29]
  • Апрель 2021 г.: Крупная утечка маршрутизации BGP из Индии: более 30 000 префиксов BGP были захвачены через Vodafone Idea Ltd (AS55410), что привело к 13-кратному увеличению входящего трафика. Префиксы были со всего мира, но в основном из США, включая Google, Microsoft, Akamai и Cloudflare. [30]
  • Февраль 2022 г.: Злоумышленники захватили префиксы BGP, принадлежащие южнокорейской криптовалютной платформе, а затем выдали сертификат домена через ZeroSSL для обслуживания вредоносного файла JavaScript, похитив криптовалюту на сумму 1,9 миллиона долларов. [31]
  • Март 2022 г.: «РТКомм» взломал префикс, используемый Twitter. [32] [33]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Чжан, Чжэн; Чжан, Ин; Ху, Ю. Чарли; Мао, З. Морли . «Практическая защита от перехвата префикса BGP» (PDF) . Мичиганский университет . Проверено 24 апреля 2018 г.
  2. ^ Гавриченков Артем. «Взлом HTTPS с помощью перехвата BGP» (PDF) . Черная шляпа . Проверено 24 апреля 2018 г.
  3. ^ Бирдж-Ли, Генри; Сунь, Исинь; Эдмундсон, Энни; Рексфорд, Дженнифер; Миттал, Пратик. «Использование BGP для получения поддельных сертификатов TLS» . Принстонский университет . Проверено 24 апреля 2018 г.
  4. ^ Джулиан, Зак (17 августа 2015 г.). «Обзор перехвата BGP — Бишоп Фокс» . Бишоп Фокс . Проверено 25 апреля 2018 г.
  5. ^ Зеттер, Ким (26 августа 2008 г.). «Раскрыто: самая большая дыра в безопасности Интернета» . ПРОВОДНОЙ . Проверено 25 апреля 2018 г.
  6. ^ «Определение проблем и классификация утечек маршрутов BGP» . Июнь 2016 года . Проверено 27 мая 2021 г.
  7. ^ «Технологии | Пакистан снимает запрет на YouTube» . Новости Би-би-си . 26 февраля 2008 г. Проверено 7 ноября 2016 г.
  8. ^ «7007: Из первых уст» . Архивировано из оригинала 27 февраля 2009 г. Проверено 26 февраля 2008 г.
  9. ^ «Блог Renesys: Интернет-катастрофа — прошлый год» . Архивировано из оригинала 28 февраля 2008 г. Проверено 26 февраля 2008 г.
  10. ^ Тао Ван; Пол К. ван Оршот. «Анализ происхождения префиксов BGP во время сбоя в работе Google в мае 2005 г.» (PDF) . Ccsl.carleton.ca . Проверено 7 ноября 2016 г.
  11. ^ «Con-Ed крадет сеть - исследование Dyn | Новый дом Renesys» . Renesys.com . 23 января 2006 г. Архивировано из оригинала 8 марта 2013 г. Проверено 7 ноября 2016 г.
  12. ^ «Взлом YouTube: пример использования RIPE NCC RIS — новости и объявления RIPE NCC» . Архивировано из оригинала 5 апреля 2008 г. Проверено 31 марта 2008 г.
  13. ^ «Бразильская утечка: если дерево упадет в тропическом лесу - Dyn Research | Новый дом Renesys» . Renesys.com . Архивировано из оригинала 23 апреля 2013 г. Проверено 7 ноября 2016 г.
  14. ^ Тунк, Андре (8 апреля 2010 г.). «Китайский интернет-провайдер захватывает Интернет» . BGPmon.net . Архивировано из оригинала 15 апреля 2019 г. Проверено 15 апреля 2019 г.
  15. ^ «Как команда хакеров помогла итальянской группе специальных операций взломать маршрутизацию BGP» . bgpmon.net . Проверено 17 октября 2017 г.
  16. ^ «Хакер перенаправляет трафик от 19 интернет-провайдеров для кражи биткойнов» . Wired.com . 07.08.2014 . Проверено 7 ноября 2016 г.
  17. ^ Брэндом, Рассел (07 января 2017 г.). «Иранская цензура порнографии сломала браузеры даже в Гонконге» . Грань . Проверено 9 января 2017 г.
  18. ^ «Обзор перехвата BGP — недавние случаи перехвата BGP» . noction.com . 24 апреля 2018 года . Проверено 11 августа 2018 г.
  19. ^ «BGPstream и любопытный случай AS12389 | BGPmon» . bgpmon.net . Проверено 17 октября 2017 г.
  20. ^ «Популярные направления перенаправлены в Россию» . БГПМОН . Проверено 14 декабря 2017 г.
  21. ^ «Рожденный для угона» . Qrator.Радар . Проверено 13 декабря 2017 г.
  22. ^ «Подозрительное событие перехватывает трафик Amazon на 2 часа, крадет криптовалюту» . 24 апреля 2018 года . Проверено 24 апреля 2018 г.
  23. ^ «Телеграммный трафик со всего мира пошел в обход Ирана» . 30 июля 2018 года . Проверено 31 июля 2018 г.
  24. ^ «Уязвимость Интернета уничтожает Google» . Проверено 13 ноября 2018 г.
  25. ^ «Общественный DNS на Тайване стал последней жертвой взлома BGP» . 15 мая 2019 года . Проверено 31 мая 2019 г.
  26. ^ «Крупная европейская утечка маршрутизации передает трафик через China Telecom» . Проверено 12 июня 2019 г.
  27. ^ «В течение двух часов большая часть европейского мобильного трафика была перенаправлена ​​через Китай» . ЗДНет . Проверено 12 июня 2019 г.
  28. ^ «Обзор инцидента с утечкой маршрута BGP: более пристальный взгляд на утечку маршрута» . Проверено 14 сентября 2021 г.
  29. ^ Сиддики, Афтаб (13 февраля 2021 г.). «Крупная утечка маршрута из-за AS28548 – еще один оптимизатор BGP?» . Проверено 14 сентября 2021 г.
  30. ^ Сиддики, Афтаб (26 апреля 2021 г.). «Крупная утечка маршрута BGP со стороны AS55410» . Проверено 28 мая 2021 г.
  31. ^ «Пользователи криптовалюты KlaySwap теряют средства после взлома BGP» . 14 февраля 2022 г. Проверено 17 февраля 2022 г.
  32. ^ «BGP-перехват префикса Twitter со стороны RTComm.ru» . САНС .
  33. ^ Гудин (29 марта 2022 г.). «Из-за сбоя BGP часть трафика Twitter на короткое время прошла через российского интернет-провайдера» . Арс Техника .
[ редактировать ]
  • Qrator.Radar : система мониторинга безопасности и подключения BGP в реальном времени.
  • BGPmon.net : специальная система мониторинга BGP для обнаружения перехватов префиксов, утечек маршрутов и нестабильности.
  • Cyclops. Архивировано 28 июня 2008 г. на Wayback Machine : инструмент аудита сети BGP (перехват префикса, утечка маршрута) от UCLA.
  • NetViews : инструмент визуализации топологии BGP в реальном времени и обнаружения перехвата IP от Университета Мемфиса.
  • AS-CRED : служба управления доверием на основе репутации и оповещений в реальном времени (перехват префикса, объявление нестабильного префикса) для междоменной маршрутизации от Пенсильванского университета.
  • BGP уже безопасен? : Список интернет-провайдеров, реализующих инфраструктуру открытых ключей ресурсов (RPKI).
Retrieved from "https://en.wikipedia.org/w/index.php?title=BGP_hijacking&oldid=1213128913"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 6bc336e14550168482b0ca094653bae0__1710131580
URL1:https://arc.ask3.ru/arc/aa/6b/e0/6bc336e14550168482b0ca094653bae0.html
Заголовок, (Title) документа по адресу, URL1:
BGP hijacking - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)