Marso 13 ngadto sa RIPE Anti-Abuse Working Group isipa ang BGP hijacking (hjjack) isip usa ka paglapas sa RIPE policy. Kung gidawat ang sugyot, ang Internet provider nga giatake sa traffic interception adunay higayon nga magpadala ug espesyal nga hangyo aron ibutyag ang tig-atake. Kung ang review team makakolekta og igo nga pagsuporta nga ebidensya, ang LIR nga maoy tinubdan sa BGP intercept maisip nga intruder ug mahimong tangtangon sa LIR status niini. Adunay usab pipila ka mga argumento kausaban.
Niini nga publikasyon gusto namong ipakita ang usa ka pananglitan sa usa ka pag-atake diin dili lamang ang tinuod nga tig-atake ang gikuwestiyon, kondili ang tibuok nga listahan sa mga naapektuhan nga prefix. Dugang pa, ang ingon nga pag-atake nagpatunghag usab mga pangutana bahin sa mga motibo sa umaabot nga mga interbensyon sa kini nga matang sa trapiko.
Sa milabay nga duha ka tuig, ang mga panagbangi lang sama sa MOAS (Multiple Origin Autonomous System) ang natabonan sa prensa isip mga interception sa BGP. Ang MOAS usa ka espesyal nga kaso diin ang duha ka lain-laing mga autonomous nga sistema nag-anunsyo sa nagkasumpaki nga mga prefix nga adunay katugbang nga mga ASN sa AS_PATH (ang unang ASN sa AS_PATH, human niini gitawag nga gigikanan nga ASN). Bisan pa, mahimo natong hinganlan labing menos traffic interception, nga nagtugot sa tig-atake sa pagmaniobra sa AS_PATH attribute para sa lain-laing mga katuyoan, lakip na ang pag-bypass sa modernong mga pamaagi sa pagsala ug pagmonitor. Nailhan nga tipo sa pag-atake - ang katapusan nga matang sa maong interception, apan dili sa tanan sa importansya. Posible nga kini gyud ang matang sa pag-atake nga among nakita sa miaging mga semana. Ang ingon nga panghitabo adunay usa ka masabtan nga kinaiya ug medyo seryoso nga mga sangputanan.
Kadtong nangita sa bersyon sa TL; DR mahimong mag-scroll sa subtitle nga "Perfect Attack".
Background sa network
(aron matabangan ka nga mas masabtan ang mga proseso nga nahilambigit niini nga insidente)
Kung gusto nimo magpadala usa ka pakete ug adunay daghang mga prefix sa routing table nga adunay sulud nga IP address sa destinasyon, unya imong gamiton ang ruta alang sa prefix nga adunay labing taas nga gitas-on. Kung adunay daghang lainlaing mga ruta alang sa parehas nga prefix sa routing table, pilion nimo ang labing kaayo (sumala sa labing kaayo nga mekanismo sa pagpili sa agianan).
Ang kasamtangan nga pagsala ug pagmonitor nga mga pamaagi mosulay sa pag-analisar sa mga ruta ug paghimog mga desisyon pinaagi sa pag-analisar sa AS_PATH nga hiyas. Mahimong usbon sa router kini nga hiyas sa bisan unsang kantidad sa panahon sa advertisement. Ang pagdugang lang sa ASN sa tag-iya sa sinugdanan sa AS_PATH (ingon ang gigikanan nga ASN) mahimong igo na aron malaktawan ang kasamtangang mga mekanismo sa pagsusi sa gigikanan. Dugang pa, kung adunay ruta gikan sa giatake nga ASN kanimo, mahimoβg posible nga makuha ug magamit ang AS_PATH sa kini nga ruta sa imong uban pang mga ad. Ang bisan unsang AS_PATH-lamang nga pagsusi sa pag-validate alang sa imong gihimo nga mga anunsyo sa katapusan moagi.
Adunay pa pipila ka mga limitasyon nga angay hisgutan. Una, sa kaso sa prefix filtering sa upstream provider, ang imong rota mahimo gihapon nga masala (bisan sa husto nga AS_PATH) kung ang prefix dili iya sa imong kliyente cone nga gi-configure sa upstream. Ikaduha, ang usa ka balido nga AS_PATH mahimong dili balido kung ang gihimo nga ruta gi-anunsyo sa dili husto nga mga direksyon ug, sa ingon, nakalapas sa palisiya sa ruta. Katapusan, ang bisan unsang ruta nga adunay prefix nga makalapas sa gitas-on sa ROA mahimong isipon nga dili balido.
Insidente
Pipila ka semana ang milabay nakadawat kami usa ka reklamo gikan sa usa sa among mga tiggamit. Nakita namon ang mga ruta nga adunay iyang gigikanan nga ASN ug /25 prefix, samtang ang tiggamit nag-angkon nga wala niya kini gipahibalo.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
Mga pananglitan sa mga pahibalo alang sa sinugdanan sa Abril 2019
Ang NTT sa agianan alang sa prefix nga /25 naghimo niini nga labi ka kadudahan. Ang LG NTT wala makahibalo niini nga rota sa panahon sa insidente. Mao nga oo, ang pipila nga operator nagmugna usa ka tibuuk nga AS_PATH alang sa kini nga mga prefix! Ang pagsusi sa ubang mga router nagpadayag sa usa ka partikular nga ASN: AS263444. Pagkahuman sa pagtan-aw sa ubang mga ruta nga adunay kini nga awtonomiya nga sistema, nasugatan namon ang mosunod nga sitwasyon:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
Sulayi pagtag-an kung unsa ang sayup dinhi
Mopatim-aw nga adunay usa nga mikuha sa prefix gikan sa ruta, gibahin kini sa duha ka bahin, ug gi-anunsyo ang ruta nga adunay parehas nga AS_PATH alang sa duha nga mga prefix.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
Pananglitan nga mga ruta alang sa usa sa mga split prefix nga pares
Daghang mga pangutana ang mitungha sa usa ka higayon. Aduna bay bisan kinsa nga tinuod nga misulay niini nga matang sa interception sa praktis? Aduna bay nakaagi niini nga mga rota? Unsang mga prefix ang naapektuhan?
Dinhi nagsugod ang among mga kapakyasan ug usa pa ka hugna sa kasagmuyo sa karon nga kahimtang sa kahimsog sa Internet.
Ang dalan sa kapakyasan
Una nga mga butang una. Giunsa naton mahibal-an kung unsang mga router ang midawat sa ingon nga mga natanggong nga mga ruta ug kansang trapiko mahimong mabag-o karon? Naghunahuna kami nga magsugod kami sa /25 nga mga prefix tungod kay sila "dili mahimo nga adunay global nga pag-apod-apod." Sa makatag-an nimo, nasayop kaayo mi. Kini nga sukatan nahimo nga saba kaayo ug ang mga ruta nga adunay ingon nga mga prefix mahimong makita bisan gikan sa Tier-1 nga mga operator. Pananglitan, ang NTT adunay mga 50 ka mga prefix, nga giapod-apod sa kaugalingon nga mga kliyente. Sa laing bahin, kini nga metric dili maayo tungod kay ang maong mga prefix mahimong ma-filter kung ang operator mogamit , sa tanang direksyon. Busa, kini nga pamaagi dili angay alang sa pagpangita sa tanan nga mga operator kansang trapiko gi-redirect ingon usa ka sangputanan sa ingon nga insidente.
Laing maayong ideya nga among gihunahuna mao ang pagtan-aw . Ilabi na sa mga rota nga nakalapas sa maxLength nga lagda sa katugbang nga ROA. Niining paagiha makit-an namon ang gidaghanon sa lainlaing gigikanan nga mga ASN nga adunay kahimtang nga Dili balido nga makita sa usa ka gihatag nga AS. Bisan pa, adunay usa ka "gamay" nga problema. Ang kasagaran (median ug mode) niini nga numero (ang gidaghanon sa lain-laing gigikanan nga ASNs) maoy mga 150 ug, bisan pa kon atong isala ang gagmay nga mga prefix, kini nagpabilin nga labaw sa 70. Kini nga kahimtang sa mga kalihokan adunay usa ka yano kaayo nga katin-awan: adunay usa lamang ka pipila ka mga operator nga naggamit na sa ROA-filter nga adunay polisiya nga "i-reset ang Invalid nga mga ruta" sa mga entry point, aron nga bisan asa ang ruta nga adunay paglapas sa ROA makita sa tinuod nga kalibutan, kini mahimong mokaylap sa tanang direksyon.
Ang katapusang duha ka mga pamaagi nagtugot kanamo sa pagpangita sa mga operator nga nakakita sa among insidente (tungod kay kini dako kaayo), apan sa kinatibuk-an kini dili magamit. Okay, apan mahimo ba naton makit-an ang nanghilabot? Unsa ang mga kinatibuk-ang bahin sa kini nga pagmaniobra sa AS_PATH? Adunay pipila ka mga batakang pangagpas:
- Ang prefix wala pa makita bisan asa kaniadto;
- Ang gigikanan nga ASN (pahinumdom: unang ASN sa AS_PATH) balido;
- Ang kataposang ASN sa AS_PATH mao ang ASN sa tig-atake (kon ang silingan niini mosusi sa ASN sa silingan sa tanang umaabot nga rota);
- Ang pag-atake naggikan sa usa ka provider.
Kung ang tanan nga mga pangagpas tama, nan ang tanan nga dili husto nga mga ruta magpakita sa ASN sa tig-atake (gawas sa gigikanan nga ASN) ug, sa ingon, kini usa ka "kritikal" nga punto. Lakip sa tinuod nga mga hijacker mao ang AS263444, bisan kung adunay uban pa. Bisan kung gisalikway namon ang mga ruta sa insidente gikan sa konsiderasyon. Ngano man? Ang usa ka kritikal nga punto mahimong magpabilin nga kritikal bisan sa husto nga mga ruta. Mahimo kini nga resulta sa dili maayo nga koneksyon sa usa ka rehiyon o mga limitasyon sa atong kaugalingong visibility.
Ingon usa ka sangputanan, adunay usa ka paagi aron mahibal-an ang usa ka tig-atake, apan kung ang tanan nga mga kondisyon sa ibabaw matuman ug kung ang interception igo ra nga makaagi sa mga threshold sa pag-monitor. Kung ang pipila niini nga mga hinungdan dili matuman, nan mahibal-an ba naton ang mga prefix nga nag-antus gikan sa ingon nga interception? Alang sa pipila nga mga operator - oo.
Kung ang usa ka tig-atake naghimo usa ka labi ka espesipikong ruta, ang ingon nga prefix wala gi-anunsyo sa tinuud nga tag-iya. Kung ikaw adunay usa ka dinamikong lista sa tanan nga mga prefix gikan niini, mahimoβg posible nga maghimo usa ka pagtandi ug makit-an ang labi ka labi nga piho nga mga ruta. Gikolekta namon kini nga lista sa mga prefix gamit ang among mga sesyon sa BGP, tungod kay gihatagan kami dili lamang ang tibuuk nga lista sa mga ruta nga makita sa operator karon, apan usa usab ka lista sa tanan nga mga prefix nga gusto niini nga i-anunsyo sa kalibutan. Ikasubo, karon adunay daghang dosena nga mga tiggamit sa Radar nga wala makompleto ang katapusan nga bahin sa husto. Among ipahibalo kanila sa dili madugay ug maningkamot sa pagsulbad niini nga isyu. Ang tanan makaapil sa among monitoring system karon.
Kung mobalik kami sa orihinal nga insidente, ang tig-atake ug ang lugar sa pag-apod-apod nakit-an namon pinaagi sa pagpangita sa mga kritikal nga punto. Katingad-an, ang AS263444 wala magpadala sa mga tinumotumo nga ruta sa tanan nga mga kliyente niini. Bisag naay stranger moment.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
Usa ka bag-o nga pananglitan sa pagsulay sa pag-intercept sa among address space
Kung ang labi ka espesipiko nga mga nahimo alang sa among mga prefix, usa ka espesyal nga gibuhat nga AS_PATH ang gigamit. Bisan pa, kini nga AS_PATH dili mahimo nga makuha gikan sa bisan unsang nangagi nga mga ruta. Wala gani mi komunikasyon sa AS6762. Sa pagtan-aw sa ubang mga ruta sa insidente, ang uban kanila adunay tinuod nga AS_PATH nga gigamit kaniadto, samtang ang uban wala, bisan kung kini ingon sa tinuod. Ang pagbag-o sa AS_PATH dugang nga walaβy praktikal nga kahulugan, tungod kay ang trapiko ma-redirect pa sa tig-atake, apan ang mga ruta nga adunay "dili maayo" nga AS_PATH mahimong masala sa ASPA o bisan unsang mekanismo sa pag-inspeksyon. Dinhi atong gihunahuna ang kadasig sa hijacker. Sa pagkakaron kami walay igong impormasyon aron makumpirma nga kini nga insidente usa ka giplano nga pag-atake. Bisan pa niana, kini posible. Atong sulayan ang paghanduraw, bisan pa sa hypothetical, apan posible nga tinuod, usa ka sitwasyon.
Hingpit nga Pag-atake
Unsay naa nato? Ingnon ta nga ikaw usa ka transit provider nga mga ruta sa pagsibya alang sa imong mga kliyente. Kung ang imong mga kliyente adunay daghang presensya (multihome), nan makadawat ka usa ka bahin sa ilang trapiko. Apan kon mas daghang trapiko, mas daghan ang imong kita. Mao nga kung magsugod ka sa pag-anunsyo sa mga prefix sa subnet sa parehas nga mga ruta nga adunay parehas nga AS_PATH, madawat nimo ang nahabilin sa ilang trapiko. Ingon usa ka sangputanan, ang nahabilin nga salapi.
Makatabang ba ang ROA dinhi? Tingali oo, kung magdesisyon ka nga hunongon ang paggamit niini sa hingpit . Dugang pa, dili kaayo gusto nga adunay mga rekord sa ROA nga adunay mga intersecting prefix. Alang sa pipila nga mga operator, ang ingon nga mga pagdili dili madawat.
Sa pagkonsiderar sa ubang mga mekanismo sa seguridad sa pagruta, ang ASPA dili usab makatabang niini nga kaso (tungod kay kini naggamit sa AS_PATH gikan sa usa ka balido nga ruta). Ang BGPSec dili gihapon usa ka labing maayo nga kapilian tungod sa mubu nga rate sa pagsagop ug ang nahabilin nga posibilidad sa mga pag-atake sa pag-downgrade.
Busa kita adunay usa ka tin-aw nga ganansya alang sa tig-atake ug kakulang sa seguridad. Nindot nga sagol!
Unsa man ang kinahanglan nakong buhaton?
Ang klaro ug pinakagrabe nga lakang mao ang pagrepaso sa imong kasamtangang polisiya sa pagruta. Bungkaga ang imong address space ngadto sa pinakagamay nga mga tipik (walay overlaps) nga gusto nimong i-advertise. Pagpirma sa ROA alang lamang kanila, nga wala gamita ang maxLength parameter. Sa kini nga kaso, ang imong karon nga POV makaluwas kanimo gikan sa ingon nga pag-atake. Bisan pa, pag-usab, alang sa pipila nga mga operator kini nga pamaagi dili makatarunganon tungod sa eksklusibo nga paggamit sa labi ka piho nga mga ruta. Ang tanan nga mga problema sa karon nga kahimtang sa ROA ug ruta nga mga butang ihulagway sa usa sa among umaabot nga mga materyales.
Dugang pa, mahimo nimong sulayan ang pag-monitor sa ingon nga mga interception. Aron mahimo kini, kinahanglan namon ang kasaligan nga kasayuran bahin sa imong mga prefix. Busa, kung mag-establisar ka og sesyon sa BGP uban sa among kolektor ug maghatag kanamo og impormasyon bahin sa imong visibility sa Internet, among makit-an ang sakup sa ubang mga insidente. Alang sa mga wala pa konektado sa among sistema sa pag-monitor, sa pagsugod, igo na ang usa ka lista sa mga ruta nga adunay imong mga prefix. Kung naa kay session uban namo, palihog susiha nga napadala na ang tanan nimong rota. Ikasubo, kini angay nga hinumdoman tungod kay ang ubang mga operator nakalimot sa usa o duha ka prefix ug sa ingon makabalda sa among mga pamaagi sa pagpangita. Kung gibuhat sa husto, kami adunay kasaligan nga datos bahin sa imong mga prefix, nga sa umaabot makatabang kanamo nga awtomatiko nga mailhan ug makit-an kini (ug uban pa) nga mga matang sa interception sa trapiko alang sa imong address space.
Kung nahibal-an nimo ang ingon nga interception sa imong trapiko sa tinuud nga oras, mahimo nimong sulayan nga suklan kini sa imong kaugalingon. Ang una nga pamaagi mao ang pag-anunsyo sa mga ruta nga adunay mas piho nga mga prefix sa imong kaugalingon. Kung adunay bag-ong pag-atake sa kini nga mga prefix, balika.
Ang ikaduha nga paagi mao ang pagsilot sa tig-atake ug kadtong alang kang kinsa siya usa ka kritikal nga punto (alang sa maayong mga ruta) pinaagi sa pagputol sa agianan sa imong mga ruta sa tig-atake. Mahimo kini pinaagi sa pagdugang sa ASN sa tig-atake sa AS_PATH sa imong daan nga mga ruta ug sa ingon pugson sila sa paglikay niana nga AS gamit ang built-in nga loop detection mechanism sa BGP .
Source: www.habr.com