Mawrth 13 i'r gweithgor gwrth-gam-drin RIPE ystyried herwgipio BGP (hjjack) fel torri polisi RIPE. Pe bai'r cynnig yn cael ei dderbyn, byddai'r darparwr Rhyngrwyd yr ymosodwyd arno gan ryng-gipio traffig yn cael cyfle i anfon cais arbennig i ddatgelu'r ymosodwr. Pe bai'r tîm adolygu'n casglu digon o dystiolaeth ategol, byddai'r LIR a oedd yn ffynhonnell rhyng-gipiad BGP yn cael ei ystyried yn dresmaswr a gallai gael ei ddileu o'i statws LIR. Roedd rhai dadleuon hefyd newidiadau.
Yn y cyhoeddiad hwn rydym am ddangos enghraifft o ymosodiad lle nid yn unig yr ymosodwr go iawn oedd dan sylw, ond hefyd y rhestr gyfan o ragddodiaid yr effeithiwyd arnynt. Ar ben hynny, mae ymosodiad o'r fath eto yn codi cwestiynau am y cymhellion ar gyfer rhyng-syniadau'r math hwn o draffig yn y dyfodol.
Dros yr ychydig flynyddoedd diwethaf, dim ond gwrthdaro fel MOAS (System Ymreolaethol Tarddiad Lluosog) sydd wedi cael sylw yn y wasg fel rhyng-syniadau BGP. Mae MOAS yn achos arbennig lle mae dwy system ymreolaethol wahanol yn hysbysebu rhagddodiaid sy'n gwrthdaro ag ASNs cyfatebol yn AS_PATH (yr ASN cyntaf yn AS_PATH, y cyfeirir ato o hyn ymlaen fel ASN tarddiad). Fodd bynnag, gallwn enwi o leiaf rhyng-gipio traffig, gan ganiatáu i ymosodwr drin y priodoledd AS_PATH at wahanol ddibenion, gan gynnwys osgoi dulliau modern o hidlo a monitro. Math o ymosodiad hysbys — y math olaf o ryng-gipio o'r fath, ond nid o gwbl mewn pwysigrwydd. Mae’n ddigon posibl mai dyma’r union fath o ymosodiad yr ydym wedi’i weld dros yr wythnosau diwethaf. Mae gan ddigwyddiad o'r fath natur ddealladwy a chanlyniadau eithaf difrifol.
Gall y rhai sy'n chwilio am y fersiwn TL; DR sgrolio i'r is-deitl "Perfect Attack".
Cefndir rhwydwaith
(i’ch helpu i ddeall yn well y prosesau sy’n gysylltiedig â’r digwyddiad hwn)
Os ydych chi am anfon pecyn a bod gennych ragddodiad lluosog yn y tabl llwybro sy'n cynnwys cyfeiriad IP y gyrchfan, yna byddwch yn defnyddio'r llwybr ar gyfer y rhagddodiad gyda'r hyd hiraf. Os oes sawl llwybr gwahanol ar gyfer yr un rhagddodiad yn y tabl llwybro, byddwch yn dewis yr un gorau (yn ôl y mecanwaith dewis llwybr gorau).
Mae dulliau hidlo a monitro presennol yn ceisio dadansoddi llwybrau a gwneud penderfyniadau trwy ddadansoddi'r priodoledd AS_PATH. Gall y llwybrydd newid y nodwedd hon i unrhyw werth yn ystod hysbyseb. Gallai ychwanegu ASN y perchennog ar ddechrau AS_PATH (fel yr ASN tarddiad) fod yn ddigon i osgoi'r mecanweithiau gwirio tarddiad cyfredol. Ar ben hynny, os oes llwybr o'r ASN yr ymosodwyd arno atoch chi, mae'n bosibl echdynnu a defnyddio AS_PATH y llwybr hwn yn eich hysbysebion eraill. Bydd unrhyw wiriad dilysu AS_PATH yn unig ar gyfer eich cyhoeddiadau crefftus yn pasio yn y pen draw.
Mae yna ychydig o gyfyngiadau o hyd sy'n werth eu crybwyll. Yn gyntaf, rhag ofn y bydd rhagddodiad yn hidlo gan y darparwr i fyny'r afon, mae'n bosibl y bydd eich llwybr yn dal i gael ei hidlo (hyd yn oed gyda'r AS_PATH cywir) os nad yw'r rhagddodiad yn perthyn i'ch côn cleient sydd wedi'i ffurfweddu ar yr ochr i fyny'r afon. Yn ail, gall AS_PATH dilys ddod yn annilys os yw'r llwybr a grëwyd yn cael ei hysbysebu i gyfeiriadau anghywir ac, felly, yn torri'r polisi llwybro. Yn olaf, gall unrhyw lwybr gyda rhagddodiad sy'n torri hyd ROA gael ei ystyried yn annilys.
Digwyddiad
Ychydig wythnosau yn ôl derbyniasom gŵyn gan un o'n defnyddwyr. Gwelsom lwybrau gyda'i darddiad ASN a /25 rhagddodiaid, tra honnodd y defnyddiwr nad oedd yn eu hysbysebu.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
Enghreifftiau o gyhoeddiadau ar gyfer dechrau Ebrill 2019
Mae NTT yn y llwybr ar gyfer y rhagddodiad /25 yn ei wneud yn arbennig o amheus. Nid oedd LG NTT yn ymwybodol o'r llwybr hwn ar adeg y digwyddiad. Felly ydy, mae rhai gweithredwr yn creu AS_PATH cyfan ar gyfer y rhagddodiaid hyn! Mae gwirio llwybryddion eraill yn datgelu un ASN penodol: AS263444. Ar ôl edrych ar lwybrau eraill gyda’r system ymreolaethol hon, daethom ar draws y sefyllfa ganlynol:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
Ceisiwch ddyfalu beth sy'n bod yma
Mae'n ymddangos bod rhywun wedi cymryd y rhagddodiad o'r llwybr, ei rannu'n ddwy ran, a hysbysebu'r llwybr gyda'r un AS_PATH ar gyfer y ddau ragddodiad hynny.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
Llwybrau enghreifftiol ar gyfer un o'r parau rhagddodiad hollt
Mae sawl cwestiwn yn codi ar unwaith. A oes unrhyw un wedi rhoi cynnig ar y math hwn o ryng-gipio yn ymarferol? A oes unrhyw un wedi cymryd y llwybrau hyn? Pa ragddodiaid yr effeithiwyd arnynt?
Dyma lle mae ein cyfres o fethiannau yn dechrau a rownd arall eto o siom gyda chyflwr presennol iechyd y Rhyngrwyd.
Llwybr methiant
Pethau cyntaf yn gyntaf. Sut allwn ni benderfynu pa lwybryddion a dderbyniodd lwybrau rhyng-gipio o'r fath ac y gellid ailgyfeirio traffig pwy heddiw? Roeddem yn meddwl y byddem yn dechrau gyda rhagddodiaid /25 oherwydd "yn syml, ni allant gael dosbarthiad byd-eang." Fel y gallwch ddyfalu, roeddem yn anghywir iawn. Trodd y metrig hwn allan i fod yn rhy swnllyd a gall llwybrau gyda rhagddodiaid o'r fath ymddangos hyd yn oed gan weithredwyr Haen-1. Er enghraifft, mae gan NTT tua 50 o rhagddodiaid o'r fath, y mae'n eu dosbarthu i'w gleientiaid ei hun. Ar y llaw arall, mae'r metrig hwn yn ddrwg oherwydd gellir hidlo rhagddodiaid o'r fath os yw'r gweithredwr yn defnyddio , i bob cyfeiriad. Felly, nid yw'r dull hwn yn addas ar gyfer dod o hyd i bob gweithredwr y cafodd ei draffig ei ailgyfeirio o ganlyniad i ddigwyddiad o'r fath.
Syniad da arall yr oeddem yn meddwl oedd edrych arno . Yn enwedig ar gyfer llwybrau sy'n torri rheol maxLength y ROA cyfatebol. Fel hyn gallem ddod o hyd i'r nifer o ASNs tarddiad gwahanol gyda statws Annilys a oedd yn weladwy i UG penodol. Fodd bynnag, mae yna broblem "fach". Mae cyfartaledd (canolrif a modd) y rhif hwn (nifer y gwahanol ASNs tarddiad) tua 150 a, hyd yn oed os byddwn yn hidlo rhagddodiaid bach, mae'n parhau i fod yn uwch na 70. Mae gan y sefyllfa hon esboniad syml iawn: dim ond a ychydig o weithredwyr sydd eisoes yn defnyddio ffilterau ROA gyda pholisi “ailosod llwybrau annilys” mewn mannau mynediad, fel bod llwybr sy'n torri ROA yn ymddangos yn y byd go iawn, lle bynnag y gall ymledu i bob cyfeiriad.
Mae'r ddau ddull olaf yn ein galluogi i ddod o hyd i weithredwyr a welodd ein digwyddiad (gan ei fod yn eithaf mawr), ond yn gyffredinol nid ydynt yn berthnasol. Iawn, ond a allwn ni ddod o hyd i'r tresmaswr? Beth yw nodweddion cyffredinol y driniaeth AS_PATH hwn? Mae yna ychydig o ragdybiaethau sylfaenol:
- Nid oedd y rhagddodiad wedi ei weled yn unman o'r blaen ;
- Tarddiad ASN (atgoffa: ASN cyntaf yn AS_PATH) yn ddilys;
- Yr ASN olaf yn AS_PATH yw ASN yr ymosodwr (rhag ofn i'w gymydog wirio ASN y cymydog ar bob llwybr sy'n dod i mewn);
- Mae'r ymosodiad yn tarddu o ddarparwr unigol.
Os yw'r holl ragdybiaethau'n gywir, yna bydd pob llwybr anghywir yn cyflwyno ASN yr ymosodwr (ac eithrio'r ASN tarddiad) ac, felly, mae hwn yn bwynt "hanfodol". Ymhlith y gwir herwgipwyr roedd AS263444, er bod eraill. Hyd yn oed pan wnaethom ddileu llwybrau'r digwyddiad rhag cael eu hystyried. Pam? Gall pwynt hollbwysig fod yn hollbwysig hyd yn oed ar gyfer y llwybrau cywir. Gall fod naill ai o ganlyniad i gysylltedd gwael mewn rhanbarth neu gyfyngiadau yn ein gwelededd ein hunain.
O ganlyniad, mae yna ffordd i ganfod ymosodwr, ond dim ond os yw'r holl amodau uchod yn cael eu bodloni a dim ond pan fydd y rhyng-gipiad yn ddigon mawr i basio'r trothwyon monitro. Os na chaiff rhai o'r ffactorau hyn eu bodloni, yna a allwn ni nodi'r rhagddodiaid a ddioddefodd oherwydd rhyng-gipio o'r fath? Ar gyfer rhai gweithredwyr - ie.
Pan fydd ymosodwr yn creu llwybr mwy penodol, nid yw rhagddodiad o'r fath yn cael ei hysbysebu gan y gwir berchennog. Os oes gennych restr ddeinamig o'i holl ragddodiaid ohoni, yna mae'n bosibl gwneud cymhariaeth a dod o hyd i lwybrau gwyrgam mwy penodol. Rydyn ni'n casglu'r rhestr hon o rhagddodiaid gan ddefnyddio ein sesiynau BGP, oherwydd rydyn ni'n cael nid yn unig y rhestr lawn o lwybrau sy'n weladwy i'r gweithredwr ar hyn o bryd, ond hefyd rhestr o'r holl ragddodiaid y mae am eu hysbysebu i'r byd. Yn anffodus, erbyn hyn mae yna sawl dwsin o ddefnyddwyr Radar nad ydyn nhw'n cwblhau'r rhan olaf yn gywir. Byddwn yn rhoi gwybod iddynt yn fuan ac yn ceisio datrys y mater hwn. Gall pawb arall ymuno â'n system fonitro ar hyn o bryd.
Os byddwn yn dychwelyd i'r digwyddiad gwreiddiol, canfuwyd yr ymosodwr a'r ardal ddosbarthu gennym ni trwy chwilio am bwyntiau critigol. Yn syndod, ni anfonodd AS263444 lwybrau ffug at bob un o'i gleientiaid. Er bod moment dieithryn.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
Enghraifft ddiweddar o ymgais i ryng-gipio ein gofod cyfeiriad
Pan grëwyd rhai mwy penodol ar gyfer ein rhagddodiaid, defnyddiwyd AS_PATH a grëwyd yn arbennig. Fodd bynnag, ni allai'r AS_PATH hwn fod wedi'i gymryd o unrhyw un o'n llwybrau blaenorol. Nid ydym hyd yn oed yn cyfathrebu ag AS6762. Wrth edrych ar y llwybrau eraill yn y digwyddiad, roedd gan rai ohonynt AS_PATH go iawn a ddefnyddiwyd yn flaenorol, tra nad oedd gan eraill, hyd yn oed os yw'n edrych fel yr un go iawn. Nid yw newid AS_PATH hefyd yn gwneud unrhyw synnwyr ymarferol, gan y bydd y traffig yn cael ei ailgyfeirio at yr ymosodwr beth bynnag, ond gellir hidlo llwybrau ag AS_PATH “drwg” gan ASPA neu unrhyw fecanwaith archwilio arall. Yma rydym yn meddwl am gymhelliant y hijacker. Ar hyn o bryd nid oes gennym ddigon o wybodaeth i gadarnhau bod y digwyddiad hwn yn ymosodiad wedi'i gynllunio. Serch hynny, mae'n bosibl. Gadewch i ni geisio dychmygu sefyllfa, er ei bod yn dal yn ddamcaniaethol, ond yn eithaf real o bosibl.
Ymosodiad Perffaith
Beth sydd gennym? Gadewch i ni ddweud eich bod yn ddarparwr tramwy sy'n darlledu llwybrau i'ch cleientiaid. Os oes gan eich cleientiaid bresenoldeb lluosog (aml-gartref), yna dim ond rhan o'u traffig y byddwch chi'n ei dderbyn. Ond po fwyaf o draffig, y mwyaf yw eich incwm. Felly os byddwch chi'n dechrau hysbysebu rhagddodiaid subnet o'r un llwybrau hyn gyda'r un AS_PATH, byddwch yn derbyn gweddill eu traffig. O ganlyniad, gweddill yr arian.
A fydd ROA yn helpu yma? Efallai ie, os penderfynwch roi'r gorau i'w ddefnyddio'n llwyr . Yn ogystal, mae'n annymunol iawn cael cofnodion ROA gyda rhagddodiaid croestoriadol. I rai gweithredwyr, mae cyfyngiadau o'r fath yn annerbyniol.
O ystyried mecanweithiau diogelwch llwybro eraill, ni fydd ASPA yn helpu yn yr achos hwn ychwaith (oherwydd ei fod yn defnyddio AS_PATH o lwybr dilys). Nid yw BGPSec yn opsiwn optimaidd o hyd oherwydd cyfraddau mabwysiadu isel a'r posibilrwydd sy'n weddill o ymosodiadau israddio.
Felly mae gennym fantais amlwg i'r ymosodwr a diffyg diogelwch. Cymysgedd gwych!
Beth sy'n rhaid i ni ei wneud?
Y cam amlwg a mwyaf llym yw adolygu eich polisi llwybro presennol. Rhannwch eich gofod cyfeiriad yn y darnau lleiaf (dim gorgyffwrdd) rydych chi am eu hysbysebu. Arwyddo ROA ar eu cyfer yn unig, heb ddefnyddio'r paramedr maxLength. Yn yr achos hwn, gall eich POV presennol eich arbed rhag ymosodiad o'r fath. Fodd bynnag, unwaith eto, i rai gweithredwyr nid yw'r dull hwn yn rhesymol oherwydd y defnydd unigryw o lwybrau mwy penodol. Bydd yr holl broblemau gyda chyflwr presennol ROA a gwrthrychau llwybr yn cael eu disgrifio yn un o'n deunyddiau yn y dyfodol.
Yn ogystal, gallwch geisio monitro rhyng-syniadau o'r fath. I wneud hyn, mae arnom angen gwybodaeth ddibynadwy am eich rhagddodiaid. Felly, os byddwch yn sefydlu sesiwn BGP gyda'n casglwr ac yn rhoi gwybodaeth i ni am eich gwelededd Rhyngrwyd, gallwn ddod o hyd i'r cwmpas ar gyfer digwyddiadau eraill. I'r rhai nad ydynt eto wedi'u cysylltu â'n system fonitro, i ddechrau, bydd rhestr o lwybrau yn unig gyda'ch rhagddodiaid yn ddigon. Os oes gennych sesiwn gyda ni, gwiriwch fod eich holl lwybrau wedi'u hanfon. Yn anffodus, mae hyn yn werth ei gofio oherwydd bod rhai gweithredwyr yn anghofio rhagddodiad neu ddau ac felly'n ymyrryd â'n dulliau chwilio. Os caiff ei wneud yn gywir, bydd gennym ddata dibynadwy am eich rhagddodiaid, a fydd yn y dyfodol yn ein helpu i nodi a chanfod y mathau hyn (ac eraill) o ryng-gipio traffig ar gyfer eich gofod cyfeiriad yn awtomatig.
Os byddwch chi'n dod yn ymwybodol o ryng-gipiad o'r fath o'ch traffig mewn amser real, gallwch chi geisio ei wrthweithio eich hun. Y dull cyntaf yw hysbysebu llwybrau gyda'r rhagddodiaid mwy penodol hyn eich hun. Mewn achos o ymosodiad newydd ar y rhagddodiaid hyn, ailadroddwch.
Yr ail ddull yw cosbi'r ymosodwr a'r rhai y mae'n bwynt hanfodol iddynt (ar gyfer llwybrau da) trwy dorri mynediad eich llwybrau i'r ymosodwr. Gellir gwneud hyn trwy ychwanegu ASN yr ymosodwr at AS_PATH eich hen lwybrau a thrwy hynny eu gorfodi i osgoi'r AS hwnnw gan ddefnyddio'r mecanwaith canfod dolen adeiledig yn BGP .
Ffynhonnell: hab.com