Martxoaren 13an RIPE tratu txarren aurkako lantaldeari kontuan hartu BGP bahiketa (hjjack) RIPE politikaren urraketa gisa. Proposamena onartuko balitz, trafikoa atzemateak erasotutako Interneteko hornitzaileak aukera izango luke erasotzailea agerian uzteko eskaera berezi bat bidaltzeko. Berrikuspen-taldeak froga nahikoa bilduko balu, BGP atzematearen iturria izan den LIR intrusotzat hartuko litzateke eta LIR egoera kendu ahal izango luke. Argudio batzuk ere egon ziren aldaketak.
Argitalpen honetan eraso baten adibide bat erakutsi nahi dugu, non benetako erasotzailea ez ezik, kaltetutako aurrizkien zerrenda osoa ere. Gainera, horrelako eraso batek berriro ere zalantzak sortzen ditu trafiko mota hau etorkizunean atzemateko arrazoiei buruz.
Azken bi urteetan, MOAS (Jatorri Anitzeko Sistema Autonomoa) bezalako gatazkak baino ez dira jaso prentsan BGP atzemate gisa. MOAS kasu berezi bat da, non bi sistema autonomo ezberdinek aurrizki gatazkatsuak iragartzen dituzten AS_PATH-en dagozkien ASNekin (AS_PATH-ko lehen ASN, aurrerantzean jatorri ASN deitzen dena). Hala ere, gutxienez izena eman dezakegu trafikoa atzematea, erasotzaileak AS_PATH atributua hainbat helburutarako manipulatzeko aukera emanez, iragazketarako eta monitorizaziorako ikuspegi modernoak saihestuz barne. Eraso mota ezaguna - atzematearen azken mota, baina ez du inolako garrantziaz. Baliteke azken asteetan ikusi dugun eraso mota hori izatea. Horrelako gertaera batek izaera ulergarria eta ondorio nahiko larriak ditu.
TL;DR bertsioa bilatzen dutenek "Perfect Attack" azpititulura joan daitezke.
Sarearen atzeko planoa
(Gertakari honetan parte hartzen duten prozesuak hobeto ulertzen laguntzeko)
Pakete bat bidali nahi baduzu eta helburuko IP helbidea duen bideratze-taulan aurrizki bat baino gehiago badituzu, luzera gehien duen aurrizkiaren ibilbidea erabiliko duzu. Bideratze-taulan aurrizki bererako hainbat ibilbide desberdin badaude, onena aukeratuko duzu (bide onena aukeratzeko mekanismoaren arabera).
Dauden iragazketa eta monitorizazio planteamenduak ibilbideak aztertzen eta erabakiak hartzen saiatzen dira AS_PATH atributua aztertuz. Bideratzaileak atributu hau edozein baliotara alda dezake iragarkian zehar. Jabearen ASN AS_PATH-ren hasieran (jatorrizko ASN gisa) gehitzea nahikoa izan daiteke uneko jatorria egiaztatzeko mekanismoak saihesteko. Gainera, erasotutako ASNtik zureganako ibilbide bat badago, posible izango da bide honen AS_PATH ateratzea eta erabiltzea zure beste iragarkietan. Landutako iragarkien AS_PATH soilik baliozkotzeko egiaztapenak gaindituko dira azkenean.
Oraindik aipatu beharreko muga batzuk daude. Lehenik eta behin, goranzko hornitzaileak aurrizkia iragazten badu, zure ibilbidea oraindik iragazten da (nahiz eta AS_PATH zuzenarekin) aurrizkia goran konfiguratutako bezeroaren konoarena ez bada. Bigarrenik, baliozko AS_PATH bat baliogabe bihur daiteke sortutako ibilbidea norabide okerretan iragartzen bada eta, beraz, bideratze-politika urratzen badu. Azkenik, ROA luzera urratzen duen aurrizkia duen edozein ibilbide baliogabetzat jo daiteke.
Gorabehera
Duela aste batzuk gure erabiltzaileetako baten kexa bat jaso genuen. Bere jatorriko ASN eta /25 aurrizkiekin ibilbideak ikusi genituen, erabiltzaileak ez zituela iragarri bitartean.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
2019ko apirilaren hasierarako iragarkien adibideak
NTT /25 aurrizkiaren bidean bereziki susmagarria da. LG NTT ez zekien ibilbide horren berri gertakaria gertatu zen unean. Beraz, bai, operadore batzuek AS_PATH osoa sortzen dute aurrizki hauetarako! Beste bideratzaile batzuetan egiaztatzeak ASN jakin bat erakusten du: AS263444. Sistema autonomo honekin beste ibilbide batzuk aztertu ondoren, egoera hau topatu dugu:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
Saiatu hemen zer dagoen gaizki asmatzen
Badirudi norbaitek ibilbideko aurrizkia hartu zuela, bi zatitan banatu eta ibilbidearen iragarkia AS_PATH berarekin bi aurrizki horietarako.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
Zatitutako aurrizki-bikoteetako baten ibilbideen adibidea
Hainbat galdera sortzen dira aldi berean. Inork probatu al du atzemate mota hau praktikan? Norbaitek hartu al ditu bide hauek? Zein aurrizki eragin zuten?
Hemen hasten da gure hutsegiteen katea eta beste etsipen txanda bat Interneten egungo osasun egoerarekin.
Porrotaren bidea
Lehen gauzak lehenik. Nola zehaztu dezakegu atzemandako bide horiek zein bideratzailek onartu dituzten eta zeinen trafikoa desbideratu daitekeen gaur? /25 aurrizkiekin hastea pentsatu genuen, "besterik gabe, ezin dutelako banaketa globala izan". Asma dezakezun bezala, oso oker geunden. Neurri hau zaratatsuegia izan da eta aurrizki horiek dituzten ibilbideak Tier-1 operadoreetatik ere ager daitezke. Esaterako, NTT-k horrelako 50 aurrizki inguru ditu, eta bere bezeroei banatzen dizkie. Bestalde, metrika hau txarra da, operadoreak erabiltzen baditu horrelako aurrizkiak iragazi daitezkeelako , norabide guztietan. Beraz, metodo hau ez da egokia gertakari baten ondorioz trafikoa birbideratu duten operadore guztiak aurkitzeko.
Beste ideia on bat ikustea zen . Batez ere, dagokion ROAren maxLength araua urratzen duten ibilbideetarako. Horrela, baliogabe egoera duten jatorri ezberdineko ASN kopurua aurki genitzake, AS jakin baterako ikusgai zeuden. Hala ere, arazo "txiki" bat dago. Zenbaki horren batez bestekoa (mediana eta modua) (jatorri ezberdineko ASN kopurua) 150 ingurukoa da eta, aurrizki txikiak iragazten baditugu ere, 70etik gora geratzen da. Egoera honek oso azalpen sinplea du: bat besterik ez dago. ROA- iragazkiak dagoeneko erabiltzen dituzten operadore gutxik, sarrera-puntuetan "Berrezarri Baliogabeko Ibilbideak" gidalerroa dutenak, mundu errealean ROA urraketa duen ibilbide bat agertzen den toki guztietan norabide guztietan heda dadin.
Azken bi hurbilketei esker, gure gertakaria ikusi zuten operadoreak aurki ditzakegu (nahiko handia zenez), baina, oro har, ez dira aplikagarriak. Ados, baina aurki al dezakegu intrusoa? Zein dira AS_PATH manipulazio honen ezaugarri orokorrak? Oinarrizko hipotesi batzuk daude:
- Aurrez aurrizkia ez zen inon ikusi;
- Jatorri ASN (gogoragarria: AS_PATHko lehen ASN) baliozkoa da;
- AS_PATH-ko azken ASN-a erasotzailearen ASN da (auzokoaren ASN-a sarrerako bide guztietan egiaztatzen badu);
- Erasoa hornitzaile bakar batengandik dator.
Suposizio guztiak zuzenak badira, bide oker guztiek erasotzailearen ASN aurkeztuko dute (jatorrizko ASN izan ezik) eta, beraz, puntu "kritikoa" da. Benetako bahitzaileen artean AS263444 zegoen, nahiz eta beste batzuk egon. Nahiz eta gertakarien ibilbideak kontuan hartu gabe baztertu genituen. Zergatik? Puntu kritikoa kritikoa izan daiteke ibilbide zuzenetarako ere. Eskualde bateko konektibitate eskasaren edo gure ikusgarritasunaren mugaren ondorio izan daiteke.
Ondorioz, badago erasotzailea detektatzeko modua, baina aurreko baldintza guztiak betetzen badira eta atzematea monitorizazio-atalaseak gainditzeko adinakoa denean soilik. Faktore horietako batzuk betetzen ez badira, identifikatu al ditzakegu atzemate hori jasan zuten aurrizkiak? Zenbait operadorerentzat - bai.
Erasotzaile batek ibilbide zehatzago bat sortzen duenean, aurrizki hori ez du benetako jabeak iragartzen. Bertatik bere aurrizki guztien zerrenda dinamikoa baduzu, konparaketa bat egin eta ibilbide zehatzagoak desitxuratuak aurki ditzakezu. Aurrizkien zerrenda hau gure BGP saioak erabiliz biltzen dugu, operadoreak oraintxe bertan ikusgai dituen ibilbideen zerrenda osoa ez ezik, munduari iragarki nahi dituen aurrizki guztien zerrenda ere ematen zaigulako. Zoritxarrez, orain dozena bat Radar erabiltzaile daude azken zatia behar bezala betetzen ez dutenak. Laster jakinaraziko diegu eta arazo hau konpontzen saiatuko gara. Beste guztiak gure monitorizazio sisteman sartu daitezke oraintxe bertan.
Jatorrizko gertakarira itzultzen bagara, erasotzailea zein banaketa-eremua puntu kritikoak bilatuz detektatu genituen. Harrigarria bada ere, AS263444-k ez zien fabrikatutako ibilbiderik bidali bezero guztiei. Momentu arrotza dagoen arren.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
Gure helbide-espazioa atzemateko saiakeraren azken adibidea
Gure aurrizkietarako zehatzagoak sortu zirenean, bereziki sortutako AS_PATH erabili zen. Hala ere, AS_PATH hau ezin zen hartu gure aurreko ibilbideetatik. AS6762-rekin ez dugu komunikaziorik ere. Gertaeraren beste ibilbideei erreparatuta, batzuek aurretik erabiltzen zuten benetako AS_PATH bat zuten, beste batzuek ez zuten, nahiz eta benetakoaren itxura izan. AS_PATH aldatzeak, gainera, ez du zentzu praktikorik, trafikoa erasotzailearengana birbideratuko baita hala ere, baina AS_PATH "txarra" duten ibilbideak ASPA edo beste edozein ikuskapen mekanismoren bidez iragazi daitezke. Hemen bahitzailearen motibazioaz pentsatzen dugu. Momentuz ez dugu informazio nahikorik gertakari hau aurreikusitako eraso bat izan zela baieztatzeko. Hala ere, posible da. Saia gaitezen egoera bat imajinatzen, oraindik hipotetikoa bada ere, baina potentzialki nahiko erreala.
Eraso Perfektua
Zer daukagu? Demagun zure bezeroentzako ibilbideak igortzen dituen garraio-hornitzaile bat zarela. Zure bezeroek presentzia anitz badute (multihome), orduan haien trafikoaren zati bat bakarrik jasoko duzu. Baina zenbat eta trafiko gehiago, orduan eta diru-sarrera gehiago. Beraz, ibilbide bereko azpisareen aurrizkiak AS_PATH berdinarekin iragartzen hasten bazara, haien gainerako trafikoa jasoko duzu. Ondorioz, gainontzeko dirua.
ROAk lagunduko al du hemen? Agian bai, guztiz erabiltzeari uztea erabakitzen baduzu . Horrez gain, oso desiragarria da ROA erregistroak gurutzatzen diren aurrizkiekin. Operadore batzuentzat, murrizketa horiek onartezinak dira.
Bideratze-segurtasun-mekanismoak kontuan hartuta, ASPAk ere ez du lagunduko kasu honetan (bide baliodun batetik AS_PATH erabiltzen duelako). BGPSec oraindik ez da aukera optimoa, adopzio-tasa baxuak direla eta, eta erasoak behera egiteko gainerako aukera dagoelako.
Beraz, erasotzailearentzat irabazi garbia eta segurtasun falta dugu. Nahasketa bikaina!
Zer egin behar dugu?
Urrats nabarmena eta zorrotzena zure egungo bideratze-politika berrikustea da. Banatu zure helbide-espazioa iragarki nahi duzun zati txikienetan (gainjartzerik gabe). Sinatu ROA haientzat soilik, maxLength parametroa erabili gabe. Kasu honetan, zure uneko POV-k horrelako eraso batetik salba dezakezu. Hala ere, berriro ere, operadore batzuentzat hurbilketa hori ez da zentzuzkoa, ibilbide zehatzagoen erabilera esklusiboa delako. ROA eta ibilbide objektuen egungo egoeraren arazo guztiak gure etorkizuneko material batean deskribatuko dira.
Horrez gain, horrelako atzemateak kontrolatzen saia zaitezke. Horretarako, zure aurrizkiei buruzko informazio fidagarria behar dugu. Horrela, gure biltzailearekin BGP saio bat ezartzen baduzu eta zure Interneteko ikusgarritasunari buruzko informazioa ematen badiguzu, beste gorabehera batzuetarako aukera aurki dezakegu. Oraindik gure monitorizazio sistemara konektatuta ez daudenentzat, hasteko, zure aurrizkiekin soilik ibilbideen zerrenda bat nahikoa izango da. Gurekin saioren bat baduzu, egiaztatu zure ibilbide guztiak bidalita daudela. Zoritxarrez, hau gogoratzea komeni da, operadore batzuek aurrizki bat edo bi ahaztu egiten dituztelako eta horrela gure bilaketa-metodoak oztopatzen dituztelako. Ondo egiten bada, zure aurrizkiei buruzko datu fidagarriak izango ditugu, etorkizunean zure helbide-espaziorako trafiko-atzemate mota hau (eta beste) automatikoki identifikatzen eta hautematen lagunduko digutenak.
Zure trafikoaren atzematea denbora errealean jabetzen bazara, zeure buruari aurre egiten saia zaitezke. Lehenengo planteamendua aurrizki zehatzago hauekin ibilbideak iragartzea da. Aurrizki hauen aurkako eraso berri bat izanez gero, errepikatu.
Bigarren ikuspegia erasotzailea eta bera puntu kritikoa denak (bide onetarako) zigortzea da, zure bideen sarbidea erasotzaileari moztuz. Hau egin daiteke erasotzailearen ASN zure ibilbide zaharretako AS_PATH-ra gehituz eta, horrela, AS hori saihesteko behartu BGPko begizta detektatzeko mekanismoa erabiliz. .
Iturria: www.habr.com