13 Márta chuig an nGrúpa Oibre Frith-Mhí-úsáide RIPE breathnaigh ar fhuadach BGP (hjjack) mar shárú ar bheartas RIPE. Dá nglacfaí leis an togra, bheadh deis ag an soláthraí Idirlín a ionsaíodh trí thascaireacht tráchta iarratas speisialta a sheoladh chun an t-ionsaitheoir a nochtadh. Dá mbailigh an fhoireann athbhreithnithe dóthain fianaise tacaíochta, mheasfaí an LIR a bhí mar fhoinse idircheap BGP mar ionróir agus d’fhéadfaí a stádas LIR a bhaint di. Bhí roinnt argóintí ann freisin athruithe.
San fhoilseachán seo ba mhaith linn sampla d'ionsaí a thaispeáint ina raibh ní hamháin an t-ionsaí fíor i gceist, ach freisin liosta iomlán na réimíreanna a raibh tionchar orthu. Ina theannta sin, ardaíonn ionsaí den sórt sin ceisteanna arís faoi na cúiseanna atá le hidirghabhálacha den chineál seo tráchta amach anseo.
Le cúpla bliain anuas, níor clúdaíodh ach coinbhleachtaí cosúil le MOAS (Córas Uathrialach Il-Thionscnaimh) sa phreas mar idirghabhálacha BGP. Is cás speisialta é MOAS ina bhfógraíonn dhá chóras uathrialacha éagsúla réimíreanna contrártha le ASNanna comhfhreagracha in AS_PATH (an chéad ASN in AS_PATH, dá ngairfear anseo feasta ASN tionscnaimh). Mar sin féin, is féidir linn a ainmniú ar a laghad idircheapadh tráchta, rud a ligeann d'ionsaitheoir an tréith AS_PATH a ionramháil chun críocha éagsúla, lena n-áirítear cur chuige nua-aimseartha maidir le scagadh agus monatóireacht a sheachaint. Cineál ionsaí ar a dtugtar - an cineál deiridh de thascradh den sórt sin, ach ní ar chor ar bith tábhacht. Is féidir go leor gurb é seo go díreach an cineál ionsaí atá feicthe againn le seachtainí anuas. Tá nádúr intuigthe ag imeacht den sórt sin agus iarmhairtí tromchúiseacha go leor.
Is féidir leo siúd atá ag lorg an leagan TL; DR scrolláil chuig an bhfotheideal "Perfect Attack".
Cúlra líonra
(chun cabhrú leat na próisis a bhaineann leis an eachtra seo a thuiscint níos fearr)
Más mian leat paicéad a sheoladh agus go bhfuil réimírí iolracha agat sa tábla ródaithe ina bhfuil an seoladh IP ceann scríbe, ansin úsáidfidh tú an bealach don réimír leis an fad is faide. Má tá roinnt bealaí éagsúla ann don réimír chéanna sa tábla ródaithe, roghnóidh tú an ceann is fearr (de réir na meicníochta roghnúcháin cosáin is fearr).
Déanann cur chuige scagtha agus monatóireachta atá ann faoi láthair iarracht bealaí a anailísiú agus cinntí a dhéanamh trí anailís a dhéanamh ar an aitreabúid AS_PATH. Féadfaidh an ródaire an tréith seo a athrú go luach ar bith le linn fógraíochta. D’fhéadfadh gur leor ASN an úinéara a chur ag tús AS_PATH (mar an ASN tionscnaimh) chun meicníochtaí seiceála an tionscnaimh reatha a sheachaint. Ina theannta sin, má tá bealach ón ASN faoi ionsaí chugat, is féidir AS_PATH an bhealaigh seo a bhaint agus a úsáid i do chuid fógraí eile. Rachaidh aon seiceáil bailíochtaithe AS_PATH-amháin le haghaidh d'fhógraí ceardaíochta thart faoi dheireadh.
Tá roinnt teorainneacha fós ann ar fiú a lua. Ar an gcéad dul síos, i gcás scagadh réimírí ag an soláthraí in aghaidh an tsrutha, féadfar do bhealach a scagadh go fóill (fiú leis an AS_PATH ceart) mura mbaineann an réimír le cón do chliant atá cumraithe ag an sruth in aghaidh an tsrutha. Ar an dara dul síos, féadfaidh AS_PATH bailí a bheith neamhbhailí má fhógraítear an bealach cruthaithe i dtreonna míchearta agus, mar sin, má sháraíonn sé an polasaí ródaithe. Ar deireadh, féadfar a mheas go bhfuil aon bhealach le réimír a sháraíonn an fad ROA neamhbhailí.
Teagmhas
Cúpla seachtain ó shin fuaireamar gearán ó dhuine dár n-úsáideoirí. Chonaiceamar bealaí lena mbunús ASN agus réimíreanna /25, agus mhaígh an t-úsáideoir nár fhógair sé iad.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
Samplaí d’fhógraí do thús mhí Aibreáin 2019
Cuireann NTT sa chonair don réimír /25 go háirithe amhrasach faoi. Ní raibh LG NTT ar an eolas faoin mbealach seo ag am na heachtra. Sea, cruthaíonn oibreoir éigin AS_PATH iomlán do na réimíreanna seo! Nochtann seiceáil ar ródairí eile ASN ar leith amháin: AS263444. Tar éis dúinn breathnú ar bhealaí eile leis an gcóras uathrialach seo, tháinig muid ar an staid seo a leanas:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
Déan iarracht buille faoi thuairim a dhéanamh ar cad atá mícheart anseo
Dealraíonn sé gur thóg duine éigin an réimír ón mbealach, roinneadh ina dhá chuid é, agus gur fhógair sé an bealach leis an AS_PATH céanna don dá réimír sin.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
Bealaí samplacha do cheann de na péirí réimíreanna scoilte
Tagann roinnt ceisteanna chun cinn ag an am céanna. Ar bhain aon duine triail as an gcineál seo idircheapadh go praiticiúil? Ar ghlac éinne na bealaí seo? Cad iad na réimíreanna a ndearnadh difear dóibh?
Seo an áit a gcuirtear tús lenár sraith teipeanna agus babhta eile fós de díomá maidir le staid reatha shláinte an Idirlín.
An cosán teip
Na chéad rudaí ar dtús. Conas is féidir linn a chinneadh cé na ródairí a ghlac leis na bealaí idircheapa sin agus cé acu a bhféadfaí trácht a athródú inniu? Shíl muid go dtosóimid le réimíreanna /25 mar "ní féidir dáileadh domhanda a bheith acu." Mar is féidir leat buille faoi thuairim, bhí muid an-mícheart. Bhí an mhéadracht seo ró-fhuaimneach agus d'fhéadfadh bealaí le réimíreanna den sórt sin a bheith le feiceáil fiú ó oibreoirí Sraith-1. Mar shampla, tá thart ar 50 réimír den sórt sin ag NTT, a dháileann sé ar a chliaint féin. Ar an láimh eile, tá an méadrach seo dona mar is féidir réimíreanna den sórt sin a scagadh amach má úsáideann an t-oibreoir , i ngach treo. Dá bhrí sin, níl an modh seo oiriúnach chun gach oibreoir a aimsiú a ndearnadh a thrácht a atreorú mar thoradh ar theagmhas den sórt sin.
Smaoineamh maith eile a cheapamar ná féachaint air . Go háirithe maidir le bealaí a sháraíonn riail maxFad an ROA comhfhreagrach. Ar an mbealach seo d'fhéadfaimis teacht ar an líon FTB de bhunadh éagsúil le stádas Neamhbhailí a bhí le feiceáil ar AS ar leith. Mar sin féin, tá fadhb "beag" ann. Is é meán (airmheán agus mód) na huimhreach seo (líon na ASNanna de bhunús éagsúil) thart ar 150 agus, fiú má dhéanaimid scagadh ar réimíreanna beaga, fanann sé os cionn 70. Tá míniú an-simplí ar an staid seo: níl ann ach is beag oibreoirí a úsáideann scagairí ROA cheana féin le polasaí “bealaí neamhbhailí athshocrú” ag pointí iontrála, ionas gur féidir le bealach a bhfuil sárú ROA ag baint leis san fhíorshaol, iomadú i ngach treo.
Ligeann an dá chur chuige deiridh dúinn oibreoirí a aimsiú a chonaic ár n-eachtra (ós rud é go raibh sé sách mór), ach go ginearálta níl siad infheidhme. Ceart go leor, ach an féidir linn teacht ar an ionróir? Cad iad na gnéithe ginearálta den ionramháil AS_PATH seo? Tá cúpla bonn tuisceana ann:
- Ní raibh an réimír le feiceáil áit ar bith roimhe seo;
- Bunús ASN (meabhrúchán: an chéad ASN in AS_PATH) bailí;
- Is é an ASN deireanach in AS_PATH ná ASN an ionsaitheora (ar eagla go seiceálann a chomharsa ASN an chomharsa ar gach bealach isteach);
- Eascraíonn an t-ionsaí ó sholáthraí amháin.
Má tá na boinn tuisceana go léir i gceart, ansin cuirfidh gach bealach mícheart ASN an ionsaitheora i láthair (seachas an ASN tionscnaimh) agus, mar sin, is pointe "criticiúil" é seo. I measc na bhfuadaitheoirí fíor bhí AS263444, cé go raibh cinn eile. Fiú nuair a chaitheamar na bealaí teagmhais ó bhreithniú. Cén fáth? Féadfaidh pointe criticiúil a bheith fós ríthábhachtach fiú do na bealaí cearta. Is féidir é a bheith mar thoradh ar dhroch-nascacht i réigiún nó ar theorainneacha inár n-infheictheacht féin.
Mar thoradh air sin, tá bealach ann chun ionsaitheoir a bhrath, ach amháin má chomhlíontar na coinníollacha go léir thuas agus ach amháin nuair a bhíonn an tascradh mór go leor chun na tairseacha monatóireachta a rith. Mura gcomhlíontar cuid de na fachtóirí seo, ansin an féidir linn na réimíreanna a d'fhulaing ó thascradh den sórt sin a aithint? I gcás oibreoirí áirithe - tá.
Nuair a chruthaíonn ionsaitheoir bealach níos sainiúla, ní fhógraíonn an t-úinéir fíor réimír den sórt sin. Má tá liosta dinimiciúil agat dá réimíreanna go léir uaidh, is féidir comparáid a dhéanamh agus bealaí níos sainiúla saobhadh a aimsiú. Bailímid an liosta réimíreanna seo ag baint úsáide as ár seisiúin BGP, toisc go dtugtar dúinn ní hamháin an liosta iomlán de na bealaí atá le feiceáil ag an oibreoir faoi láthair, ach freisin liosta de na réimíreanna go léir a theastaíonn uaidh a fhógairt don domhan. Ar an drochuair, tá roinnt dosaen úsáideoir Radar ann anois nach gcomhlíonann an chuid dheireanach i gceart. Cuirfimid iad ar an eolas go luath agus déanfaimid iarracht an cheist seo a réiteach. Is féidir le gach duine eile a bheith páirteach inár gcóras monatóireachta faoi láthair.
Má fhilleann muid ar an eachtra bunaidh, aimsíodh an t-ionsaitheoir agus an limistéar dáileacháin araon trí phointí criticiúla a chuardach. Is ionadh é, níor sheol AS263444 bealaí déanta chuig a chuid cliant ar fad. Cé go bhfuil nóiméad strainséir.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
Sampla le déanaí d’iarracht ár spás seolta a thascradh
Nuair a cruthaíodh cinn níos sainiúla dár réimíreanna, baineadh úsáid as AS_PATH a cruthaíodh go speisialta. Mar sin féin, níorbh fhéidir an AS_PATH seo a bhaint as aon cheann dár mbealaí roimhe seo. Níl cumarsáid againn fiú le AS6762. Ag féachaint ar na bealaí eile san eachtra, bhí AS_PATH fíor ag cuid acu a úsáideadh roimhe seo, agus ní raibh cuid eile acu, fiú má tá an chuma ar an gceann fíor. Ní dhéanann sé aon chiall phraiticiúil freisin le AS_PATH a athrú, mar go ndéanfar an trácht a atreorú chuig an ionsaitheoir ar aon nós, ach is féidir bealaí le AS_PATH “olc” a scagadh le ASPA nó le haon mheicníocht iniúchta eile. Anseo smaoinímid ar spreagadh an hijacker. Níl go leor eolais againn faoi láthair chun a dhearbhú gur ionsaí pleanáilte a bhí san eachtra seo. Mar sin féin, is féidir. Déanaimis iarracht cás a shamhlú, cé go bhfuil sé fós hipitéiseach, ach a d'fhéadfadh a bheith fíor go leor.
Ionsaí Foirfe
Cad atá againn? Ligean le rá gur soláthraí iompair tú bealaí craolacháin do do chliaint. Má tá láithreacht iolrach ag do chliaint (ilbhaile), ní bhfaighidh tú ach cuid dá dtrácht. Ach an trácht níos mó, an níos mó d'ioncam. Mar sin má thosaíonn tú ag fógairt réimíreanna subnet de na bealaí céanna seo leis an AS_PATH céanna, gheobhaidh tú an chuid eile dá dtrácht. Mar thoradh air sin, an chuid eile den airgead.
An gcuideoidh ROA anseo? B'fhéidir go bhfuil, má shocraíonn tú stop a úsáid go hiomlán . Ina theannta sin, tá sé thar a bheith neamh-inmhianaithe taifid ROA a bhfuil réimíreanna trasnacha orthu a bheith ann. I gcás roinnt oibreoirí, tá srianta den sórt sin do-ghlactha.
Agus meicníochtaí slándála ródaithe eile á gcur san áireamh, ní chuideoidh ASPA sa chás seo ach an oiread (toisc go n-úsáideann sé AS_PATH ó bhealach bailí). Ní rogha optamach é BGPSec go fóill mar gheall ar rátaí ísle uchtála agus an fhéidearthacht atá fós ann go ndéanfaí ionsaithe íosghrádaithe.
Mar sin tá gnóthachan soiléir againn don ionsaitheoir agus easpa slándála. Meascán iontach!
Cad ba cheart dom a dhéanamh?
Is í an chéim is soiléire agus is suntasaí ná athbhreithniú a dhéanamh ar do bheartas reatha um ródú. Bris do spás seolta isteach sna smután is lú (gan aon fhorluí) ar mhaith leat a fhógairt. Sínigh ROA dóibh amháin, gan úsáid a bhaint as an paraiméadar maxLength. Sa chás seo, is féidir le do POV reatha tú a shábháil ó ionsaí den sórt sin. Mar sin féin, arís, i gcás roinnt oibreoirí, níl an cur chuige seo réasúnta mar gheall ar úsáid eisiach bealaí níos sainiúla. Déanfar cur síos ar gach fadhb le staid reatha ROA agus réada bealaigh i gceann dár n-ábhar amach anseo.
Ina theannta sin, is féidir leat iarracht a dhéanamh monatóireacht a dhéanamh ar idirghabhálacha den sórt sin. Chun seo a dhéanamh, teastaíonn faisnéis iontaofa uainn faoi do réimíreanna. Mar sin, má bhunaíonn tú seisiún BGP lenár mbailitheoir agus má chuireann tú faisnéis ar fáil dúinn faoi d’infheictheacht Idirlín, is féidir linn an scóip le haghaidh teagmhais eile a aimsiú. Dóibh siúd nach bhfuil ceangailte go fóill lenár gcóras monatóireachta, ar an gcéad dul síos, is leor liosta bealaí a bhfuil do réimíreanna acu amháin. Má tá seisiún agat linn, seiceáil le do thoil go bhfuil do bhealaí go léir seolta. Ar an drochuair, is fiú cuimhneamh air seo toisc go ndéanann roinnt oibreoirí dearmad ar réimír nó dhó agus mar sin go gcuireann siad isteach ar ár modhanna cuardaigh. Má dhéantar i gceart é, beidh sonraí iontaofa againn faoi do réimíreanna, a chabhróidh linn an cineál seo (agus cineálacha eile) idirghabhála tráchta a aithint agus a bhrath go huathoibríoch do do spás seoltaí.
Má thagann tú ar an eolas faoi thascaireacht den sórt sin ar do thrácht i bhfíor-am, is féidir leat iarracht a dhéanamh é féin a fhrithghníomhú. Is é an chéad chur chuige ná bealaí a fhógairt tú féin leis na réimíreanna níos sainiúla seo. I gcás ionsaí nua ar na réimíreanna seo, déan arís.
Is é an dara cur chuige ná pionós a ghearradh ar an ionsaitheoir agus orthu siúd a bhfuil sé ina phointe ríthábhachtach (le haghaidh bealaí maithe) trí rochtain do bhealaí chuig an ionsaitheoir a ghearradh amach. Is féidir é seo a dhéanamh trí ASN an ionsaitheora a chur le AS_PATH do sheanbhealaí agus mar sin iallach a chur orthu an AS sin a sheachaint ag baint úsáide as meicníocht braite lúb ionsuite in BGP .
Foinse: will.com