13 Màrt gu buidheann obrach an-aghaidh droch dhìol RIPE beachdachadh air gabhail BGP (hjjack) mar bhriseadh air poileasaidh RIPE. Ma thèid gabhail ris a’ mholadh, bhiodh cothrom aig an t-solaraiche eadar-lìn air an tug e ionnsaigh le eadar-theachd trafaic iarrtas sònraichte a chuir a-steach gus an neach-ionnsaigh a nochdadh. Nan cruinnicheadh an sgioba ath-bhreithneachaidh fianais taiceil gu leòr, bhiodh an LIR a bha na thùs air an eadar-ghearradh BGP air a mheas mar neach-ionnsaigh agus dh’ fhaodadh an inbhe LIR aca a thoirt air falbh. Bha beagan argamaidean ann cuideachd atharraichean.
Anns an fhoillseachadh seo tha sinn airson eisimpleir de ionnsaigh a shealltainn far nach e a-mhàin an fhìor neach-ionnsaigh a bha fo cheist, ach cuideachd an liosta iomlan de ro-leasachain air an tug e buaidh. A bharrachd air an sin, tha ionnsaigh mar seo a-rithist a’ togail cheistean mu na h-adhbharan airson eadar-bheachdan den t-seòrsa trafaic seo san àm ri teachd.
Thairis air an dà bhliadhna a dh’ fhalbh, cha deach ach còmhstrithean leithid MOAS (Siostam Fèin-riaghlaidh Ioma Thùs) a chòmhdach anns na meadhanan mar eadar-bheachdan BGP. Is e cùis shònraichte a th’ ann am MOAS far a bheil dà shiostam fèin-riaghailteach eadar-dhealaichte a’ sanasachadh ro-leasachan connspaideach le ASNan co-fhreagarrach ann an AS_PATH (a’ chiad ASN ann an AS_PATH, ris an canar an-seo ASN tùs). Ach, faodaidh sinn ainmeachadh co-dhiù eadar-ghabhail trafaic, a’ leigeil le neach-ionnsaigh am feart AS_PATH a làimhseachadh airson diofar adhbharan, a’ gabhail a-steach a bhith a’ dol seachad air dòighean-obrach ùr-nodha a thaobh sìoladh agus sgrùdadh. Seòrsa ionnsaigh aithnichte - an seòrsa mu dheireadh de leithid de eadar-bheachd, ach chan eil e idir cho cudromach. Tha e gu math comasach gur e seo dìreach an seòrsa ionnsaigh a chunnaic sinn thairis air na beagan sheachdainean a dh’ fhalbh. Tha nàdar so-thuigsinn aig tachartas mar seo agus builean gu math dona.
Faodaidh an fheadhainn a tha a’ coimhead airson an dreach TL; DR gluasad chun fho-thiotal “Perfect Attack”.
Cùl-fhiosrachadh lìonraidh
(gus do chuideachadh le bhith a’ tuigsinn nam pròiseasan a tha na lùib san tachartas seo)
Ma tha thu airson pasgan a chuir agus gu bheil grunn ro-leasachain agad anns a’ chlàr seòlaidh anns a bheil an seòladh IP ceann-uidhe, cleachdaidh tu an t-slighe airson an ro-leasachan leis an fhaid as fhaide. Ma tha grunn shlighean eadar-dhealaichte ann airson an aon ro-leasachan anns a 'chlàr slighe, taghaidh tu am fear as fheàrr (a rèir an dòigh taghaidh slighe as fheàrr).
Bidh dòighean sìolaidh is sgrùdaidh a th’ ann mar-thà a’ feuchainn ri slighean a sgrùdadh agus co-dhùnaidhean a dhèanamh le bhith a’ dèanamh anailis air buadhan AS_PATH. Faodaidh an router am feart seo atharrachadh gu luach sam bith rè sanas. Is dòcha gum bi e gu leòr dìreach a bhith a’ cur ASN an t-sealbhadair aig toiseach AS_PATH (mar an tùs ASN) gus faighinn seachad air dòighean sgrùdaidh tùs gnàthach. A bharrachd air an sin, ma tha slighe ann bhon ASN air an tug thu ionnsaigh, bidh e comasach AS_PATH den t-slighe seo a thoirt a-mach agus a chleachdadh anns na sanasan eile agad. Thèid sgrùdadh dearbhaidh AS_PATH a-mhàin airson na sanasan ciùird agad seachad mu dheireadh.
Tha cuid de chuingealachaidhean ann fhathast as fhiach iomradh a thoirt orra. An toiseach, air eagal ‘s gum bi an solaraiche shuas an abhainn a’ sìoladh ro-leasachan, faodaidh gum bi an t-slighe agad fhathast air a shìoladh (eadhon leis an AS_PATH ceart) mura buin an ro-leasachan don chòn teachdaiche agad a chaidh a rèiteachadh aig an ìre shuas. San dàrna h-àite, faodaidh AS_PATH dligheach a bhith neo-dhligheach ma tha an t-slighe a chaidh a chruthachadh air a shanasachadh ann an treòrachadh ceàrr agus, mar sin, a’ briseadh a’ phoileasaidh slighe. Mu dheireadh, faodar slighe sam bith le ro-leasachan a bhriseas fad ROA a mheas neo-dhligheach.
Tachartas
O chionn beagan sheachdainean fhuair sinn gearan bho aon den luchd-cleachdaidh againn. Chunnaic sinn slighean leis an tùs ASN agus /25 ro-leasachan aige, agus thuirt an neach-cleachdaidh nach do chuir e sanas orra.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
Eisimpleirean de sanasan airson toiseach a’ Ghiblein 2019
Tha NTT san t-slighe airson an ro-leasachan /25 ga fhàgail gu sònraichte amharasach. Cha robh LG NTT mothachail air an t-slighe seo aig àm na thachair. Mar sin tha, bidh cuid de ghnìomhaiche a’ cruthachadh AS_PATH slàn airson na ro-leasachain sin! Le bhith a’ sgrùdadh routers eile nochdaidh aon ASN sònraichte: AS263444. Às deidh dhuinn coimhead air slighean eile leis an t-siostam fèin-riaghailteach seo, thachair sinn ris an t-suidheachadh a leanas:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
Feuch ri tomhas dè tha ceàrr an seo
Tha e coltach gun do ghabh cuideigin an ro-leasachan bhon t-slighe, ga roinn ann an dà phàirt, agus air an t-slighe a shanasachadh leis an aon AS_PATH airson an dà ro-leasachan sin.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
Slighean eisimpleir airson aon de na paidhrichean ro-leasachan roinnte
Bidh grunn cheistean ag èirigh aig an aon àm. A bheil duine dha-rìribh air feuchainn ris an t-seòrsa eadar-theachd seo ann an cleachdadh? An do ghabh duine na slighean seo? Dè na ro-leasachain air an robh buaidh?
Seo far a bheil an sreath fàilligidhean againn a’ tòiseachadh agus cuairt eile de bhriseadh-dùil le staid slàinte an eadar-lìn an-dràsta.
An t-slighe fàilligeadh
A’ chiad rudan an-toiseach. Ciamar a gheibh sinn a-mach dè na routers a ghabh ris na slighean eadar-ghluasaid sin agus cò an trafaic a dh’ fhaodadh a bhith air a chuir air ais an-diugh? Bha sinn den bheachd gun tòisicheadh sinn le /25 ro-leasachan oir “dìreach chan urrainn dhaibh cuairteachadh cruinneil a bhith aca.” Mar a shaoileadh tu, bha sinn gu math ceàrr. Bha am meatrach seo ro fhuaimneach agus faodaidh slighean le ro-leasachain mar sin nochdadh eadhon bho ghnìomhaichean Tier-1. Mar eisimpleir, tha timcheall air 50 ro-leasachain mar sin aig NTT, a bhios e a’ sgaoileadh don luchd-dèiligidh aca fhèin. Air an làimh eile, tha an meatrach seo dona oir faodar ro-leasachain mar sin a shìoladh a-mach ma chleachdas an gnìomhaiche , air gach taobh. Mar sin, chan eil an dòigh seo freagarrach airson a h-uile gnìomhaiche a lorg a chaidh an trafaic ath-stiùireadh mar thoradh air tachartas mar sin.
B’ e deagh bheachd eile a bha sinn a’ smaoineachadh a bhith a’ coimhead . Gu sònraichte airson slighean a tha a’ dol an aghaidh riaghailt maxLength an ROA co-fhreagarrach. San dòigh seo b’ urrainn dhuinn an àireamh de dhiofar thùsan ASN a lorg le inbhe Neo-dhligheach a bha rim faicinn air AS sònraichte. Ach, tha duilgheadas "beag" ann. Tha cuibheasachd (meadhanach agus modh) na h-àireimh seo (an àireamh de ASN bho thùs eadar-dhealaichte) timcheall air 150 agus, eadhon ged a shìoladh sinn a-mach ro-leasachan beaga, tha e fhathast os cionn 70. Tha mìneachadh gu math sìmplidh aig an t-suidheachadh seo: chan eil ann ach a glè bheag de ghnìomhaichean a tha mar-thà a’ cleachdadh sìoltachain ROA le poileasaidh “ath-shuidheachadh slighean neo-dhligheach” aig puingean inntrigidh, gus am bi slighe le briseadh ROA a’ nochdadh san fhìor shaoghal, gun urrainn dha gluasad air gach taobh.
Leigidh an dà dhòigh-obrach mu dheireadh leinn gnìomhaichean a lorg a chunnaic an tachartas againn (leis gu robh e gu math mòr), ach san fharsaingeachd chan eil iad iomchaidh. Ceart gu leòr, ach an lorg sinn an neach-ionnsaigh? Dè na feartan coitcheann a tha aig an làimhseachadh AS_PATH seo? Tha beagan bheachdan bunaiteach ann:
- Cha robh an ro-leasachan air fhaicinn an àite sam bith roimhe;
- Tha tùs ASN (cuimhneachan: a’ chiad ASN ann an AS_PATH) dligheach;
- Is e an ASN mu dheireadh ann an AS_PATH ASN an neach-ionnsaigh (gun fhios nach dèan a nàbaidh sgrùdadh air ASN an nàbaidh air a h-uile slighe a-steach);
- Tha an ionnsaigh a’ tighinn bho aon sholaraiche.
Ma tha a h-uile barail ceart, bheir a h-uile slighe ceàrr seachad ASN an neach-ionnsaigh (ach a-mhàin an tùs ASN) agus, mar sin, is e puing “deatamach” a tha seo. Am measg an fhìor luchd-glacaidh bha AS263444, ged a bha feadhainn eile ann. Fiù ‘s nuair a chuir sinn air falbh na slighean tachartais bho bhith beachdachadh. Carson? Is dòcha gum bi puing èiginneach fhathast deatamach eadhon airson slighean ceart. Faodaidh e a bhith mar thoradh air droch cheangal ann an sgìre no mar thoradh air crìochan ar faicsinneachd fhèin.
Mar thoradh air an sin, tha dòigh ann neach-ionnsaigh a lorg, ach dìreach ma thèid na cumhaichean gu h-àrd a choileanadh agus dìreach nuair a tha an eadar-ghearradh mòr gu leòr airson a dhol seachad air na stairsnich sgrùdaidh. Mura tèid coinneachadh ri cuid de na factaran sin, an aithnich sinn na ro-leasachain a dh’ fhuiling le leithid de eadar-ghuidhe? Airson cuid de ghnìomhaichean - tha.
Nuair a chruthaicheas neach-ionnsaigh slighe nas sònraichte, chan eil an ro-leasachan sin air a shanasachadh leis an fhìor neach-seilbh. Ma tha liosta fiùghantach agad de na ro-leasachain gu lèir bhuaithe, bidh e comasach coimeas a dhèanamh agus slighean nas mionaidiche a lorg. Bidh sinn a’ cruinneachadh an liosta seo de ro-leasachain a’ cleachdadh ar seiseanan BGP, oir tha sinn a’ faighinn chan e a-mhàin an làn liosta de shlighean a tha rim faicinn don ghnìomhaiche an-dràsta, ach cuideachd liosta de na ro-leasachain gu lèir a tha e airson a shanasachadh don t-saoghal. Gu mì-fhortanach, tha grunn dhusan neach-cleachdaidh Radar ann a-nis nach eil a 'crìochnachadh a' phàirt mu dheireadh gu ceart. Cuiridh sinn fios thuca a dh’ aithghearr agus feuchaidh sinn ris a’ chùis seo fhuasgladh. Faodaidh a h-uile duine eile a dhol còmhla ris an t-siostam sgrùdaidh againn an-dràsta.
Ma thilleas sinn chun tachartas tùsail, lorg sinn an dà chuid an neach-ionnsaigh agus an raon cuairteachaidh le bhith a’ lorg puingean èiginneach. Gu h-iongantach, cha do chuir AS263444 slighean dèanta chun a h-uile neach-dèiligidh. Ged a tha àm coigreach ann.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
Eisimpleir o chionn ghoirid de oidhirp gus ar n-àite seòlaidh a ghlacadh
Nuair a chaidh feadhainn nas mionaidiche a chruthachadh airson na ro-leasachain againn, chaidh AS_PATH a chaidh a chruthachadh gu sònraichte a chleachdadh. Ach, cha b' urrainn dhuinn an AS_PATH seo a thoirt bho na slighean a bh' againn roimhe. Chan eil eadhon conaltradh againn le AS6762. A 'coimhead air na slighean eile san tachartas, bha fìor AS_PATH aig cuid dhiubh a chaidh a chleachdadh roimhe, agus cuid eile nach robh, eadhon ged a tha e coltach ris an fhìor fhear. Chan eil atharrachadh AS_PATH cuideachd a’ dèanamh ciall practaigeach sam bith, oir thèid an trafaic ath-stiùireadh chun neach-ionnsaigh co-dhiù, ach faodar slighean le AS_PATH “dona” a shìoladh le ASPA no inneal sgrùdaidh sam bith eile. An seo tha sinn a 'smaoineachadh mu bhrosnachadh an hijacker. Chan eil fiosrachadh gu leòr againn an-dràsta gus dearbhadh gur e ionnsaigh dealbhaichte a bha san tachartas seo. A dh'aindeoin sin, tha e comasach. Feuchaidh sinn ri smaoineachadh, ged a tha e fhathast beachd-bharail, ach a dh’ fhaodadh a bhith gu math fìor, suidheachadh.
Ionnsaigh foirfe
Dè th' againn? Canaidh sinn gu bheil thu nad sholaraiche tar-chuir slighean craolaidh airson do luchd-dèiligidh. Ma tha ioma-làthaireachd aig do luchd-dèiligidh (ioma-dachaigh), chan fhaigh thu ach pàirt den trafaic aca. Ach mar as motha an trafaic, is ann as motha a bhios do theachd a-steach. Mar sin ma thòisicheas tu a’ sanasachadh ro-leasachan subnet de na h-aon shlighean sin leis an aon AS_PATH, gheibh thu an còrr den trafaic aca. Mar thoradh air an sin, tha an còrr den airgead.
An cuidich ROA an seo? Is dòcha gu bheil, ma cho-dhùnas tu stad a chleachdadh gu tur . A bharrachd air an sin, tha e gu math mì-mhiannach clàran ROA a bhith agad le ro-leasachain eadar-dhealaichte. Airson cuid de ghnìomhaichean, chan eil gabhail ris a leithid de chuingealachaidhean.
A’ beachdachadh air dòighean tèarainteachd slighe eile, cha chuidich ASPA sa chùis seo nas motha (seach gu bheil e a’ cleachdadh AS_PATH bho shlighe dhligheach). Chan eil BGPSec fhathast mar an roghainn as fheàrr air sgàth ìrean uchd-mhacachd ìosal agus an comas a tha air fhàgail de dh’ ionnsaighean ìsleachadh.
Mar sin tha buannachd shoilleir againn don neach-ionnsaigh agus dìth tèarainteachd. Measgachadh sgoinneil!
Dè bu chòir dhomh a dhèanamh?
Is e an ceum follaiseach agus as dorra ath-sgrùdadh a dhèanamh air a’ phoileasaidh slighe gnàthach agad. Dèan briseadh air an àite seòlaidh agad gu na pìosan as lugha (gun a bhith a’ dol thairis air) a tha thu airson a shanasachadh. Soidhnig ROA dhaibh a-mhàin, gun a bhith a’ cleachdadh am paramadair maxLength. Anns a 'chùis seo, faodaidh an POV gnàthach agad do shàbhaladh bho ionnsaigh mar sin. Ach, a-rithist, airson cuid de ghnìomhaichean chan eil an dòigh-obrach seo reusanta air sgàth 's gu bheil slighean nas sònraichte gan cleachdadh. Thèid a h-uile duilgheadas le staid làithreach ROA agus nithean slighe a mhìneachadh ann an aon de na stuthan againn san àm ri teachd.
A bharrachd air an sin, faodaidh tu feuchainn ri sùil a chumail air leithid de bheachdan. Gus seo a dhèanamh, feumaidh sinn fiosrachadh earbsach mu na ro-leasachain agad. Mar sin, ma stèidhicheas tu seisean BGP leis an neach-cruinneachaidh againn agus ma bheir thu dhuinn fiosrachadh mun fhaicsinneachd eadar-lìn agad, gheibh sinn cothrom airson tachartasan eile. Dhaibhsan nach eil fhathast ceangailte ris an t-siostam sgrùdaidh againn, an toiseach, bidh liosta de shlighean a-mhàin leis na ro-leasachain agad gu leòr. Ma tha seisean agad leinn, feuch an dèan thu cinnteach gu bheil na slighean agad uile air an cur. Gu mì-fhortanach, is fhiach cuimhneachadh air seo leis gu bheil cuid de ghnìomhaichean a’ dìochuimhneachadh ro-leasachan no dhà agus mar sin a’ cur bacadh air na dòighean sgrùdaidh againn. Ma thèid a dhèanamh ceart, bidh dàta earbsach againn mu na ro-leasachain agad, a chuidicheas sinn san àm ri teachd gus an seòrsa eadar-ghabhail trafaic seo (agus eile) aithneachadh agus a lorg airson an àite seòlaidh agad.
Ma dh ’fhàsas tu mothachail air a leithid de eadar-ghabhail den trafaic agad ann an àm fìor, faodaidh tu feuchainn ri cuir an aghaidh thu fhèin. Is e a’ chiad dòigh-obrach a bhith a’ sanasachadh shlighean leis na ro-leasachain nas sònraichte sin thu fhèin. Ma thachras ionnsaigh ùr air na ro-leasachain sin, cuir a-rithist.
Is e an dàrna dòigh-obrach a bhith a’ peanasachadh an neach-ionnsaigh agus an fheadhainn dha bheil e na phuing èiginneach (airson slighean math) le bhith a’ gearradh air falbh ruigsinneachd do shlighean chun neach-ionnsaigh. Faodar seo a dhèanamh le bhith a’ cur ASN an neach-ionnsaigh ris an AS_PATH de na seann shlighean agad agus mar sin thoir orra an AS sin a sheachnadh a’ cleachdadh an uidheamachd lorg lùb togte ann am BGP .
Source: www.habr.com