13 mas pou gwoup travay anti-abi RIPE konsidere vòl BGP (hjjack) kòm yon vyolasyon politik RIPE. Si yo te aksepte pwopozisyon an, founisè Entènèt la atake pa entèsepsyon trafik ta gen opòtinite pou voye yon demann espesyal pou ekspoze atakè a. Si ekip revizyon an te kolekte ase prèv sipò, LIR ki te sous entèsepte BGP a ta konsidere kòm yon entrigan epi yo ta ka retire estati LIR li. Te gen kèk diskisyon tou chanjman.
Nan piblikasyon sa a nou vle montre yon egzanp yon atak kote pa sèlman reyèl atakè a te an kesyon, men tou lis la tout antye de prefiks ki afekte yo. Anplis, yon atak konsa ankò soulve kesyon sou rezon pou entèsepsyon nan lavni nan kalite trafik sa a.
Pandan de ane ki sot pase yo, sèlman konfli tankou MOAS (Multiple Orijin Otonòm System) yo te kouvri nan laprès la kòm entèsepsyon BGP. MOAS se yon ka espesyal kote de diferan sistèm otonòm fè piblisite pou prefiks konfli ak ASN ki koresponn nan AS_PATH (premye ASN nan AS_PATH, ki rele ASN orijin). Sepandan, nou ka nonmen omwen entèsepsyon trafik, ki pèmèt yon atakè manipile atribi AS_PATH la pou plizyè rezon, tankou kontoune apwòch modèn nan filtraj ak siveyans. Kalite atak li te ye - dènye kalite entèsepsyon sa yo, men se pa nan tout enpòtans. Li se byen posib ke sa a se egzakteman kalite atak nou te wè nan semèn ki sot pase yo. Yon evènman konsa gen yon nati konprann ak konsekans byen grav.
Moun k ap chèche TL;DR vèsyon an ka woule sou "Atak pafè" la.
Rezo background
(pou ede w pi byen konprann pwosesis ki enplike nan ensidan sa a)
Si ou vle voye yon pake epi ou gen plizyè prefiks nan tablo routage ki gen adrès IP destinasyon an, Lè sa a, w ap itilize wout la pou prefiks ki gen longè ki pi long la. Si gen plizyè wout diferan pou menm prefiks nan tablo routage a, ou pral chwazi youn nan pi bon (dapre mekanis seleksyon chemen an).
Apwòch filtraj ak siveyans ki egziste deja eseye analize wout epi pran desizyon lè yo analize atribi AS_PATH la. Routeur a ka chanje atribi sa a nan nenpòt ki valè pandan reklam. Senpleman ajoute ASN pwopriyetè a nan kòmansman AS_PATH (tankou ASN orijin) ka ase pou kontoune mekanis tcheke orijin aktyèl la. Anplis, si gen yon wout ki soti nan ASN atake a pou rive ou, li vin posib pou ekstrè epi itilize AS_PATH wout sa a nan lòt piblisite ou yo. Nenpòt chèk validation AS_PATH sèlman pou anons ou yo pral pase finalman.
Genyen toujou kèk limit ki merite mansyone. Premyèman, nan ka ta gen filtraj prefiks pa founisè a en, wout ou a ka toujou filtre (menm avèk AS_PATH ki kòrèk la) si prefiks la pa fè pati kòn kliyan ou configuré nan en a. Dezyèmman, yon AS_PATH ki valab ka vin envalid si yo anonse wout kreye a nan direksyon ki pa kòrèk epi, kidonk, li vyole règleman sou wout la. Anfen, nenpòt wout ki gen yon prefiks ki vyole longè ROA a ka konsidere kòm valab.
Ensidan
Sa gen kèk semèn, nou te resevwa yon plent nan men youn nan itilizatè nou yo. Nou te wè wout ki gen orijin li ASN ak /25 prefiks, pandan ke itilizatè a te deklare ke li pa t fè piblisite yo.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
Egzanp anons pou kòmansman mwa avril 2019 la
NTT nan chemen an pou /25 prefiks fè li espesyalman sispèk. LG NTT pa t konnen wout sa a nan moman ensidan an. Se konsa, wi, kèk operatè kreye tout yon AS_PATH pou prefiks sa yo! Tcheke sou lòt routeurs revele yon ASN patikilye: AS263444. Apre nou fin gade lòt wout ak sistèm otonòm sa a, nou te rankontre sitiyasyon sa a:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
Eseye devine sa ki mal isit la
Li sanble ke yon moun te pran prefiks nan wout la, divize li an de pati, epi li te anonse wout la ak menm AS_PATH pou de prefiks sa yo.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
Egzanp wout pou youn nan pè prefiks divize
Plizyè kesyon leve an menm tan. Èske gen moun ki aktyèlman eseye kalite entèsepsyon sa a nan pratik? Èske gen moun ki pran wout sa yo? Ki prefiks ki te afekte?
Sa a se kote seri echèk nou an kòmanse ak ankò yon lòt wonn nan desepsyon ak eta aktyèl la nan sante entènèt la.
Chemen echèk la
Premye bagay an premye. Ki jan nou ka detèmine ki routeurs ki aksepte wout entèsepte sa yo ak kilès trafik yo ta ka reroute jodi a? Nou te panse nou ta kòmanse ak /25 prefiks paske yo "tou senpleman pa ka gen distribisyon mondyal." Kòm ou ka devine, nou te trè mal. Metrik sa a te vin twò fè bwi ak wout ki gen prefiks sa yo ka parèt menm nan operatè Tier-1. Pou egzanp, NTT gen apeprè 50 prefiks sa yo, ke li distribye bay pwòp kliyan li yo. Nan lòt men an, metrik sa a se move paske prefiks sa yo ka filtre deyò si operatè a itilize , nan tout direksyon. Se poutèt sa, metòd sa a pa apwopriye pou jwenn tout operatè ki gen trafik yo te redireksyon kòm yon rezilta nan yon ensidan konsa.
Yon lòt bon lide nou te panse se te gade . Espesyalman pou wout ki vyole règ maxLength ROA ki koresponn lan. Nan fason sa a nou te kapab jwenn kantite diferan ASN orijin ak estati Envalid ki te vizib nan yon AS bay yo. Sepandan, gen yon "ti" pwoblèm. Mwayèn (medyan ak mòd) nimewo sa a (kantite ASN diferan orijin yo) se anviwon 150 e, menm si nou filtre ti prefiks, li rete pi wo pase 70. Eta sa a gen yon eksplikasyon trè senp: gen sèlman yon kèk operatè ki deja itilize ROA-filtè ak yon politik "reset Invalid routes" nan pwen antre yo, pou nenpòt kote yon wout ki gen yon vyolasyon ROA parèt nan mond reyèl la, li ka pwopaje nan tout direksyon.
De dènye apwòch yo pèmèt nou jwenn operatè ki te wè ensidan nou an (depi li te byen gwo), men an jeneral yo pa aplikab. Oke, men èske nou ka jwenn entrigan an? Ki karakteristik jeneral manipilasyon AS_PATH sa a? Gen kèk sipozisyon debaz:
- Prefiks la pa te wè okenn kote anvan;
- Orijin ASN (rapèl: premye ASN nan AS_PATH) valab;
- Dènye ASN nan AS_PATH se ASN atakè a (nan ka vwazen li tcheke ASN vwazen an sou tout wout k ap rantre);
- Atak la soti nan yon sèl founisè.
Si tout sipozisyon yo kòrèk, Lè sa a, tout wout ki pa kòrèk yo pral prezante ASN atakè a (eksepte ASN orijin) epi, kidonk, sa a se yon pwen "kritik". Pami vrè kidnape avyon yo te AS263444, byenke te gen lòt. Menm lè nou jete wout ensidan yo nan konsiderasyon. Poukisa? Yon pwen kritik ka rete kritik menm pou wout ki kòrèk. Li ka swa rezilta a nan koneksyon pòv nan yon rejyon oswa limit nan vizibilite pwòp pa nou.
Kòm yon rezilta, gen yon fason yo detekte yon atakè, men sèlman si tout kondisyon ki anwo yo satisfè epi sèlman lè entèsepsyon an gwo ase yo pase papòt yo siveyans. Si kèk nan faktè sa yo pa satisfè, Lè sa a, èske nou ka idantifye prefiks yo ki te soufri nan entèsepsyon sa yo? Pou sèten operatè - wi.
Lè yon atakè kreye yon wout ki pi espesifik, tankou yon prefiks pa fè piblisite pa pwopriyetè a vre. Si ou gen yon lis dinamik nan tout prefiks li yo soti nan li, Lè sa a, li vin posib fè yon konparezon ak jwenn defòme wout ki pi espesifik. Nou kolekte lis prefiks sa yo lè l sèvi avèk sesyon BGP nou yo, paske yo ba nou non sèlman lis konplè wout vizib pou operatè a kounye a, men tou, yon lis tout prefiks li vle fè piblisite nan mond lan. Malerezman, gen kounye a plizyè douzèn itilizatè rada ki pa ranpli dènye pati a kòrèkteman. Nou pral fè yo konnen yon ti tan epi eseye rezoud pwoblèm sa a. Tout lòt moun ka rantre nan sistèm siveyans nou an kounye a.
Si nou retounen nan ensidan orijinal la, tou de atakè a ak zòn distribisyon an te detekte pa nou nan rechèch pou pwen kritik. Surprenante, AS263444 pa t 'voye fabrike wout bay tout kliyan li yo. Malgre ke gen yon moman etranje.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
Yon egzanp resan yon tantativ pou entèsepte espas adrès nou an
Lè yo te kreye pi espesifik pou prefiks nou yo, yo te itilize yon AS_PATH ki te kreye espesyalman. Sepandan, AS_PATH sa a pa t 'kapab pran nan okenn nan wout anvan nou yo. Nou pa menm gen kominikasyon ak AS6762. Gade nan lòt wout yo nan ensidan an, kèk nan yo te gen yon reyèl AS_PATH ki te deja itilize, pandan ke lòt moun pa t ', menm si li sanble ak yon sèl la reyèl. Chanje AS_PATH anplis pa fè okenn sans pratik, paske trafik la pral redireksyon sou atakè a de tout fason, men wout ki gen yon "move" AS_PATH ka filtre pa ASPA oswa nenpòt lòt mekanis enspeksyon. Isit la nou panse osijè de motivasyon kidnape avyon an. Kounye a nou pa gen ase enfòmasyon pou konfime ke ensidan sa a se te yon atak te planifye. Men, li posib. Ann eseye imajine, byenke toujou ipotetik, men potansyèlman byen reyèl, yon sitiyasyon.
Atak pafè
Kisa nou genyen? Ann di ou se yon founisè transpò piblik k ap difize wout pou kliyan ou yo. Si kliyan ou yo gen plizyè prezans (multihome), Lè sa a, ou pral resevwa sèlman yon pati nan trafik yo. Men, plis trafik, plis revni ou. Kidonk, si w kòmanse fè piblisite sou prefiks sou-rezo nan menm wout sa yo ak menm AS_PATH la, w ap resevwa rès trafik yo. Kòm yon rezilta, rès lajan an.
Èske ROA ede isit la? Petèt wi, si ou deside sispann sèvi ak li nèt . Anplis de sa, li trè endezirab gen dosye ROA ak prefiks kwaze. Pou kèk operatè, restriksyon sa yo pa akseptab.
Lè nou konsidere lòt mekanis sekirite routage, ASPA pa pral ede nan ka sa a tou (paske li itilize AS_PATH soti nan yon wout ki valab). BGPSec se toujou pa yon opsyon optimal akòz to adopsyon ki ba ak posiblite ki rete pou atak degrade.
Se konsa, nou gen yon benefis klè pou atakè a ak yon mank de sekirite. Gwo melanj!
Kisa mwen ta dwe fè?
Etap ki evidan ak pi radikal la se revize politik routage ou ye kounye a. Kraze espas adrès ou an pi piti moso (pa gen sipèpoze) ke ou vle fè piblisite. Siyen ROA pou yo sèlman, san yo pa itilize paramèt maxLength la. Nan ka sa a, POV ou ye kounye a ka sove ou soti nan yon atak konsa. Sepandan, ankò, pou kèk operatè apwòch sa a pa rezonab akòz itilizasyon eksklizif nan wout ki pi espesifik. Tout pwoblèm ak eta aktyèl la nan ROA ak objè wout yo pral dekri nan youn nan materyèl lavni nou yo.
Anplis de sa, ou ka eseye kontwole entèsepsyon sa yo. Pou fè sa, nou bezwen enfòmasyon serye sou prefiks ou yo. Kidonk, si ou etabli yon sesyon BGP ak pèseptè nou an epi ba nou enfòmasyon sou vizibilite entènèt ou, nou ka jwenn sijè ki abòde lan pou lòt ensidan. Pou moun ki poko konekte ak sistèm siveyans nou an, pou kòmanse, yon lis wout sèlman ak prefiks ou yo pral ase. Si ou gen yon sesyon avèk nou, tanpri tcheke si tout wout ou yo te voye. Malerezman, sa a vo sonje paske kèk operatè bliye yon prefiks oswa de epi konsa entèfere ak metòd rechèch nou an. Si w fè sa kòrèkteman, n ap gen done serye sou prefiks ou yo, ki pral ede nou otomatikman idantifye ak detekte kalite entèsepsyon trafik sa a (ak lòt) pou espas adrès ou.
Si ou vin okouran de yon entèsepsyon konsa nan trafik ou an tan reyèl, ou ka eseye kontrekare li tèt ou. Premye apwòch la se fè piblisite wout ak prefiks pi espesifik sa yo tèt ou. Nan ka yon nouvo atak sou prefiks sa yo, repete.
Dezyèm apwòch la se pini atakè a ak moun ki pou li se yon pwen kritik (pou bon wout) pa koupe aksè nan wout ou yo nan atakè a. Sa a ka fè lè w ajoute ASN atakè a nan AS_PATH nan ansyen wout ou yo epi konsa fòse yo pou fè pou evite ke AS lè l sèvi avèk mekanis deteksyon bouk entegre nan BGP. .
Sous: www.habr.com