Maachị 13 ga-agara ndị otu na-arụ ọrụ mgbochi mmegbu RIPE tụlee ikwado BGP (hjjack) dị ka mmebi nke iwu RIPE. Ọ bụrụ na anabatara atụmatụ a, onye na-ahụ maka ịntanetị wakporo site na nkwụsị okporo ụzọ ga-enwe ohere izipu arịrịọ pụrụ iche iji kpughee onye na-awakpo ahụ. Ọ bụrụ na ndị otu nyocha ahụ chịkọtara ihe akaebe nkwado zuru oke, LIR bụ isi mmalite nke nkwụchi BGP ga-ewere ya dị ka onye wakporo ma nwee ike iwepụ ọkwa LIR ya. E nwekwara arụmụka ụfọdụ mgbanwe.
N'akwụkwọ a, anyị chọrọ igosi ihe atụ nke mwakpo ebe ọ bụghị naanị onye na-awakpo ahụ nọ na ajụjụ, kamakwa ndepụta niile nke prefixes emetụtara. Ọzọkwa, mwakpo dị otú ahụ na-ewelitekwa ajụjụ ọzọ banyere ebumnobi maka nnyonye anya n'ọdịnihu nke ụdị okporo ụzọ a.
N'ime afọ ole na ole gara aga, ọ bụ naanị esemokwu dị ka MOAS (Multiple Origin Autonomous System) ka ekpuchirila n'ime akwụkwọ akụkọ dịka ntinye aka BGP. MOAS bụ ikpe pụrụ iche ebe sistemụ abụọ kwụụrụ onwe ha na-akpọsa prefixes na-emegiderịta onwe ya na ASN kwekọrọ na AS_PATH (ASN mbụ na AS_PATH, nke a na-akpọkwa ya dị ka mmalite ASN). Agbanyeghị, anyị nwere ike ịkpọ ma ọ dịkarịa ala nkwụsị okporo ụzọ, na-enye onye na-awakpo ohere ịchịkwa njirimara AS_PATH maka ebumnuche dị iche iche, gụnyere ịgafe ụzọ ọgbara ọhụrụ maka nzacha na nlekota. Ụdị ọgụ ama ama - ụdị ikpeazụ nke nkwụsị dị otú ahụ, ma ọ bụghị ma ọlị dị mkpa. Ọ ga-ekwe omume na nke a bụ kpọmkwem ụdị mwakpo anyị hụworo n'ime izu gara aga. Ihe omume dị otú ahụ nwere ọdịdị a na-aghọta nke ọma na nsonaazụ dị njọ.
Ndị na-achọ ụdị TL;DR nwere ike pịgharịa gaa na ndepụta okwu "Perfect Attack".
Nzụlite netwọkụ
(iji nyere gị aka ịghọta usoro ndị metụtara ihe omume a nke ọma)
Ọ bụrụ na ịchọrọ izipu ngwugwu ma ị nwere ọtụtụ prefixes na tebụl ntụgharị nwere adreesị IP ebe ị na-aga, mgbe ahụ ị ga-eji ụzọ maka prefix nwere ogologo ogologo. Ọ bụrụ na enwere ọtụtụ ụzọ dị iche iche maka otu prefix na tebụl ntụgharị, ị ga-ahọrọ nke kachasị mma (dị ka usoro nhọrọ ụzọ kacha mma si dị).
Ụzọ nzacha na nleba anya dị adị na-anwa inyocha ụzọ wee mee mkpebi site na nyocha njirimara AS_PATH. Ndị rawụta nwere ike ịgbanwe njirimara a na uru ọ bụla n'oge mgbasa ozi. Naanị ịgbakwunye ASN onye nwe ya na mbido AS_PATH (dịka mmalite ASN) nwere ike zuo oke iji gafere usoro nyocha mmalite ugbu a. Ọzọkwa, ọ bụrụ na e nwere ụzọ sitere na ASN wakporo nye gị, ọ ga-ekwe omume iwepụta ma jiri AS_PATH nke ụzọ a na mgbasa ozi gị ndị ọzọ. Nlele nkwado ọ bụla AS_PATH maka ọkwa gị emebere ga-emecha gafee.
A ka nwere oke ole na ole kwesịrị ikwu okwu. Mbụ, ọ bụrụ nzacha prefix site n'aka onye na-eweta elu, ụzọ gị nwere ike ka ahazi ya (ọbụlagodi na AS_PATH ziri ezi) ma ọ bụrụ na prefix abụghị nke cone onye ahịa gị ahaziri na mgbago elu. Nke abụọ, AS_PATH ziri ezi nwere ike ịba uru ma ọ bụrụ na akpọsa ụzọ ahụ emepụtara na ntụzịaka na-ezighi ezi ma, yabụ, mebie iwu ngagharị. N'ikpeazụ, ụzọ ọ bụla nwere prefix na-emebi ogologo ROA nwere ike iwere na adịghị mma.
Ihe omume
Izu ole na ole gara aga, anyị nwetara mkpesa sitere n'aka otu n'ime ndị ọrụ anyị. Anyị hụrụ ụzọ nwere mmalite ASN na prefixes 25, ebe onye ọrụ kwuru na ya akpọsaghị ha.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
Ọmụmaatụ nke ọkwa maka mbido Eprel 2019
NTT n'okporo ụzọ maka prefix / 25 na-eme ka ọ na-enyo enyo. LG NTT amaghị maka ụzọ a n'oge ihe a mere. Yabụ ee, ụfọdụ ndị ọrụ na-emepụta AS_PATH dum maka prefixes ndị a! Nyochaa na ndị na-anya ụgbọ ala ndị ọzọ na-ekpughe otu ASN: AS263444. Ka anyị lebachara anya n'ụzọ ndị ọzọ nwere usoro a kwụụrụ onwe ya, anyị zutere ọnọdụ ndị a:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
Gbalịa iche ihe na-adịghị mma ebe a
Ọ dị ka mmadụ si n'ụzọ ahụ weghaara prefix ahụ, kewaa ya ụzọ abụọ ma jiri otu AS_PATH kpọsaa ụzọ ahụ maka prefixes abụọ ahụ.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
Ụzọ ọmụmaatụ maka otu n'ime prefix ụzọ abụọ kewara
Ọtụtụ ajụjụ na-ebilite ozugbo. Ọ dị onye ọ bụla nwara ụdị nkwụsịtụ a na omume? Ọ nwere onye chiri ụzọ ndị a? Kedu prefixes emetụtara?
Nke a bụ ebe eriri ọdịda anyị na-amalite na mgbagha ọzọ na ọnọdụ ahụike ịntanetị ugbu a.
Ụzọ nke ọdịda
Mbụ ihe mbụ. Kedu ka anyị ga-esi chọpụta ndị na-anya ụgbọ mmiri nabatara ụzọ ndị ahụ a kpọchiri akpọchi na okporo ụzọ ndị nwere ike isigharị taa? Anyị chere na anyị ga-amalite na / 25 prefixes n'ihi na ha "nanị enweghị ike ịnweta nkesa zuru ụwa ọnụ." Dị ka ị nwere ike iche, anyị ezighi ezi. Metiriki a tụgharịrị bụrụ mkpọtụ na ụzọ nwere prefixes dị otú ahụ nwere ike ịpụta ọbụna site n'aka ndị ọrụ Tier-1. Dịka ọmụmaatụ, NTT nwere ihe dị ka prefixes 50 dị otú ahụ, nke ọ na-ekesa ndị ahịa ya. N'aka nke ọzọ, metric a dị njọ n'ihi na enwere ike ịchachaa prefixes dị otú ahụ ma ọ bụrụ na onye ọrụ na-eji , n'akụkụ niile. Ya mere, usoro a adabaghị maka ịchọta ndị na-arụ ọrụ niile nke ebufere okporo ụzọ ya n'ihi ihe omume dị otú ahụ.
Echiche ọzọ dị mma anyị chere bụ ile anya . Karịsịa maka ụzọ ndị na-emebi iwu maxLength nke ROA kwekọrọ. N'ụzọ dị otu a, anyị nwere ike ịhụ ọnụọgụ ASN dị iche iche nwere ọkwa adịghị mma nke a na-ahụ maka AS nyere. Agbanyeghị, enwere nsogbu "obere". Nkezi (median na mode) nke ọnụ ọgụgụ a (ọnụọgụ nke ASN dị iche iche) dị ihe dị ka 150 na, ọ bụrụgodị na anyị na-enyocha obere prefixes, ọ na-anọgide n'elu 70. Ọnọdụ a nwere nkọwa dị mfe: enwere naanị otu. ndị ọrụ ole na ole ejirila ihe nzacha ROA nwere amụma “tọgharịa ụzọ adịghị mma” na ebe ntinye, nke mere na ebe ọ bụla ụzọ nwere mmebi ROA pụtara na ụwa n'ezie, ọ nwere ike gbasaa n'akụkụ niile.
Ụzọ abụọ ikpeazụ na-enye anyị ohere ịchọta ndị ọrụ hụrụ ihe mere anyị (ebe ọ bụ na ọ dị nnọọ ukwuu), ma n'ozuzu ha adịghị adaba. Ọ dị mma, mana anyị nwere ike ịhụ onye nbanye ahụ? Kedu ihe bụ njirimara izugbe nke aghụghọ AS_PATH a? Enwere echiche ole na ole bụ isi:
- Ahụbeghị prefix ahụ ebe ọ bụla mbụ;
- Mmalite ASN (ncheta: ASN mbụ na AS_PATH) bara uru;
- ASN ikpeazụ na AS_PATH bụ ASN onye mwakpo (ọ bụrụ na onye agbata obi ya na-elele ASN onye agbata obi n'ụzọ niile na-abata);
- Mwakpo a sitere na otu onye na-eweta ya.
Ọ bụrụ na echiche niile ziri ezi, mgbe ahụ ụzọ niile ezighi ezi ga-eweta ASN onye mwakpo (ma ewezuga ASN sitere na ya) na, yabụ, nke a bụ isi “dị oke mkpa”. Otu n'ime ezigbo ndị na-agba ọsọ bụ AS263444, n'agbanyeghị na e nwere ndị ọzọ. Ọbụlagodi mgbe anyị tụfuru ụzọ ihe merenụ site na nlebara anya. Gịnị kpatara? Isi ihe dị mkpa nwere ike ịdị mkpa ọbụlagodi maka ụzọ ziri ezi. O nwere ike ịbụ n'ihi njikọta adịghị mma na mpaghara ma ọ bụ njedebe na visibiliti nke anyị.
N'ihi ya, e nwere ụzọ isi chọpụta onye na-awakpo, ma ọ bụrụ na a na-ezute ọnọdụ niile dị n'elu na naanị mgbe nkwụsịtụ dị ukwuu iji gafere ọnụ ụzọ nlekota. Ọ bụrụ na ụfọdụ n'ime ihe ndị a emezughị, mgbe ahụ, anyị nwere ike ịchọpụta prefixes ndị tara ahụhụ site na nkwụsị dị otú ahụ? Maka ụfọdụ ndị ọrụ - ee.
Mgbe onye na-awakpo mepụtara ụzọ a kapịrị ọnụ, onye nwe ya anaghị akpọsa prefix dị otú ahụ. Ọ bụrụ na ị nwere ndepụta dị ike nke prefixes ya niile, mgbe ahụ ọ ga-ekwe omume ịme ntụnyere wee chọta ụzọ ndị ọzọ gbagọrọ agbagọ. Anyị na-anakọta ndepụta prefixes a site na iji nnọkọ BGP anyị, n'ihi na ọ bụghị naanị ndepụta ụzọ onye ọrụ na-ahụ na anyị na-enye anyị, kamakwa ndepụta prefixes niile ọ chọrọ ịkpọsa n'ụwa. N'ụzọ dị mwute, enwere ugbu a ọtụtụ iri na abuo ndị ọrụ Rada na-emechaghị akụkụ ikpeazụ nke ọma. Anyị ga-agwa ha obere oge ma gbalịa dozie okwu a. Onye ọ bụla ọzọ nwere ike isonye na sistemụ nleba anya ugbu a.
Ọ bụrụ na anyị laghachi n'ihe mbụ merenụ, ma onye na-awakpo ahụ ma mpaghara nkesa ka anyị chọpụtara site n'ịchọ isi ihe dị mkpa. N'ụzọ dị ịtụnanya, AS263444 ezipụghị ndị ahịa ya ụzọ aghụghọ. Ọ bụ ezie na enwere oge ọbịbịa.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
Ihe atụ na nso nso a nke mbọ iji gbochie oghere adreesị anyị
Mgbe emepụtara ndị ọzọ akọwapụtara maka prefixes anyị, ejiri AS_PATH emepụtara nke ọma. Agbanyeghị, AS_PATH a enweghị ike isi na ụzọ anyị gara aga. Anyị anaghị enwe nkwukọrịta na AS6762. N'ileba anya n'ụzọ ndị ọzọ dị na ihe ahụ merenụ, ụfọdụ n'ime ha nwere ezigbo AS_PATH nke ejiribu mee ihe, ebe ndị ọzọ emeghị ya, ọ bụrụgodị na ọ dị ka nke ahụ n'ezie. Ịgbanwe AS_PATH abaghị uru ọ bụla, ebe ọ bụ na a ga-ebugharị okporo ụzọ ahụ na onye na-awakpo ya, mana ụzọ nwere AS_PATH "ọjọọ" nwere ike ịchacha ya site na ASPA ma ọ bụ usoro nyocha ọ bụla. N'ebe a, anyị na-eche banyere mkpali nke hijacker. Anyị enweghị ozi zuru oke ugbu a iji gosi na ihe a mere bụ mbuso agha. Ka o sina dị, ọ ga-ekwe omume. Ka anyị gbalịa iche n'echiche, ọ bụ ezie na ọ ka bụ echiche efu, mana ọ nwere ike ịdị adị, ọnọdụ.
Mmegide zuru oke
Kedu ihe anyị nwere? Ka anyị kwuo na ị bụ onye na-eweta ụzọ mgbasa ozi maka ndị ahịa gị. Ọ bụrụ na ndị ahịa gị nwere ọtụtụ ọnụnọ (multihome), mgbe ahụ ị ga-enweta naanị akụkụ nke okporo ụzọ ha. Mana ka okporo ụzọ na-abawanye, ka ego gị na-enweta na-abawanye. Yabụ ọ bụrụ na ịmalite mgbasa ozi prefixes subnet nke otu ụzọ ndị a nwere otu AS_PATH, ị ga-enweta okporo ụzọ ha ndị ọzọ. N'ihi ya, ego ndị ọzọ.
ROA ga-enyere aka ebe a? Ikekwe ee, ọ bụrụ na ị kpebie ịkwụsị iji ya kpamkpam . Na mgbakwunye, ọ bụ ihe na-adịghị mma ịnweta ndekọ ROA nwere prefixes na-ejikọta ọnụ. Maka ụfọdụ ndị na-arụ ọrụ, mgbochi ndị dị otú ahụ bụ ihe anabataghị.
N'ịtụle usoro nchekwa ụzọ ndị ọzọ, ASPA agaghị enyere aka na nke a (n'ihi na ọ na-eji AS_PATH site na ụzọ ziri ezi). BGPSec ka abụghị nhọrọ kacha mma n'ihi ọnụego nkuchi dị ala yana ohere fọdụrụnụ nke mbuso agha.
Ya mere, anyị nwere uru doro anya maka onye na-awakpo ya na enweghị nchekwa. Ngwakọta dị ukwuu!
Gịnị ka anyị ga-eme?
Nzọụkwụ pụtara ìhè na nke kachasi ike bụ inyocha amụma ịkwọgharị gị ugbu a. Kewaa oghere adreesị gị n'ime obere iberibe (enweghị overlaps) nke ịchọrọ ịkpọsa. Banye aka na ROA maka ha naanị, na-ejighi oke oke maxLength. N'okwu a, POV gị ugbu a nwere ike ịzọpụta gị na mwakpo dị otú ahụ. Otú ọ dị, ọzọ, maka ụfọdụ ndị na-arụ ọrụ, usoro a abụghị ihe ezi uche dị na ya n'ihi iji nanị ụzọ a kapịrị ọnụ. A ga-akọwa nsogbu niile na ọnọdụ ROA dị ugbu a na ihe ụzọ n'otu n'ime ihe ndị anyị ga-eme n'ọdịnihu.
Tụkwasị na nke a, ị nwere ike ịgbalị nyochaa nkwụsị dị otú ahụ. Iji mee nke a, anyị chọrọ ozi ntụkwasị obi gbasara prefixes gị. Ya mere, ọ bụrụ na i guzobe nnọkọ BGP n'etiti onye na-anakọta anyị ma nye anyị ozi gbasara ọhụhụ ịntanetị gị, anyị nwere ike ịchọta oke maka ihe omume ndị ọzọ. Maka ndị na-ejikọbeghị na sistemụ nleba anya anyị, iji malite, ndepụta ụzọ naanị nwere prefixes gị ga-ezuru. Ọ bụrụ na gị na anyị nwere nnọkọ, biko lelee na ezipụla ụzọ gị niile. N'ụzọ dị mwute, nke a kwesịrị icheta n'ihi na ụfọdụ ndị ọrụ na-echefu prefix ma ọ bụ abụọ wee si otú a na-egbochi ụzọ ọchụchọ anyị. Ọ bụrụ na emee nke ọma, anyị ga-enwe data a pụrụ ịdabere na ya gbasara prefixes gị, nke n'ọdịnihu ga-enyere anyị aka ịchọpụta ma chọpụta nke a (na ndị ọzọ) ụdị nkwụsị okporo ụzọ maka oghere adreesị gị.
Ọ bụrụ na ị mara ụdị nkwụsị nke okporo ụzọ gị ozugbo, ị nwere ike ịgbalị imegide ya n'onwe gị. Ụzọ mbụ bụ iji prefixes ndị a kapịrị ọnụ kpọsaa ụzọ n'onwe gị. Ọ bụrụ na mwakpo ọhụrụ na prefixes ndị a, kwugharịa.
Ụzọ nke abụọ bụ ịta onye na-awakpo ahụ ahụhụ na ndị ọ bụ ihe dị mkpa maka ya (maka ụzọ dị mma) site n'iwepụ ohere nke ụzọ gị na onye na-awakpo ya. Enwere ike ime nke a site n'ịgbakwunye ASN onye mwakpo na AS_PATH nke ụzọ ochie gị wee si otú a manye ha ka ha zere AS site na iji usoro nchọpụta loop arụnyere na BGP. .
isi: www.habr.com