13. mars til RIPE vinnuhóps gegn misnotkun líta á BGP flugrán (hjjack) sem brot á RIPE stefnu. Ef tillagan yrði samþykkt fengi netveitan sem umferðarhlerun ráðist á tækifæri til að senda sérstaka beiðni um að afhjúpa árásarmanninn. Ef endurskoðunarteymið safnaði nægilegum sönnunargögnum til stuðnings myndi LIR sem var uppspretta BGP stöðvunarinnar teljast boðflenna og gæti verið sviptur LIR stöðu sinni. Það voru líka nokkur rök breytingar.
Í þessu riti viljum við sýna dæmi um árás þar sem ekki aðeins var um raunverulega árásarmanninn að ræða, heldur einnig allan listann yfir viðkomandi forskeyti. Ennfremur vekur slík árás aftur upp spurningar um ástæður fyrir hlerunum á þessari tegund umferðar í framtíðinni.
Undanfarin tvö ár hefur aðeins verið fjallað um átök eins og MOAS (Multiple Origin Autonomous System) í blöðum sem BGP-hleranir. MOAS er sértilvik þar sem tvö mismunandi sjálfstæð kerfi auglýsa misvísandi forskeyti með samsvarandi ASN í AS_PATH (fyrsta ASN í AS_PATH, hér eftir nefnt uppruna ASN). Hins vegar getum við nefnt að minnsta kosti umferðarhlerun, sem gerir árásarmanni kleift að vinna með AS_PATH eigindina í ýmsum tilgangi, þar á meðal að komast framhjá nútímalegum aðferðum við síun og eftirlit. Þekkt árásartegund - síðasta tegund slíkrar hlerunar, en alls ekki í mikilvægi. Það er vel hugsanlegt að þetta sé einmitt svona árás sem við höfum séð undanfarnar vikur. Slík atburður hefur skiljanlegt eðli og mjög alvarlegar afleiðingar.
Þeir sem eru að leita að TL;DR útgáfunni geta skrunað að „Perfect Attack“ textanum.
Bakgrunnur netkerfis
(til að hjálpa þér að skilja betur ferlið sem tengist þessu atviki)
Ef þú vilt senda pakka og þú ert með mörg forskeyti í leiðartöflunni sem inniheldur IP-tölu áfangastaðarins, þá muntu nota leiðina fyrir forskeytið með lengstu lengdina. Ef það eru nokkrar mismunandi leiðir fyrir sama forskeyti í leiðartöflunni velurðu þá bestu (samkvæmt besta leiðavalsbúnaðinum).
Núverandi síunar- og vöktunaraðferðir reyna að greina leiðir og taka ákvarðanir með því að greina AS_PATH eigindina. Bein getur breytt þessum eiginleika í hvaða gildi sem er meðan á auglýsingu stendur. Einfaldlega að bæta við ASN eigandans í upphafi AS_PATH (sem uppruna ASN) gæti verið nóg til að komast framhjá núverandi upprunaathugunaraðferðum. Þar að auki, ef það er leið frá ASN sem ráðist er á til þín, verður mögulegt að draga út og nota AS_PATH þessarar leiðar í öðrum auglýsingum þínum. Öll AS_PATH staðfestingarathugun fyrir smíðaðar tilkynningar þínar mun að lokum standast.
Það eru enn nokkrar takmarkanir sem vert er að nefna. Í fyrsta lagi, ef um forskeytissíun er að ræða hjá andstreymisveitunni, gæti leiðin þín samt verið síuð (jafnvel með réttum AS_PATH) ef forskeytið tilheyrir ekki biðlarakeilunni þinni sem er stillt á andstreymis. Í öðru lagi getur gilt AS_PATH orðið ógilt ef stofnuð leið er auglýst í röngum áttum og brýtur þar með leiðarstefnu. Að lokum getur hver leið með forskeyti sem brýtur í bága við ROA-lengd talist ógild.
Atvikið
Fyrir nokkrum vikum fengum við kvörtun frá einum af notendum okkar. Við sáum leiðir með uppruna ASN og /25 forskeytum á meðan notandinn hélt því fram að hann auglýsti þær ekki.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
Dæmi um tilkynningar fyrir byrjun apríl 2019
NTT í slóðinni fyrir /25 forskeytið gerir það sérstaklega grunsamlegt. LG NTT vissi ekki af þessari leið þegar atvikið átti sér stað. Svo já, einhver rekstraraðili býr til heilan AS_PATH fyrir þessi forskeyti! Athugun á öðrum beinum leiðir í ljós eitt tiltekið ASN: AS263444. Eftir að hafa skoðað aðrar leiðir með þessu sjálfvirka kerfi, lentum við í eftirfarandi aðstæðum:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
Reyndu að giska á hvað er að hér
Svo virðist sem einhver hafi tekið forskeytið af leiðinni, skipt því í tvo hluta og auglýst leiðina með sama AS_PATH fyrir þessi tvö forskeyti.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
Dæmi um leiðir fyrir eitt af skiptu forskeytapörunum
Nokkrar spurningar vakna í einu. Hefur einhver í raun reynt þessa tegund af hlerun í reynd? Hefur einhver farið þessar leiðir? Hvaða forskeyti urðu fyrir áhrifum?
Þetta er þar sem röð af mistökum okkar hefst og enn ein lotan af vonbrigðum með núverandi ástand heilsu internetsins.
Leið bilunarinnar
Fyrstu hlutir fyrst. Hvernig getum við ákvarðað hvaða beinar samþykktu slíkar hleraðar leiðir og hverra umferð gæti verið breytt í dag? Við héldum að við myndum byrja á /25 forskeytum vegna þess að þau „má einfaldlega ekki hafa alþjóðlega dreifingu“. Eins og þú getur giska á, höfðum við mjög rangt fyrir okkur. Þessi mælikvarði reyndist vera of hávær og leiðir með slíkum forskeytum geta birst jafnvel frá Tier-1 rekstraraðilum. NTT er til dæmis með um 50 slík forskeyti sem það dreifir til eigin viðskiptavina. Á hinn bóginn er þessi mælikvarði slæmur vegna þess að slík forskeyti er hægt að sía út ef rekstraraðilinn notar , í allar áttir. Þess vegna hentar þessi aðferð ekki til að finna alla rekstraraðila þar sem umferð var vísað áfram vegna slíks atviks.
Önnur góð hugmynd sem okkur fannst vera að skoða . Sérstaklega fyrir leiðir sem brjóta í bága við maxLength reglu samsvarandi ROA. Þannig gátum við fundið fjölda mismunandi uppruna ASN með stöðuna Ógilt sem voru sýnileg tilteknu AS. Hins vegar er "lítið" vandamál. Meðaltal (miðgildi og háttur) þessarar tölu (fjöldi mismunandi uppruna ASN) er um 150 og jafnvel þótt við síum út lítil forskeyti, helst það yfir 70. Þetta ástand hefur mjög einfalda skýringu: það eru aðeins til fáir rekstraraðilar sem nota nú þegar ROA-síur með „endurstilla ógildar leiðir“ stefnu á inngangsstöðum, þannig að hvar sem leið með ROA brot birtist í hinum raunverulega heimi getur hún breiðst út í allar áttir.
Síðustu tvær aðferðir gera okkur kleift að finna rekstraraðila sem sáu atvikið okkar (þar sem það var nokkuð stórt), en almennt eiga þær ekki við. Allt í lagi, en getum við fundið boðflenna? Hverjir eru almennir eiginleikar þessarar AS_PATH meðferðar? Það eru nokkrar grunnforsendur:
- Forskeytið hafði hvergi sést áður;
- Uppruni ASN (áminning: fyrsta ASN í AS_PATH) er gilt;
- Síðasta ASN í AS_PATH er ASN árásarmannsins (ef nágranni hans athugar ASN nágrannans á öllum komandi leiðum);
- Árásin kemur frá einum þjónustuaðila.
Ef allar forsendur eru réttar, þá munu allar rangar leiðir sýna ASN árásarmannsins (nema uppruna ASN) og þar af leiðandi er þetta „mikilvægur“ punktur. Meðal sannra flugræningja var AS263444, þó að það væru aðrir. Jafnvel þegar við fleygðum atviksleiðunum af tillitssemi. Hvers vegna? Mikilvægur punktur getur verið mikilvægur jafnvel fyrir réttar leiðir. Það getur annað hvort verið afleiðing lélegrar tengingar á svæði eða takmarkanir á eigin sýnileika okkar.
Þar af leiðandi er leið til að greina árásarmann, en aðeins ef öll ofangreind skilyrði eru uppfyllt og aðeins þegar hlerunin er nógu stór til að standast eftirlitsþröskulda. Ef sumir þessara þátta eru ekki uppfylltir, getum við þá greint forskeytin sem urðu fyrir slíkri hlerun? Fyrir ákveðna rekstraraðila - já.
Þegar árásarmaður býr til sértækari leið er slíkt forskeyti ekki auglýst af raunverulegum eiganda. Ef þú ert með kraftmikinn lista yfir öll forskeyti þess úr honum, þá verður hægt að gera samanburð og finna brenglaðar nákvæmari leiðir. Við söfnum þessum lista yfir forskeyti með því að nota BGP loturnar okkar, vegna þess að við fáum ekki aðeins heildarlistann yfir leiðir sem eru sýnilegar símafyrirtækinu núna, heldur einnig lista yfir öll forskeyti sem hann vill auglýsa fyrir heiminum. Því miður eru nú nokkrir tugir radarnotenda sem klára ekki síðasta hlutann rétt. Við munum láta þá vita fljótlega og reyna að leysa þetta mál. Allir aðrir geta tekið þátt í eftirlitskerfinu okkar núna.
Ef við snúum aftur að upprunalega atvikinu, fundust bæði árásarmaðurinn og dreifingarsvæðið af okkur með því að leita að mikilvægum stöðum. Það kemur á óvart að AS263444 sendi ekki tilbúnar leiðir til allra viðskiptavina sinna. Þó það sé ókunnugt augnablik.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
Nýlegt dæmi um tilraun til að stöðva heimilisfangið okkar
Þegar nákvæmari forskeyti voru búin til fyrir forskeyti okkar var sérstakt AS_PATH notað. Hins vegar gat þetta AS_PATH ekki verið tekið af neinni af fyrri leiðum okkar. Við höfum ekki einu sinni samskipti við AS6762. Þegar skoðaðar eru aðrar leiðir í atvikinu voru sumar þeirra með raunverulegan AS_PATH sem áður var notaður en aðrar ekki, jafnvel þótt það líti út fyrir að vera raunverulegt. Að breyta AS_PATH til viðbótar er ekki skynsamlegt, þar sem umferðin verður samt sem áður vísað til árásarmannsins, en leiðir með „slæmt“ AS_PATH er hægt að sía með ASPA eða öðrum skoðunaraðferðum. Hér hugsum við um hvata flugræningjans. Við höfum ekki nægar upplýsingar til að staðfesta að þetta atvik hafi verið fyrirhuguð árás. Engu að síður er það mögulegt. Við skulum reyna að ímynda okkur, þó enn ímyndaða, en hugsanlega nokkuð raunverulega, aðstæður.
Fullkomin árás
Hvað höfum við? Segjum að þú sért flutningsaðili sem sendir út leiðir fyrir viðskiptavini þína. Ef viðskiptavinir þínir hafa marga viðveru (multihome) færðu aðeins hluta af umferð þeirra. En því meiri umferð, því meiri tekjur þínar. Þannig að ef þú byrjar að auglýsa undirnetsforskeyti þessara sömu leiða með sama AS_PATH muntu fá afganginn af umferð þeirra. Þar af leiðandi, afgangurinn af peningunum.
Mun ROA hjálpa hér? Kannski já, ef þú ákveður að hætta alveg að nota það . Að auki er mjög óæskilegt að hafa ROA færslur með skerandi forskeytum. Fyrir suma rekstraraðila eru slíkar takmarkanir óviðunandi.
Með hliðsjón af öðrum leiðaröryggisaðferðum mun ASPA ekki hjálpa í þessu tilfelli heldur (vegna þess að það notar AS_PATH frá gildri leið). BGPSec er samt ekki ákjósanlegur valkostur vegna lágs ættleiðingarhlutfalls og möguleika á niðurfærsluárásum sem eftir eru.
Þannig að við höfum augljósan ávinning fyrir árásarmanninn og skort á öryggi. Frábær blanda!
Hvað á að gera?
Augljósasta og róttækasta skrefið er að endurskoða núverandi leiðarstefnu þína. Skiptu heimilisfangarýminu þínu í minnstu bita (engin skarast) sem þú vilt auglýsa. Skráðu ROA eingöngu fyrir þá, án þess að nota maxLength færibreytuna. Í þessu tilviki getur núverandi POV bjargað þér frá slíkri árás. Hins vegar, aftur, fyrir suma rekstraraðila er þessi aðferð ekki sanngjörn vegna einkanota sértækari leiða. Öllum vandamálum með núverandi ástand ROA og leiðarhlutum verður lýst í einu af framtíðarefnum okkar.
Auk þess er hægt að reyna að fylgjast með slíkum hlerunum. Til þess þurfum við áreiðanlegar upplýsingar um forskeytin þín. Þannig að ef þú stofnar BGP fund með safnara okkar og gefur okkur upplýsingar um sýnileika þinn á netinu getum við fundið svigrúm fyrir önnur atvik. Fyrir þá sem eru ekki ennþá tengdir eftirlitskerfinu okkar, til að byrja með, nægir listi yfir leiðir eingöngu með forskeytum þínum. Ef þú átt fund hjá okkur, vinsamlegast athugaðu hvort allar leiðir þínar hafi verið sendar. Því miður er vert að muna þetta vegna þess að sumir rekstraraðilar gleyma forskeyti eða tveimur og trufla þannig leitaraðferðir okkar. Ef það er gert á réttan hátt munum við hafa áreiðanleg gögn um forskeytin þín, sem í framtíðinni munu hjálpa okkur að bera kennsl á og greina sjálfkrafa þessa (og aðrar) gerðir umferðarhlerunar fyrir heimilisfangið þitt.
Ef þú verður varir við slíka stöðvun á umferð þinni í rauntíma geturðu reynt að vinna gegn því sjálfur. Fyrsta aðferðin er að auglýsa leiðir með þessum sértækari forskeytum sjálfur. Ef um nýja árás er að ræða á þessi forskeyti, endurtakið.
Önnur aðferðin er að refsa árásarmanninum og þeim sem hann er mikilvægur punktur fyrir (fyrir góðar leiðir) með því að loka á aðgang leiða þinna að árásarmanninum. Þetta er hægt að gera með því að bæta ASN árásarmannsins við AS_PATH gömlu leiðanna þinna og þvinga þá til að forðast það AS með því að nota innbyggða lykkjugreiningarbúnaðinn í BGP .
Heimild: www.habr.com