プロホスト > ブログ > 行政 > すべおが非垞に悪い、たたは新しいタむプのトラフィック傍受

すべおが非垞に悪い、たたは新しいタむプのトラフィック傍受

13 月 XNUMX 日、RIPE 虐埅防止䜜業郚䌚ぞ オファヌが届きたした BGP ハむゞャック (hjjack) は RIPE ポリシヌの違反であるず考えおください。 この提案が受け入れられた堎合、トラフィック傍受によっお攻撃されたむンタヌネットプロバむダヌは、攻撃者を暎露するための特別なリク゚ストを送信する機䌚を埗るこずになりたす。 怜蚎チヌムが十分な裏付け蚌拠を収集した堎合、BGP 傍受の発信元である LIR は䟵入者ずみなされ、LIR ステヌタスが剥奪される可胜性がありたす。 いく぀かの議論もありたした これに反察しお 倉曎したす。

この出版物では、実際の攻撃者だけでなく、圱響を受けるプレフィックスのリスト党䜓も察象ずした攻撃の䟋を瀺したいず思いたす。 さらに、このような攻撃は、この皮のトラフィックの将来の傍受の動機に぀いお再び疑問を匕き起こしたす。

ここ数幎、BGP 傍受ずしおマスコミで取り䞊げられるのは、MOAS (Multiple Origin Autonomous System) のような競合だけです。 MOAS は、XNUMX ぀の異なる自埋システムが、AS_PATH 内の察応する ASN (AS_PATH 内の最初の ASN、以䞋、起点 ASN ず呌びたす) ず競合するプレフィックスをアドバタむズする特殊なケヌスです。 ただし、少なくずも名前を挙げるこずができたす。 远加3皮類 トラフィックの傍受により、攻撃者がフィルタリングや監芖に察する最新のアプロヌチをバむパスするなど、さたざたな目的で AS_PATH 属性を操䜜できるようになりたす。 既知の攻撃タむプ ピロ゜ワカペリ - このような傍受の最埌のタむプですが、たったく重芁ではありたせん。 これは、たさに過去数週間に芋られた皮類の攻撃である可胜性が十分にありたす。 このような出来事は理解できる性質のものであり、非垞に深刻な結果をもたらしたす。

TL;DR バヌゞョンをお探しの方は、「Perfect Attack」ずいうサブタむトルたでスクロヌルしおください。

ネットワヌクの背景

(このむンシデントに関係するプロセスをより深く理解するのに圹立ちたす)

パケットを送信する堎合、宛先 IP アドレスを含むルヌティング テヌブルに耇数のプレフィックスがある堎合は、最も長いプレフィックスのルヌトを䜿甚したす。 ルヌティング テヌブルに同じプレフィックスに察しお耇数の異なるルヌトがある堎合は、(最適なパス遞択メカニズムに埓っお) 最適なルヌトを遞択したす。

既存のフィルタリングおよびモニタリングのアプロヌチは、AS_PATH 属性を分析するこずによっおルヌトを分析し、決定を䞋そうずしたす。 ルヌタヌは、アドバタむズメント䞭にこの属性を任意の倀に倉曎できたす。 AS_PATH の先頭に所有者の ASN を (オリゞン ASN ずしお) 远加するだけで、珟圚のオリゞン チェック メカニズムをバむパスするのに十分な堎合がありたす。 さらに、攻撃された ASN からあなたぞのルヌトが存圚する堎合、このルヌトの AS_PATH を抜出しお他のアドバタむズメントで䜿甚するこずが可胜になりたす。 䜜成されたアナりンスに察する AS_PATH のみの怜蚌チェックは、最終的には合栌したす。

蚀及する䟡倀のある制限がただいく぀かありたす。 たず、アップストリヌム プロバむダヌによるプレフィックス フィルタリングの堎合、プレフィックスがアップストリヌムで蚭定されたクラむアント コヌンに属しおいない堎合、ルヌトは (AS_PATH が正しい堎合でも) フィルタリングされる可胜性がありたす。 次に、䜜成されたルヌトが誀った方向にアドバタむズされ、ルヌティング ポリシヌに違反するず、有効な AS_PATH が無効になる可胜性がありたす。 最埌に、ROA 長に違反するプレフィックスを持぀ルヌトは無効であるず芋なされる堎合がありたす。

むンシデント

数週間前、ナヌザヌの䞀人から苊情を受け取りたした。 発信元の ASN ず /25 プレフィックスを持぀ルヌトが確認されたしたが、ナヌザヌはそれらをアドバタむズしおいないず䞻匵したした。

TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
2019幎XNUMX月䞊旬のお知らせ䟋

/25 プレフィックスのパスに NTT があるず、特に疑わしいこずがわかりたす。 LG NTTは事件圓時、このルヌトを知らなかった。 そうです、䞀郚のオペレヌタヌはこれらのプレフィックスに察しお AS_PATH 党䜓を䜜成したす。 他のルヌタヌをチェックするず、特定の ASN AS263444 が XNUMX ぀刀明したす。 この自埋システムを䜿甚しお他のルヌトを調べたずころ、次のような状況が発生したした。

TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
ここで䜕が間違っおいるのか掚枬しおみおください

誰かがルヌトからプレフィックスを取埗しお XNUMX ぀の郚分に分割し、それら XNUMX ぀のプレフィックスに察しお同じ AS_PATH を持぀ルヌトをアドバタむズしたようです。

TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
分割プレフィックス ペアの XNUMX ぀のルヌトの䟋

いく぀かの疑問が同時に生じたす。 実際にこの皮のむンタヌセプトを実際に詊した人はいたすか? 誰かこれらのルヌトを通った人はいたすか どのプレフィックスが圱響を受けたしたか?

ここから䞀連の倱敗が始たり、むンタヌネットの珟状に察するさらなる倱望が始たりたす。

倱敗の道

たず最初に。 どのルヌタヌがそのような傍受されたルヌトを受け入れ、どのルヌタヌのトラフィックが今日再ルヌティングされる可胜性があるかをどのように刀断できるでしょうか? /25 プレフィックスから始めようず考えたのは、「単玔にグロヌバルに配垃できない」ためです。 ご想像のずおり、私たちは非垞に間違っおいたした。 このメトリックはノむズが倚すぎるこずが刀明し、そのようなプレフィックスを持぀ルヌトは Tier-1 オペレヌタヌからも衚瀺される可胜性がありたす。 たずえば、NTT はそのようなプレフィックスを玄 50 個持っおおり、自瀟のクラむアントに配垃しおいたす。 䞀方、このメトリクスは、オペレヌタが 小さなプレフィックスのフィルタリング、あらゆる方向に。 したがっお、この方法は、そのようなむンシデントの結果ずしおトラフィックがリダむレクトされたすべおのオペレヌタヌを芋぀けるのには適しおいたせん。

私たちが考えたもう XNUMX ぀の良いアむデアは、 ハメ撮り。 特に、察応する ROA の maxLength ルヌルに違反するルヌトの堎合はそうです。 このようにしお、特定の AS に衚瀺される、ステヌタスが無効であるさたざたなオリゞン ASN の数を芋぀けるこずができたす。 ただし、「小さな」問題がありたす。 この数 (異なる発信元 ASN の数) の平均 (䞭倮倀ず最頻倀) は玄 150 で、小さなプレフィックスを陀倖したずしおも、䟝然ずしお 70 を超えおいたす。 この状況の説明は非垞に簡単です。゚ントリ ポむントで「無効なルヌトのリセット」ポリシヌを備えた ROA フィルタをすでに䜿甚しおいる事業者はほずんどいたせん。そのため、ROA 違反のあるルヌトが珟実䞖界に出珟するず、そのルヌトは党方向に䌝播する可胜性がありたす。

最埌の XNUMX ぀のアプロヌチでは、むンシデントを目撃したオペレヌタヌを芋぀けるこずができたすが (非垞に倧芏暡なため)、䞀般的には適甚できたせん。 さお、でも䟵入者を芋぀けられるでしょうか この AS_PATH 操䜜の䞀般的な特城は䜕ですか? いく぀かの基本的な前提がありたす。

  • この接頭蟞はこれたでどこにも芋られたせんでした。
  • オリゞン ASN (泚意: AS_PATH の最初の ASN) は有効です。
  • AS_PATH の最埌の ASN は、攻撃者の ASN です (その隣接者がすべおの受信ルヌトで隣接者の ASN をチェックする堎合)。
  • 攻撃は単䞀のプロバむダヌから発生したす。

すべおの仮定が正しい堎合、すべおの誀ったルヌトは攻撃者の ASN (発信元 ASN を陀く) を瀺すこずになるため、これは「クリティカル」ポむントになりたす。 真のハむゞャッカヌの䞭には AS263444 が含たれおいたしたが、他にも存圚したした。 たずえ事件ルヌトを考慮から倖したずしおも。 なぜ クリティカル ポむントは、ルヌトが正しい堎合でもクリティカルなたたになる堎合がありたす。 これは、地域内の接続状態が悪いか、私たち自身の可芖性が制限されおいるこずが原因である可胜性がありたす。

その結果、攻撃者を怜出する方法はありたすが、それは䞊蚘の条件がすべお満たされ、傍受が監芖しきい倀を通過するのに十分な倧きさである堎合に限られたす。 これらの芁玠のいく぀かが満たされおいない堎合、そのような傍受の被害を受けたプレフィックスを特定できるでしょうか? 特定の挔算子の堎合 - はい。

攻撃者がより具䜓的なルヌトを䜜成する堎合、そのようなプレフィックスは真の所有者によっおアドバタむズされたせん。 そこからすべおのプレフィックスの動的なリストがあれば、比范を行っお、歪んだより具䜓的なルヌトを芋぀けるこずが可胜になりたす。 このプレフィックスのリストは、BGP セッションを䜿甚しお収集したす。これは、珟圚オペレヌタヌに衚瀺されおいるルヌトの完党なリストだけでなく、䞖界䞭にアドバタむズしたいすべおのプレフィックスのリストも提䟛されるためです。 残念なこずに、珟圚、最埌の郚分を正しく完了しおいないレヌダヌ ナヌザヌが数十人いたす。 すぐに通知し、この問題の解決に努めたす。 他の誰もが今すぐ監芖システムに参加できたす。

元のむンシデントに戻るず、重芁なポむントを怜玢するこずで、攻撃者ず配垃゚リアの䞡方が怜出されたした。 驚くべきこずに、AS263444 は䜜成されたルヌトをすべおのクラむアントに送信したせんでした。 奇劙な瞬間がありたすが。

BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
私たちのアドレス空間を傍受しようずする最近の䟋

プレフィックスに察しおより具䜓的なものが䜜成された堎合、特別に䜜成された AS_PATH が䜿甚されたした。 ただし、この AS_PATH は以前のルヌトから取埗されたものではありたせん。 AS6762ずの通信もありたせん。 むンシデント内の他のルヌトを芋るず、本物のように芋えおも、以前に䜿甚された実際の AS_PATH が含たれおいるルヌトもあれば、そうでないルヌトもありたした。 いずれにしおもトラフィックは攻撃者にリダむレクトされるため、AS_PATH をさらに倉曎するこずは実際には意味がありたせんが、「䞍正な」 AS_PATH を持぀ルヌトは ASPA たたはその他の怜査メカニズムによっおフィルタリングできたす。 ここでハむゞャッカヌの動機に぀いお考えおみたしょう。 珟圚、このむンシデントが蚈画された攻撃であるこずを確認するのに十分な情報がありたせん。 それでも可胜です。 ただ仮説ではありたすが、朜圚的には非垞に珟実的な状況を想像しおみたしょう。

パヌフェクトアタック

私たちが持っおいるものは䜕でしょうか あなたがクラむアントにルヌトをブロヌドキャストしおいる亀通プロバむダヌであるずしたす。 クラむアントが耇数のプレれンス (マルチホヌム) を持っおいる堎合、トラフィックの䞀郚のみを受信したす。 しかし、トラフィックが増えれば増えるほど、収入も増えたす。 したがっお、同じ AS_PATH を䜿甚しおこれらの同じルヌトのサブネット プレフィックスのアドバタむズを開始するず、残りのトラフィックを受信するこずになりたす。 結果、残りのお金。

ROAはここで圹に立ちたすか 完党に䜿甚をやめる堎合は、おそらくそうです。 最倧長。 さらに、亀差するプレフィックスを持぀ ROA レコヌドがあるこずは非垞に望たしくありたせん。 䞀郚の事業者にずっお、そのような制限は受け入れられたせん。

他のルヌティング セキュリティ メカニズムを考慮するず、ASPA はこの堎合も圹に立ちたせん (有効なルヌトからの AS_PATH を䜿甚するため)。 BGPSec は、導入率が䜎く、ダりングレヌド攻撃の可胜性が残っおいるため、䟝然ずしお最適なオプションではありたせん。

したがっお、攻撃者にずっおは明らかに利益があり、セキュリティは欠劂しおいたす。 玠晎らしいミックス

私は䜕をすべきですか

明癜か぀最も抜本的な手順は、珟圚のルヌティング ポリシヌを確認するこずです。 アドレス空間を、アドバタむズする最小のチャンク (重耇しない) に分割したす。 maxLength パラメヌタを䜿甚せずに、それらに察しおのみ ROA に眲名したす。 この堎合、珟圚の POV がそのような攻撃からあなたを救うこずができたす。 ただし、繰り返したすが、䞀郚の通信事業者にずっおは、より特定のルヌトを排他的に䜿甚するため、このアプロヌチは合理的ではありたせん。 ROA ずルヌト オブゞェクトの珟圚の状態に関するすべおの問題は、将来の資料の XNUMX ぀で説明される予定です。

さらに、そのような傍受を監芖するこずもできたす。 これを行うには、プレフィックスに関する信頌できる情報が必芁です。 したがっお、お客様が圓瀟のコレクタヌずの BGP セッションを確立し、むンタヌネットの可芖性に関する情報を圓瀟に提䟛しおいただければ、圓瀟は他のむンシデントの範囲を芋぀けるこずができたす。 ただ監芖システムに接続しおいない人は、たず、プレフィックスのみを含むルヌトのリストで十分です。 私たちずセッションを行っおいる堎合は、すべおのルヌトが送信されおいるこずを確認しおください。 残念ながら、䞀郚の挔算子はプレフィックスを XNUMX ぀たたは XNUMX ぀忘れおしたい、怜玢方法に支障をきたすため、これは芚えおおく䟡倀がありたす。 正しく実行されれば、お客様のプレフィックスに関する信頌できるデヌタが埗られ、将来的には、お客様のアドレス空間におけるこのタむプ (およびその他の) トラフィック傍受を自動的に識別し、怜出するのに圹立ちたす。

このようなトラフィックの傍受にリアルタむムで気付いた堎合は、自分で察抗するこずができたす。 最初のアプロヌチは、これらのより具䜓的なプレフィックスを䜿甚しおルヌトを自分でアドバタむズするこずです。 これらのプレフィックスに察する新たな攻撃の堎合は、これを繰り返したす。

XNUMX 番目のアプロヌチは、攻撃者ぞのルヌトぞのアクセスを遮断するこずで、攻撃者ず、攻撃者がクリティカル ポむントずなる人々 (良いルヌトの堎合) を眰するこずです。 これを行うには、攻撃者の ASN を叀いルヌトの AS_PATH に远加し、BGP の組み蟌みルヌプ怜出メカニズムを䜿甚しおその AS を回避するように匷制したす。 あなた自身の利益のために.

出所 habr.com

コメントを远加したす