13ê Adarê koma xebatê ya dijî îstîsmarê ya RIPE revandina BGP (hjjack) wekî binpêkirina polîtîkaya RIPE dihesibînin. Ger pêşnûme bihata qebûlkirin, pêşkêşvanê Înternetê yê ku ji hêla astengkirina seyrûseferê ve hatî êrîş kirin dê xwedî derfet be ku daxwaznameyek taybetî bişîne da ku êrîşkar eşkere bike. Ger tîmê vekolînê delîlên têra xwe piştgirî kom bikin, LIR-a ku çavkaniya girtina BGP-ê bû dê wekî dagirker were hesibandin û dikare ji statûya xwe ya LIR were derxistin. Hin nîqaş jî hebûn diguhere.
Di vê belavokê de em dixwazin mînakek êrîşek nîşan bidin ku ne tenê êrîşkarê rastîn di nav pirsê de bû, lê di heman demê de tevahiya navnîşa pêşgirên bandorkirî jî. Di ser de jî, êrîşek weha dîsa pirsan li ser sedemên destwerdana pêşerojê ya vî rengî trafîkê derdixe holê.
Di van du salên çûyî de, tenê nakokiyên mîna MOAS (Pergala Xweseriya Xweser a Pirjimar) di çapemeniyê de wekî destwerdanên BGP hatine vegirtin. MOAS dozek taybetî ye ku du pergalên xweser ên cihêreng pêşgirên nakok bi ASN-yên têkildar re di AS_PATH de reklam dikin (ya yekem ASN di AS_PATH de, ji vir şûnde wekî ASN-ya eslê tê binav kirin). Lêbelê, em dikarin bi kêmanî nav bikin astengkirina seyrûseferê, rê dide êrîşker ku taybetmendiya AS_PATH ji bo mebestên cihêreng manîpule bike, di nav de dûrxistina nêzîkatiyên nûjen ên fîlterkirin û şopandinê. Cureya êrîşê ya naskirî - Cûreya paşîn a destwerdana bi vî rengî, lê qet ne girîng e. Pir mimkun e ku ev rastî êrîşa ku me di hefteyên borî de dîtiye. Bûyerek weha xwedan cewherek têgihîştî û encamên pir giran e.
Kesên ku li guhertoya TL;DR digerin dikarin li jêrnivîsa "Perfect Attack" bigerin.
paşxaneya torê
(ji bo ku hûn pêvajoyên ku di vê bûyerê de têkildar in çêtir fam bikin)
Heke hûn dixwazin pakêtek bişînin û di tabloya rêvekirinê de ku navnîşana IP-ya meqsedê tê de gelek pêşgir hene, wê hingê hûn ê rêça ji bo pêşgira bi dirêjahiya herî dirêj bikar bînin. Ger di tabloya rêgezê de ji bo heman pêşgiran çend rêyên cihêreng hebin, hûn ê ya çêtirîn hilbijêrin (li gorî mekanîzmaya hilbijartina rê ya çêtirîn).
Nêzîkatiyên fîlterkirin û şopandinê yên heyî bi analîzkirina taybetmendiya AS_PATH hewl didin ku rêgezan analîz bikin û biryaran bidin. Router dikare di dema reklamê de vê taybetmendiyê bi her nirxek biguhezîne. Tenê lê zêdekirina ASN-a xwedan di destpêka AS_PATH (wek eslê xwe ASN) dibe ku bes be ku meriv mekanîzmayên kontrolkirina eslê heyî derbas bike. Wekî din, heke rêyek ji ASN-a êrîşkar ber bi we ve hebe, ew gengaz dibe ku hûn AS_PATH ya vê rêyê di reklamên xwe yên din de derxin û bikar bînin. Ji bo daxuyanên weyên çêkirî her kontrolek pejirandinê ya tenê AS_PATH dê di dawiyê de derbas bibe.
Hîn jî çend sînor hene ku hêjayî gotinê ne. Ya yekem, di bûyera fîlterkirina pêşgiran de ji hêla pêşkêşkarê jorîn ve, dibe ku riya we hîn jî were fîlter kirin (tevî AS_PATH-ya rast) heke pêşgir ne aîdê kona muwekîlê weya ku li jorê hatî mîheng kirin be. Ya duyemîn, AS_PATH-ya derbasdar dikare nederbasdar bibe heke rêça hatî afirandin di rêwerzên nerast de were reklam kirin û, bi vî rengî, polîtîkaya rêvekirinê binpê dike. Di dawiyê de, her rêyek bi pêşgirek ku dirêjahiya ROA binpê dike dibe ku nederbasdar were hesibandin.
Bûyer
Çend hefte berê me giliyek ji bikarhênerek xwe wergirt. Me rêçên bi eslê xwe ASN û pêşgirên /25 dît, dema ku bikarhêner îdîa kir ku wî reklama wan nekiriye.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
Nimûneyên daxuyaniyên ji bo destpêka Nîsana 2019
NTT di rê de ji bo pêşgira /25 wê bi taybetî gumanbar dike. LG NTT di dema bûyerê de ji vê rêyê hay nebû. Ji ber vê yekê erê, hin operator ji bo van pêşgiran tevahî AS_PATH diafirîne! Kontrolkirina li ser routerên din yek ASN-ya taybetî diyar dike: AS263444. Piştî ku em li rêyên din ên bi vê pergala xweser nihêrîn, em rastî rewşa jêrîn hatin:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
Biceribînin ku texmîn bikin ka li vir çi xelet e
Wusa dixuye ku yekî pêşgir ji rêgezê girt, ew kir du beş, û rê bi heman AS_PATH ji bo wan her du pêşgiran reklam kir.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
Nimûne rêyên ji bo yek ji cotên pêşgir ên dabeşkirî
Çend pirs di carekê de derdikevin holê. Ma kes bi rastî di pratîkê de ev celeb destgirtin ceriband? Ma kesî van rêyan girtiye? Çi pêşgiran bandor kirin?
Li vir rêzika me ya têkçûn dest pê dike û ji ber rewşa heyî ya tenduristiya Înternetê dorvekek din a bêhêvîbûnê dest pê dike.
Rêya têkçûnê
Tiştên pêşîn. Em çawa dikarin diyar bikin ka kîjan rêwiyan rêyên bi vî rengî yên destgirtî qebûl kirine û seyrûsefera kê îro dikare ji nû ve were rêve kirin? Me fikirîn ku em ê bi /25 pêşgiran dest pê bikin ji ber ku ew "bi hêsanî nikarin xwedan belavkirina gerdûnî bin." Wekî ku hûn dikarin texmîn bikin, em pir xelet bûn. Ev metrîk pir bi deng bû û rêçên bi pêşgirên weha dikarin ji operatorên Tier-1 jî xuya bibin. Mînakî, NTT bi qasî 50 pêşgiriyên weha hene, ku ew li xerîdarên xwe belav dike. Ji hêla din ve, ev metrîk xirab e ji ber ku heke operator bikar bîne pêşgirên weha dikarin werin fîlter kirin , di her alî de. Ji ber vê yekê, ev rêbaz ji bo dîtina hemî operatorên ku seyrûsefera wan di encama bûyerek wusa de hate veguheztin ne maqûl e.
Fikra din a baş a ku me fikirîn ev bû ku em lê binihêrin . Bi taybetî ji bo rêyên ku qaîdeya maxLength ya ROA-ya têkildar binpê dikin. Bi vî rengî em dikarin hejmara ASN-yên cihêreng ên bi statûya Nederbasdar ku ji AS-ya diyarkirî re xuya bûn bibînin. Lêbelê, pirsgirêkek "biçûk" heye. Navînî (navînî û moda) vê hejmarê (hejmara ASN-yên bi eslê xwe yên cihê) bi qasî 150 e û heke em pêşpirtikên piçûk jî fîltre bikin jî, ew li ser 70-yê dimîne. Ev rewş ravekek pir hêsan heye: tenê çend operatorên ku jixwe parzûnên ROA-yê bi polîtîkaya "rêyên nederbasdar vesazkirin" li nuqteyên têketinê bikar tînin, ji ber vê yekê li ku derê rêyek bi binpêkirina ROA di cîhana rastîn de xuya bibe, ew dikare di her alî de belav bibe.
Du nêzîkatiyên paşîn dihêlin ku em operatorên ku bûyera me dîtine bibînin (ji ber ku ew pir mezin bû), lê bi gelemperî ew ne sepandin in. Baş e, lê gelo em dikarin dagirker bibînin? Taybetmendiyên gelemperî yên vê manipulasyona AS_PATH çi ne? Çend texmînên bingehîn hene:
- Pêşgira berê li tu derê nehatibû dîtin;
- Origin ASN (bîranîn: yekem ASN di AS_PATH de) derbasdar e;
- ASN-ya dawîn a di AS_PATH de ASN-ya êrîşkar e (heke cîranê wê ASN-ya cîranê li ser hemî rêyên hatinê kontrol bike);
- Êrîş ji yek pêşkêşvanek pêk tê.
Heke hemî texmîn rast bin, wê hingê hemî rêyên nerast dê ASN-ya êrîşkar (ji bilî ASN-ya eslê) pêşkêş bikin û, bi vî rengî, ev xalek "krîtîk" e. Di nav revvanên rastîn de AS263444 hebû, her çend kesên din jî hebûn. Dema ku me rêyên bûyerê ji ber çavan dûr xist. Çima? Dibe ku xalek krîtîk ji bo rêyên rast jî krîtîk bimîne. Ew dikare bibe encama girêdana nebaş a li herêmek an jî sînorkirinên di dîtina me de.
Wekî encamek, rêyek heye ku meriv êrîşkarek tespît bike, lê tenê heke hemî şertên jorîn pêk werin û tenê dema ku navber têra xwe mezin be ku sînorên çavdêriyê derbas bike. Ger hin ji van faktoran neyên cîbicîkirin, wê demê em dikarin pêşpirtikên ku ji destgirtinek wusa zirar dîtine nas bikin? Ji bo hin operatoran - erê.
Dema ku êrîşkar rêyek taybetîtir diafirîne, pêşgirek wusa ji hêla xwediyê rastîn ve nayê reklam kirin. Ger we navnîşek dînamîkî ya hemî pêşgirên wê ji wê hebe, wê hingê gengaz dibe ku meriv berhevokek çêbike û rêyên taybetî yên xiravkirî bibînin. Em vê navnîşa pêşgiran bi karanîna danişînên xwe yên BGP berhev dikin, ji ber ku ji me re ne tenê navnîşa tevahî rêçikên ku nuha ji operatorê re xuya dibin, lê di heman demê de navnîşek hemî pêşgiriyên ku ew dixwaze ji cîhanê re reklamê bike jî tê dayîn. Mixabin, nuha bi dehan bikarhênerên Radar hene ku beşa paşîn rast temam nakin. Em ê di demek kurt de wan agahdar bikin û hewl bidin ku vê pirsgirêkê çareser bikin. Her kesê din dikare niha tevlî pergala me ya çavdêriyê bibe.
Ger em vegerin ser bûyera eslî, hem êrîşkar û hem jî devera belavkirinê ji hêla me ve bi lêgerîna li xalên krîtîk ve hatine tespît kirin. Ecêb e, AS263444 rêyên çêkirî ji hemî xerîdarên xwe re neşand. Her çend demek xerîb heye.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
Nimûneyek herî dawî ya hewldanek ku cîhê navnîşana me bigire
Dema ku ji bo pêşgiriyên me yên taybetî hatin afirandin, AS_PATH-ya taybetî hate afirandin. Lêbelê, ev AS_PATH nedikarî ji yek ji rêwiyên me yên berê were girtin. Têkiliya me bi AS6762 re jî tune. Di bûyerê de li rêyên din mêze dikin, hin ji wan xwedî AS_PATHek rastîn a ku berê hatî bikar anîn, hinên din nebûn, hetta ew mîna ya rastîn xuya dike. Guhertina AS_PATH di heman demê de ti wateya pratîkî nade, ji ber ku seyrûsefer dê her weha ji êrîşkar re were veguheztin, lê rêyên bi AS_PATH "xirab" dikare ji hêla ASPA an mekanîzmayek din a kontrolê ve were fîlter kirin. Li vir em li ser motîvasyona firokevan difikirin. Agahiyên me yên têr nînin ku piştrast bikin ku ev bûyer êrîşek plankirî bû. Lêbelê, ew gengaz e. Ka em hewl bidin ku, her çend hîn hîpotetîk, lê bi potansiyel pir rast, rewşek xeyal bikin.
Perfect Attack
Me çi heye? Ka em bibêjin hûn ji bo xerîdarên xwe rêgezên weşana transît in. Ger xerîdarên we xwedan hebûna pirjimar (multihome) bin, wê hingê hûn ê tenê beşek ji seyrûsefera wan bistînin. Lê her ku seyrûsefer be, dahata we jî zêde ye. Ji ber vê yekê heke hûn bi heman AS_PATH-ê dest bi reklamkirina pêşgirên subnetê yên heman rêgezan bikin, hûn ê seyrûsefera wan a mayî bistînin. Wekî encamek, pereyê mayî.
Dê ROA li vir alîkariyê bike? Belkî erê, heke hûn biryar bidin ku hûn bi tevahî karanîna wê rawestînin . Wekî din, pir nexwestî ye ku tomarên ROA yên bi pêşgirên hevberkirî hebin. Ji bo hin operatoran, qedexeyên weha nayên qebûl kirin.
Li ser mekanîzmayên din ên ewlehiya rêvekirinê, ASPA dê di vê rewşê de jî ne alîkar be (ji ber ku ew AS_PATH ji rêgezek derbasdar bikar tîne). BGPSec hîn jî ne vebijarkek çêtirîn e ji ber rêjeyên pejirandinê yên kêm û îhtîmala mayî ya êrîşên dakêşanê.
Ji ber vê yekê destkeftiyek me ya eşkere ji bo êrîşkar û nebûna ewlehiyê heye. Miksek mezin!
Ez çi bikim?
Pêngava eşkere û herî tund ev e ku hûn siyaseta xweya rêveçûna heyî binirxînin. Cihê navnîşana xwe di perçeyên herî piçûk de (bê hevûdu) ku hûn dixwazin reklam bikin bişkînin. ROA tenê ji bo wan, bêyî ku pîvana maxLength bikar bînin, îmze bikin. Di vê rewşê de, POV-ya weya heyî dikare we ji êrîşek wusa xilas bike. Lêbelê, dîsa, ji bo hin operatoran ev nêzîkatî ji ber karanîna taybetî ya rêyên taybetîtir ne maqûl e. Hemî pirsgirêkên bi rewşa heyî ya ROA û hêmanên rêgezê dê di yek ji materyalên me yên pêşerojê de werin vegotin.
Digel vê yekê, hûn dikarin hewl bidin ku çavdêriya destwerdanên weha bikin. Ji bo vê yekê, em hewceyê agahdariya pêbawer li ser pêşgirên we ne. Ji ber vê yekê, heke hûn bi berhevkarê me re rûniştinek BGP saz bikin û di derheqê dîtina xweya Înternetê de agahdarî bidin me, em dikarin çarçoweya bûyerên din bibînin. Ji bo kesên ku hîn bi pergala çavdêriya me ve girêdayî ne, ji bo destpêkirinê, navnîşek rêgezan tenê bi pêşgirên we dê bes be. Ger rûniştinek we bi me re hebe, ji kerema xwe kontrol bikin ku hemî rêyên we hatine şandin. Mixabin, ev hêjayî bîranînê ye ji ber ku hin operator pêşgirek an du ji bîr dikin û bi vî rengî rêgezên lêgerîna me tevlihev dikin. Ger rast were kirin, em ê di derheqê pêşgiriyên we de daneyên pêbawer hebin, ku di pêşerojê de dê ji me re bibin alîkar ku bixweber vê (û yên din) celebên astengkirina trafîkê ji bo cîhê navnîşana we nas bikin û tespît bikin.
Ger hûn di wextê rast de hay ji destwerdanek wusa ya seyrûsefera xwe bibin, hûn dikarin bi xwe hewl bidin ku wê berevajî bikin. Nêzîkatiya yekem ev e ku hûn xwe bi van pêşgiriyên taybetîtir rêçikan reklam bikin. Di bûyera êrîşek nû de li ser van pêşgiran, dubare bikin.
Nêzîkatiya duyemîn cezakirina êrîşkar û yên ku ew ji bo wan xalek krîtîk e (ji bo rêyên baş) bi qutkirina gihîştina rêyên we ji êrîşker re ye. Ev dikare bi lêzêdekirina ASN-a êrîşkar li AS_PATH rêyên weyên kevn were kirin û bi vî rengî wan neçar bike ku ji wê AS-ê dûr bixin ku bi karanîna mekanîzmaya vedîtina loopê ya çêkirî ya di BGP de bikar bînin. .
Source: www.habr.com