13 ta’ Marzu lill-grupp ta’ ħidma RIPE kontra l-abbuż tikkunsidra l-ħtif tal-BGP (hjjack) bħala ksur tal-politika RIPE. Jekk il-proposta tiġi aċċettata, il-fornitur tal-Internet attakkat mill-interċettazzjoni tat-traffiku jkollu l-opportunità li jibgħat talba speċjali biex jikxef lill-attakkant. Jekk it-tim ta' reviżjoni ġabar biżżejjed evidenza ta' sostenn, il-LIR li kien is-sors tal-interċettazzjoni tal-BGP jitqies bħala intruż u jista' jitneħħa mill-istatus tal-LIR tiegħu. Kien hemm ukoll xi argumenti bidliet.
F'din il-pubblikazzjoni rridu nuru eżempju ta' attakk fejn mhux biss l-attakkant reali kien inkwistjoni, iżda wkoll il-lista sħiħa tal-prefissi affettwati. Barra minn hekk, attakk bħal dan jerġa’ jqajjem mistoqsijiet dwar il-motivi għall-interċettazzjonijiet futuri ta’ dan it-tip ta’ traffiku.
Matul l-aħħar ftit snin, kunflitti biss bħal MOAS (Sistema Awtonoma ta 'Oriġini Multipli) ġew koperti fl-istampa bħala interċettazzjonijiet BGP. MOAS huwa każ speċjali fejn żewġ sistemi awtonomi differenti jirreklamaw prefissi konfliġġenti ma' ASNs korrispondenti f'AS_PATH (l-ewwel ASN f'AS_PATH, minn hawn 'il quddiem imsejjaħ ASN ta' oriġini). Madankollu, nistgħu nsemmu mill-inqas interċettazzjoni tat-traffiku, li tippermetti lil attakkant jimmanipula l-attribut AS_PATH għal diversi skopijiet, inkluż li jinjora approċċi moderni għall-filtrazzjoni u l-monitoraġġ. Tip ta 'attakk magħruf - l-aħħar tip ta' interċettazzjoni bħal din, iżda xejn fl-importanza. Huwa pjuttost possibbli li dan huwa eżattament it-tip ta 'attakk li rajna matul l-aħħar ġimgħat. Avveniment bħal dan għandu natura li tinftiehem u konsegwenzi pjuttost serji.
Dawk li qed ifittxu l-verżjoni TL;DR jistgħu jiskrolljaw għas-sottotitolu "Attakk Perfett".
Sfond tan-netwerk
(biex jgħinek tifhem aħjar il-proċessi involuti f'dan l-inċident)
Jekk trid tibgħat pakkett u għandek prefissi multipli fit-tabella tar-routing li fiha l-indirizz IP tad-destinazzjoni, allura tuża r-rotta għall-prefiss bl-itwal tul. Jekk hemm diversi rotot differenti għall-istess prefiss fit-tabella tar-rotot, inti tagħżel l-aħjar waħda (skond il-mekkaniżmu tal-għażla tal-aħjar mogħdija).
Approċċi eżistenti ta' filtrazzjoni u monitoraġġ jippruvaw janalizzaw ir-rotot u jieħdu deċiżjonijiet billi janalizzaw l-attribut AS_PATH. Ir-router jista' jibdel dan l-attribut għal kwalunkwe valur waqt ir-riklam. Sempliċement li żżid l-ASN tas-sid fil-bidu ta 'AS_PATH (bħala l-ASN tal-oriġini) tista' tkun biżżejjed biex tevita l-mekkaniżmi tal-kontroll tal-oriġini attwali. Barra minn hekk, jekk ikun hemm rotta mill-ASN attakkat lilek, isir possibbli li jiġi estratt u użat l-AS_PATH ta 'din ir-rotta fir-reklami l-oħra tiegħek. Kwalunkwe verifika ta' validazzjoni AS_PATH biss għall-avviżi maħduma tiegħek eventwalment se tgħaddi.
Għad hemm ftit limitazzjonijiet ta' min isemmi. L-ewwelnett, fil-każ ta 'filtrazzjoni tal-prefiss mill-fornitur upstream, ir-rotta tiegħek xorta tista' tiġi ffiltrata (anke bl-AS_PATH korrett) jekk il-prefiss ma jappartjenix għall-kon tal-klijent tiegħek konfigurat fil-upstream. It-tieni, AS_PATH validu jista' jsir invalidu jekk ir-rotta maħluqa tiġi reklamata f'direzzjonijiet żbaljati u, għalhekk, tikser il-politika tar-rotta. Fl-aħħar nett, kwalunkwe rotta bi prefiss li tikser it-tul ROA tista' titqies bħala invalida.
Inċident
Ftit ġimgħat ilu rċevejna ilment minn wieħed mill-utenti tagħna. Rajna rotot bl-oriġini tiegħu ASN u /25 prefissi, filwaqt li l-utent sostna li ma rreklamahomx.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
Eżempji ta’ avviżi għall-bidu ta’ April 2019
NTT fit-triq għall-prefiss /25 jagħmilha speċjalment suspettuża. LG NTT ma kinitx taf b’din ir-rotta fil-ħin tal-inċident. Allura iva, xi operatur joħloq AS_PATH kollu għal dawn il-prefissi! Iċċekkjar fuq routers oħra jiżvela ASN wieħed partikolari: AS263444. Wara li nħarsu lejn rotot oħra b'din is-sistema awtonoma, iltqajna mas-sitwazzjoni li ġejja:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
Ipprova raden x'hemm ħażin hawn
Jidher li xi ħadd ħa l-prefiss mir-rotta, qasmu f’żewġ partijiet, u rreklama r-rotta bl-istess AS_PATH għal dawk iż-żewġ prefissi.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
Eżempju ta' rotot għal waħda mill-pari ta' prefissi maqsuma
Jqumu diversi mistoqsijiet f'daqqa. Xi ħadd fil-fatt ipprova dan it-tip ta' interċettazzjoni fil-prattika? Xi ħadd ħa dawn ir-rotot? Liema prefissi ġew affettwati?
Dan huwa fejn tibda sensiela ta 'fallimenti tagħna u rawnd ieħor ta' diżappunt bl-istat attwali tas-saħħa tal-Internet.
It-triq tal-falliment
L-ewwel affarijiet l-ewwel. Kif nistgħu niddeterminaw liema routers aċċettaw dawn ir-rotot interċettati u li t-traffiku ta' min jista' jiġi rrottat illum? Ħsibna li nibdew bi /25 prefissi għaliex "sempliċement ma jistgħux ikollhom distribuzzjoni globali." Kif tistgħu taħsbu, konna żbaljati ħafna. Din il-metrika rriżulta li kienet storbjuża wisq u rotot bi prefissi bħal dawn jistgħu jidhru anke minn operaturi Tier-1. Pereżempju, NTT għandha madwar 50 prefiss bħal dan, li hija tqassam lill-klijenti tagħha stess. Min-naħa l-oħra, din il-metrika hija ħażina minħabba li prefissi bħal dawn jistgħu jiġu ffiltrati jekk l-operatur juża , fid-direzzjonijiet kollha. Għalhekk, dan il-metodu mhuwiex adattat biex jinstabu l-operaturi kollha li t-traffiku tagħhom ġie ridirezzjonat bħala riżultat ta 'inċident bħal dan.
Idea tajba oħra li ħsibna kienet li nħarsu lejha . Speċjalment għal rotot li jiksru r-regola maxLength tar-ROA korrispondenti. B'dan il-mod nistgħu nsibu n-numru ta 'ASNs ta' oriġini differenti bi status Invalidu li kienu viżibbli għal AS partikolari. Madankollu, hemm problema "żgħira". Il-medja (medjan u mod) ta’ dan in-numru (in-numru ta’ ASNs ta’ oriġini differenti) hija ta’ madwar 150 u, anke jekk niffiltraw prefissi żgħar, tibqa’ ‘l fuq minn 70. Dan l-istat ta’ fatt għandu spjegazzjoni sempliċi ħafna: hemm biss ftit operaturi li diġà jużaw filtri ROA b'politika ta '"reset Rotot Invalidi" fil-punti tad-dħul, sabiex kull fejn tidher rotta bi ksur ROA fid-dinja reali, tkun tista' tippropaga fid-direzzjonijiet kollha.
L-aħħar żewġ approċċi jippermettulna nsibu operaturi li raw l-inċident tagħna (peress li kien kbir pjuttost), iżda b'mod ġenerali mhumiex applikabbli. Tajjeb, imma nistgħu nsibu l-intruż? X'inhuma l-karatteristiċi ġenerali ta' din il-manipulazzjoni AS_PATH? Hemm ftit suppożizzjonijiet bażiċi:
- Il-prefiss ma kien deher imkien qabel;
- Oriġini ASN (tfakkira: l-ewwel ASN f'AS_PATH) hija valida;
- L-aħħar ASN f'AS_PATH huwa l-ASN tal-attakkant (f'każ li l-ġar tiegħu jiċċekkja l-ASN tal-ġar fuq ir-rotot kollha deħlin);
- L-attakk joriġina minn fornitur wieħed.
Jekk is-suppożizzjonijiet kollha huma korretti, allura r-rotot mhux korretti kollha jippreżentaw l-ASN tal-attakkant (ħlief l-ASN tal-oriġini) u, għalhekk, dan huwa punt "kritiku". Fost il-hijackers veri kien hemm AS263444, għalkemm kien hemm oħrajn. Anke meta warrabna r-rotot tal-inċident mill-konsiderazzjoni. Għaliex? Punt kritiku jista' jibqa' kritiku anke għal rotot korretti. Jista' jkun jew ir-riżultat ta' konnettività fqira f'reġjun jew limitazzjonijiet fil-viżibilità tagħna stess.
Bħala riżultat, hemm mod kif tiskopri attakkant, iżda biss jekk jintlaħqu l-kundizzjonijiet kollha ta 'hawn fuq u biss meta l-interċettazzjoni tkun kbira biżżejjed biex tgħaddi l-limiti ta' monitoraġġ. Jekk xi wħud minn dawn il-fatturi ma jintlaħqux, allura nistgħu nidentifikaw il-prefissi li sofrew minn tali interċettazzjoni? Għal ċerti operaturi - iva.
Meta attakkant joħloq rotta aktar speċifika, prefiss bħal dan ma jiġix reklamat mis-sid veru. Jekk għandek lista dinamika tal-prefissi kollha tagħha minnha, allura jsir possibbli li tagħmel paragun u ssib rotot aktar speċifiċi mgħawġa. Aħna niġbru din il-lista ta 'prefissi billi tuża s-sessjonijiet BGP tagħna, għaliex aħna jingħataw mhux biss il-lista sħiħa ta' rotot viżibbli għall-operatur bħalissa, iżda wkoll lista tal-prefissi kollha li jrid jirreklama lid-dinja. Sfortunatament, issa hemm diversi għexieren ta 'utenti tar-Radar li ma jlestux l-aħħar parti b'mod korrett. Aħna se ninnotifikawhom dalwaqt u nippruvaw insolvu din il-kwistjoni. Kulħadd jista' jingħaqad mas-sistema ta' monitoraġġ tagħna bħalissa.
Jekk nerġgħu lura għall-inċident oriġinali, kemm l-attakkant kif ukoll iż-żona tad-distribuzzjoni ġew skoperti minna billi nfittxu punti kritiċi. B'mod sorprendenti, AS263444 ma bagħatx rotot iffabbrikati lill-klijenti kollha tiegħu. Għalkemm hemm mument barrani.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
Eżempju reċenti ta' tentattiv biex ninterċettaw l-ispazju tal-indirizzi tagħna
Meta nħolqu oħrajn aktar speċifiċi għall-prefissi tagħna, intuża AS_PATH maħluq apposta. Madankollu, din l-AS_PATH ma setgħetx ittieħdet minn xi waħda mir-rotot preċedenti tagħna. Aħna lanqas biss għandna komunikazzjoni ma 'AS6762. Meta wieħed iħares lejn ir-rotot l-oħra fl-inċident, xi wħud minnhom kellhom AS_PATH reali li kien użat qabel, filwaqt li oħrajn ma kellhomx, anke jekk jidher qisu dak reali. Il-bidla ta 'AS_PATH barra minn hekk ma tagħmel l-ebda sens prattiku, peress li t-traffiku xorta se jiġi ridirett lejn l-attakkant, iżda r-rotot b'AS_PATH "ħażin" jistgħu jiġu ffiltrati minn ASPA jew kwalunkwe mekkaniżmu ieħor ta' spezzjoni. Hawnhekk naħsbu dwar il-motivazzjoni tal-hijacker. Bħalissa m'għandniex biżżejjed informazzjoni biex nikkonfermaw li dan l-inċident kien attakk ippjanat. Madankollu, huwa possibbli. Ejja nippruvaw nimmaġinaw, għalkemm għadha ipotetika, iżda potenzjalment pjuttost reali, sitwazzjoni.
Attakk Perfett
Dak li għandna? Ejja ngħidu li inti fornitur ta' transitu li xxandar rotot għall-klijenti tiegħek. Jekk il-klijenti tiegħek għandhom preżenza multipla (multihome), allura inti tirċievi biss parti mit-traffiku tagħhom. Imma iktar ma jkun hemm traffiku, iktar ikun id-dħul tiegħek. Mela jekk tibda tirreklama prefissi tas-subnet ta’ dawn l-istess rotot bl-istess AS_PATH, tirċievi l-bqija tat-traffiku tagħhom. Bħala riżultat, il-bqija tal-flus.
Ir-ROA se tgħin hawn? Forsi iva, jekk tiddeċiedi li tieqaf tużaha kompletament . Barra minn hekk, huwa ferm mhux mixtieq li jkun hemm rekords ROA bi prefissi li jintersetaw. Għal xi operaturi, tali restrizzjonijiet huma inaċċettabbli.
Meta wieħed iqis mekkaniżmi oħra ta' sigurtà tar-routing, l-ASPA lanqas f'dan il-każ ma tgħin (għax tuża AS_PATH minn rotta valida). BGPSec għadu mhux għażla ottimali minħabba rati baxxi ta 'adozzjoni u l-possibbiltà li fadal ta' attakki downgrade.
Għalhekk għandna gwadann ċar għall-attakkant u nuqqas ta’ sigurtà. Taħlita kbira!
X’għandi bżonn nagħmel?
Il-pass ovvju u l-aktar drastiku huwa li tirrevedi l-politika attwali tar-rotot tiegħek. Aqsam l-ispazju tal-indirizz tiegħek fl-iżgħar biċċiet (l-ebda sovrapożizzjoni) li trid tirreklama. Iffirma ROA għalihom biss, mingħajr ma tuża l-parametru maxLength. F'dan il-każ, il-POV attwali tiegħek jista 'jsalvak minn attakk bħal dan. Madankollu, għal darb'oħra, għal xi operaturi dan l-approċċ mhuwiex raġonevoli minħabba l-użu esklussiv ta' rotot aktar speċifiċi. Il-problemi kollha bl-istat attwali ta 'ROA u oġġetti tar-rotta se jiġu deskritti f'wieħed mill-materjali futuri tagħna.
Barra minn hekk, tista 'tipprova timmonitorja tali interċezzjonijiet. Biex nagħmlu dan, neħtieġu informazzjoni affidabbli dwar il-prefissi tiegħek. Għalhekk, jekk tistabbilixxi sessjoni BGP mal-kollettur tagħna u tagħtina informazzjoni dwar il-viżibilità tal-Internet tiegħek, nistgħu nsibu l-ambitu għal inċidenti oħra. Għal dawk li għadhom mhumiex konnessi mas-sistema ta 'monitoraġġ tagħna, biex tibda, lista ta' rotot biss bil-prefissi tiegħek tkun biżżejjed. Jekk għandek sessjoni magħna, jekk jogħġbok iċċekkja li r-rotot kollha tiegħek intbagħtu. Sfortunatament, dan ta 'min jiftakar għaliex xi operaturi jinsew prefiss jew tnejn u għalhekk jinterferixxu mal-metodi ta' tfittxija tagħna. Jekk isir b'mod korrett, ikollna dejta affidabbli dwar il-prefissi tiegħek, li fil-futur tgħinna nidentifikaw u niskopru awtomatikament dan (u tipi oħra) ta' interċettazzjoni tat-traffiku għall-ispazju tal-indirizzi tiegħek.
Jekk issir taf b'tali interċettazzjoni tat-traffiku tiegħek f'ħin reali, tista' tipprova tikkontrobattuha lilek innifsek. L-ewwel approċċ huwa li tirreklama r-rotot b'dawn il-prefissi aktar speċifiċi lilek innifsek. F'każ ta' attakk ġdid fuq dawn il-prefissi, irrepeti.
It-tieni approċċ huwa li tikkastiga lill-attakkant u lil dawk li għalihom huwa punt kritiku (għal rotot tajbin) billi taqta 'l-aċċess tar-rotot tiegħek għall-attakkant. Dan jista' jsir billi żżid l-ASN tal-attakkant mal-AS_PATH tar-rotot il-qodma tiegħek u b'hekk iġġiegħelhom jevitaw dak l-AS bl-użu tal-mekkaniżmu ta' skoperta ta' loop integrat fil-BGP .
Sors: www.habr.com