Machi 13 kwa kikundi cha kazi cha kupinga unyanyasaji cha RIPE chukulia utekaji nyara wa BGP (hjjack) kama ukiukaji wa sera ya RIPE. Ikiwa pendekezo hilo lilikubaliwa, mtoa huduma wa Intaneti aliyeshambuliwa na uzuiaji wa trafiki angekuwa na fursa ya kutuma ombi maalum la kufichua mshambuliaji. Ikiwa timu ya ukaguzi ilikusanya ushahidi wa kutosha wa kuunga mkono, LIR ambayo ilikuwa chanzo cha kukatiza kwa BGP ingechukuliwa kuwa mvamizi na inaweza kuondolewa hadhi yake ya LIR. Pia kulikuwa na baadhi ya hoja mabadiliko.
Katika chapisho hili tunataka kuonyesha mfano wa shambulio ambapo sio tu mshambulizi halisi alihusika, lakini pia orodha nzima ya viambishi awali vilivyoathiriwa. Kwa kuongezea, shambulio kama hilo tena linazua maswali juu ya nia za uingiliaji wa siku zijazo wa aina hii ya trafiki.
Katika kipindi cha miaka kadhaa iliyopita, ni migogoro tu kama MOAS (Mfumo Unaojiendesha wa Asili Nyingi) ambayo imekuwa ikitangazwa kwenye vyombo vya habari kama uingiliaji wa BGP. MOAS ni kesi maalum ambapo mifumo miwili tofauti inayojitegemea inatangaza viambishi awali vinavyokinzana na ASN sambamba katika AS_PATH (ASN ya kwanza katika AS_PATH, ambayo inajulikana baadaye kama ASN asili). Hata hivyo, tunaweza kutaja angalau uzuiaji wa trafiki, kuruhusu mshambulizi kuchezea sifa ya AS_PATH kwa madhumuni mbalimbali, ikiwa ni pamoja na kukwepa mbinu za kisasa za kuchuja na kufuatilia. Aina ya shambulio inayojulikana - aina ya mwisho ya uingiliaji kama huo, lakini sio umuhimu kabisa. Inawezekana kabisa kwamba hii ndiyo aina ya shambulio ambalo tumeona katika wiki zilizopita. Tukio kama hilo lina asili inayoeleweka na matokeo mabaya kabisa.
Wale wanaotafuta toleo la TL;DR wanaweza kusogeza hadi kwenye manukuu ya "Attack Perfect".
Mandharinyuma ya mtandao
(ili kukusaidia kuelewa vyema taratibu zinazohusika katika tukio hili)
Ikiwa ungependa kutuma pakiti na una viambishi awali vingi kwenye jedwali la kuelekeza lililo na anwani ya IP lengwa, basi utatumia njia ya kiambishi awali chenye urefu mrefu zaidi. Ikiwa kuna njia kadhaa tofauti za kiambishi awali sawa kwenye jedwali la kuelekeza, utachagua bora zaidi (kulingana na utaratibu bora wa kuchagua njia).
Mbinu zilizopo za uchujaji na ufuatiliaji hujaribu kuchanganua njia na kufanya maamuzi kwa kuchanganua sifa ya AS_PATH. Kipanga njia kinaweza kubadilisha sifa hii kwa thamani yoyote wakati wa tangazo. Kuongeza tu ASN ya mmiliki mwanzoni mwa AS_PATH (kama asili ya ASN) kunaweza kutosha kupita njia za sasa za kukagua asili. Zaidi ya hayo, ikiwa kuna njia kutoka kwa ASN iliyoshambuliwa hadi kwako, itawezekana kutoa na kutumia AS_PATH ya njia hii katika matangazo yako mengine. Ukaguzi wowote wa uthibitishaji wa AS_PATH pekee wa matangazo yako yaliyoundwa hatimaye utapita.
Bado kuna vikwazo vichache vinavyofaa kutajwa. Kwanza, katika hali ya uchujaji wa kiambishi awali na mtoa huduma wa juu, njia yako bado inaweza kuchujwa (hata kwa AS_PATH sahihi) ikiwa kiambishi awali si cha koni ya mteja wako iliyosanidiwa kwenye mkondo wa juu. Pili, AS_PATH halali inaweza kuwa batili ikiwa njia iliyoundwa itatangazwa katika mwelekeo usio sahihi na, kwa hivyo, inakiuka sera ya uelekezaji. Hatimaye, njia yoyote iliyo na kiambishi awali inayokiuka urefu wa ROA inaweza kuchukuliwa kuwa si sahihi.
Tukio
Wiki chache zilizopita tulipokea malalamiko kutoka kwa mmoja wa watumiaji wetu. Tuliona njia zenye asili yake ya ASN na /25 viambishi awali, ilhali mtumiaji alidai kuwa hakuzitangaza.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
Mifano ya matangazo ya mwanzoni mwa Aprili 2019
NTT katika njia ya kiambishi awali cha /25 huifanya iwe ya kutiliwa shaka. LG NTT haikufahamu njia hii wakati wa tukio. Kwa hivyo ndio, mwendeshaji fulani huunda AS_PATH nzima kwa viambishi hivi! Kuangalia ruta zingine kunaonyesha ASN moja maalum: AS263444. Baada ya kuangalia njia zingine zilizo na mfumo huu wa uhuru, tulikutana na hali ifuatayo:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
Jaribu kukisia nini kibaya hapa
Inaonekana kwamba mtu alichukua kiambishi awali kutoka kwa njia, akakigawanya katika sehemu mbili, na kutangaza njia kwa AS_PATH sawa kwa viambishi hivyo viwili.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
Mfano wa njia za mojawapo ya jozi za viambishi awali vilivyogawanyika
Maswali kadhaa huibuka mara moja. Kuna mtu yeyote amejaribu aina hii ya kutekwa kwa vitendo? Je, kuna mtu yeyote amechukua njia hizi? Ni viambishi awali gani vilivyoathiriwa?
Hapa ndipo msururu wa kushindwa kwetu huanza na awamu nyingine ya kukatishwa tamaa na hali ya sasa ya afya ya Mtandao.
Njia ya kushindwa
Mambo ya kwanza kwanza. Je, tunawezaje kubaini ni vipanga njia gani vilivyokubali njia kama hizi zilizozuiliwa na ni trafiki gani ambayo inaweza kuelekezwa upya leo? Tulidhani tungeanza na /25 viambishi awali kwa sababu "haviwezi kuwa na usambazaji wa kimataifa." Kama unavyoweza kukisia, tulikosea sana. Kipimo hiki kiligeuka kuwa na kelele nyingi na njia zilizo na viambishi awali vile zinaweza kuonekana hata kutoka kwa waendeshaji wa Tier-1. Kwa mfano, NTT ina viambishi kama 50 hivi, ambavyo husambaza kwa wateja wake. Kwa upande mwingine, kipimo hiki ni mbaya kwa sababu viambishi awali kama hivyo vinaweza kuchujwa ikiwa opereta anatumia , katika pande zote. Kwa hiyo, njia hii haifai kwa kutafuta waendeshaji wote ambao trafiki yao ilielekezwa upya kutokana na tukio hilo.
Wazo lingine zuri tulilofikiria ni kuliangalia . Hasa kwa njia zinazokiuka sheria ya maxLength ya ROA inayolingana. Kwa njia hii tunaweza kupata idadi ya ASN asili tofauti zilizo na hali Batili ambazo zilionekana kwa AS fulani. Walakini, kuna shida "ndogo". Wastani (wastani na hali) ya nambari hii (idadi ya ASN za asili tofauti) ni karibu 150 na, hata tukichuja viambishi vidogo, inabaki zaidi ya 70. Hali hii ya mambo ina maelezo rahisi sana: kuna tu waendeshaji wachache ambao tayari wanatumia vichungi vya ROA vilivyo na sera ya "weka upya njia Batili" katika maeneo ya kuingilia, ili popote njia iliyo na ukiukaji wa ROA inaonekana katika ulimwengu halisi, iweze kueneza pande zote.
Njia mbili za mwisho zinatuwezesha kupata waendeshaji ambao waliona tukio letu (kwani lilikuwa kubwa kabisa), lakini kwa ujumla hazitumiki. Sawa, lakini je, tunaweza kumpata mvamizi? Je, ni vipengele vipi vya jumla vya upotoshaji huu wa AS_PATH? Kuna mawazo machache ya msingi:
- Kiambishi awali kilikuwa hakijaonekana popote hapo awali;
- Asili ya ASN (kikumbusho: kwanza ASN katika AS_PATH) ni halali;
- ASN ya mwisho katika AS_PATH ni ASN ya mvamizi (ikiwa jirani yake ataangalia ASN ya jirani kwenye njia zote zinazoingia);
- Shambulio hilo linatoka kwa mtoaji mmoja.
Ikiwa mawazo yote ni sahihi, basi njia zote zisizo sahihi zitawasilisha ASN ya mshambuliaji (isipokuwa asili ya ASN) na, kwa hiyo, hii ni hatua "muhimu". Miongoni mwa watekaji nyara wa kweli walikuwa AS263444, ingawa kulikuwa na wengine. Hata tulipotupilia mbali njia za tukio zisizingatiwe. Kwa nini? Jambo muhimu linaweza kubaki muhimu hata kwa njia sahihi. Inaweza kuwa matokeo ya muunganisho duni katika eneo au mapungufu katika mwonekano wetu wenyewe.
Matokeo yake, kuna njia ya kuchunguza mshambuliaji, lakini tu ikiwa masharti yote hapo juu yanapatikana na tu wakati uingiliaji ni mkubwa wa kutosha kupitisha vizingiti vya ufuatiliaji. Ikiwa baadhi ya mambo haya hayatatimizwa, basi je, tunaweza kubainisha viambishi awali vilivyokumbwa na unyakuzi kama huo? Kwa waendeshaji fulani - ndiyo.
Mshambulizi anapounda njia mahususi zaidi, kiambishi awali kama hicho hakitangazwi na mmiliki wa kweli. Ikiwa una orodha ya nguvu ya viambishi vyake vyote kutoka kwayo, basi inakuwa inawezekana kufanya ulinganisho na kupata njia potofu zaidi. Tunakusanya orodha hii ya viambishi awali kwa kutumia vipindi vyetu vya BGP, kwa sababu hatupewi tu orodha kamili ya njia zinazoonekana kwa opereta hivi sasa, lakini pia orodha ya viambishi awali vyote ambavyo inataka kutangaza kwa ulimwengu. Kwa bahati mbaya, sasa kuna watumiaji kadhaa wa Rada ambao hawamalizi sehemu ya mwisho kwa usahihi. Tutawajulisha baada ya muda mfupi na kujaribu kutatua suala hili. Kila mtu mwingine anaweza kujiunga na mfumo wetu wa ufuatiliaji sasa hivi.
Ikiwa tutarejea tukio la awali, mshambuliaji na eneo la usambazaji waligunduliwa na sisi kwa kutafuta pointi muhimu. Jambo la kushangaza ni kwamba AS263444 haikutuma njia za kubuni kwa wateja wake wote. Ingawa kuna wakati mgeni.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
Mfano wa hivi majuzi wa jaribio la kukatiza nafasi yetu ya anwani
Wakati maalum zaidi ziliundwa kwa viambishi vyetu, AS_PATH iliyoundwa mahususi ilitumiwa. Hata hivyo, AS_PATH hii haikuweza kuchukuliwa kutoka kwa mojawapo ya njia zetu za awali. Hatuna hata mawasiliano na AS6762. Ukiangalia njia zingine kwenye tukio, baadhi yao walikuwa na AS_PATH halisi ambayo ilitumiwa hapo awali, wakati wengine hawakufanya hivyo, hata ikiwa inaonekana kama ile halisi. Kubadilisha AS_PATH pia hakuleti maana yoyote, kwa kuwa trafiki itaelekezwa kwa mvamizi hata hivyo, lakini njia zilizo na AS_PATH "mbaya" zinaweza kuchujwa na ASPA au utaratibu mwingine wowote wa ukaguzi. Hapa tunafikiria juu ya motisha ya mtekaji nyara. Kwa sasa hatuna taarifa za kutosha kuthibitisha kwamba tukio hili lilikuwa shambulio lililopangwa. Hata hivyo, inawezekana. Wacha tujaribu kufikiria, ingawa bado ni dhahania, lakini uwezekano wa hali halisi.
Mashambulizi Kamili
Tuna nini? Hebu tuseme wewe ni mtoaji huduma za usafiri wa njia za utangazaji kwa wateja wako. Ikiwa wateja wako wana uwepo mwingi (multihome), basi utapokea sehemu tu ya trafiki yao. Lakini trafiki zaidi, mapato yako zaidi. Kwa hivyo ukianza kutangaza viambishi awali vya subnet ya njia hizi kwa kutumia AS_PATH sawa, utapokea trafiki yao iliyosalia. Kama matokeo, pesa iliyobaki.
Je, ROA itasaidia hapa? Labda ndio, ikiwa utaamua kuacha kuitumia kabisa . Kwa kuongeza, haifai sana kuwa na rekodi za ROA zilizo na viambishi vya kuingiliana. Kwa waendeshaji wengine, vikwazo vile havikubaliki.
Kwa kuzingatia njia zingine za usalama za uelekezaji, ASPA haitasaidia katika kesi hii pia (kwa sababu inatumia AS_PATH kutoka kwa njia halali). BGPSec bado si chaguo mojawapo kutokana na viwango vya chini vya kuasili na uwezekano uliosalia wa mashambulizi ya kushusha kiwango.
Kwa hivyo tuna faida ya wazi kwa mshambuliaji na ukosefu wa usalama. Mchanganyiko mkubwa!
Nini cha kufanya?
Hatua ya dhahiri na kubwa zaidi ni kukagua sera yako ya sasa ya uelekezaji. Gawanya nafasi yako ya anwani katika vipande vidogo zaidi (hakuna mwingiliano) unavyotaka kutangaza. Saini ROA kwa hizi pekee, bila kutumia kigezo cha maxLength. Katika kesi hii, POV yako ya sasa inaweza kukuokoa kutokana na shambulio kama hilo. Hata hivyo, tena, kwa waendeshaji wengine mbinu hii si ya busara kutokana na matumizi ya kipekee ya njia maalum zaidi. Matatizo yote na hali ya sasa ya ROA na vitu vya njia itaelezwa katika mojawapo ya nyenzo zetu za baadaye.
Kwa kuongeza, unaweza kujaribu kufuatilia uingiliaji kama huo. Ili kufanya hivyo, tunahitaji maelezo ya kuaminika kuhusu viambishi awali vyako. Kwa hivyo, ukianzisha kipindi cha BGP na mkusanyaji wetu na kutupa taarifa kuhusu mwonekano wako wa Intaneti, tunaweza kupata upeo wa matukio mengine. Kwa wale ambao bado hawajaunganishwa kwenye mfumo wetu wa ufuatiliaji, kwa kuanzia, orodha ya njia tu na viambishi vyako itatosha. Ikiwa una kikao nasi, tafadhali hakikisha kwamba njia zako zote zimetumwa. Kwa bahati mbaya, hii inafaa kukumbuka kwa sababu baadhi ya waendeshaji husahau kiambishi awali au mbili na hivyo kuingilia kati na mbinu zetu za utafutaji. Ikifanywa kwa usahihi, tutakuwa na data ya kuaminika kuhusu viambishi awali vyako, ambayo katika siku zijazo itatusaidia kutambua kiotomatiki na kutambua aina hii (na nyingine) ya uingiliaji wa trafiki kwa nafasi yako ya anwani.
Ikiwa utafahamu uingiliaji kama huo wa trafiki yako kwa wakati halisi, unaweza kujaribu kukabiliana nayo mwenyewe. Njia ya kwanza ni kutangaza njia na viambishi hivi mahususi wewe mwenyewe. Katika kesi ya shambulio jipya kwenye viambishi awali hivi, rudia.
Njia ya pili ni kuadhibu mshambuliaji na wale ambao yeye ni hatua muhimu (kwa njia nzuri) kwa kukata upatikanaji wa njia zako kwa mshambuliaji. Hili linaweza kufanywa kwa kuongeza ASN ya mvamizi kwenye AS_PATH ya njia zako za zamani na hivyo kuwalazimisha kuepuka AS hiyo kwa kutumia utaratibu wa kutambua kitanzi uliojengewa ndani katika BGP. .
Chanzo: mapenzi.com