13 Mart RIPE istismar karşıtı çalışma grubuna BGP'nin ele geçirilmesini (hjjack) RIPE politikasının ihlali olarak değerlendirin. Teklifin kabul edilmesi durumunda, trafiğe müdahale edilen İnternet sağlayıcısı, saldırganı açığa çıkarmak için özel bir istek gönderme fırsatına sahip olacak. İnceleme ekibinin yeterli destekleyici kanıt toplaması durumunda, BGP müdahalesinin kaynağı olan LIR, davetsiz misafir olarak değerlendirilecek ve LIR statüsünden çıkarılabilir. Ayrıca bazı tartışmalar da vardı değişir.
Bu yayında, yalnızca gerçek saldırganın değil aynı zamanda etkilenen öneklerin tüm listesinin de söz konusu olduğu bir saldırı örneğini göstermek istiyoruz. Üstelik böyle bir saldırı, bu tür trafiğe gelecekte müdahale edilmesinin nedenleri hakkındaki soruları bir kez daha gündeme getiriyor.
Geçtiğimiz birkaç yılda basında yalnızca MOAS (Çoklu Kökenli Otonom Sistem) gibi çatışmalar BGP müdahalesi olarak yer aldı. MOAS, iki farklı özerk sistemin, AS_PATH'deki (AS_PATH'deki ilk ASN, bundan sonra kaynak ASN olarak anılacaktır) karşılık gelen ASN'lerle çakışan öneklerin reklamını yaptığı özel bir durumdur. Ancak en azından isim verebiliriz Trafiğin ele geçirilmesi, bir saldırganın, filtreleme ve izlemeye yönelik modern yaklaşımları atlamak da dahil olmak üzere çeşitli amaçlarla AS_PATH özelliğini değiştirmesine olanak tanır. Bilinen saldırı türü - bu tür müdahalelerin son türü, ancak hiç önemi yok. Bunun tam olarak geçtiğimiz haftalarda gördüğümüz türden bir saldırı olması oldukça muhtemel. Böyle bir olayın anlaşılabilir bir doğası ve oldukça ciddi sonuçları vardır.
TL;DR sürümünü arayanlar "Perfect Attack" alt başlığına gidebilirler.
Ağ arka planı
(bu olayla ilgili süreçleri daha iyi anlamanıza yardımcı olmak için)
Bir paket göndermek istiyorsanız ve hedef IP adresini içeren yönlendirme tablosunda birden fazla önek varsa, o zaman en uzun uzunluktaki önek için rotayı kullanırsınız. Yönlendirme tablosunda aynı önek için birden fazla farklı yol varsa, en iyisini seçeceksiniz (en iyi yol seçme mekanizmasına göre).
Mevcut filtreleme ve izleme yaklaşımları, AS_PATH özelliğini analiz ederek rotaları analiz etmeye ve kararlar almaya çalışır. Yönlendirici bu özelliği tanıtım sırasında herhangi bir değerle değiştirebilir. AS_PATH'in başına (kaynak ASN olarak) sahibinin ASN'sini eklemek, mevcut kaynak kontrol mekanizmalarını atlamak için yeterli olabilir. Üstelik saldırıya uğrayan ASN'den tarafınıza giden bir rota varsa bu rotanın AS_PATH'ini çıkarıp diğer reklamlarınızda da kullanmanız mümkün hale geliyor. Hazırladığınız duyurulara yönelik yalnızca AS_PATH doğrulama denetimleri eninde sonunda başarılı olacaktır.
Hala bahsetmeye değer birkaç sınırlama var. İlk olarak, yukarı akış sağlayıcısı tarafından önek filtrelemesi durumunda, önek yukarı akışta yapılandırılan istemci koninize ait değilse rotanız yine de filtrelenebilir (doğru AS_PATH ile bile). İkincisi, oluşturulan rotanın yanlış yönlerde tanıtılması ve dolayısıyla yönlendirme politikasını ihlal etmesi durumunda geçerli bir AS_PATH geçersiz hale gelebilir. Son olarak, ROA uzunluğunu ihlal eden öneki olan herhangi bir rota geçersiz sayılabilir.
Инцидент
Birkaç hafta önce kullanıcılarımızdan birinden bir şikayet aldık. Kullanıcı, bunların reklamını yapmadığını iddia ederken, menşei ASN ve /25 öneklerine sahip rotaları gördük.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
Nisan 2019 başı duyuru örnekleri
/25 önekinin yolundaki NTT onu özellikle şüpheli kılıyor. LG NTT'nin olay sırasında bu rotadan haberi yoktu. Yani evet, bazı operatörler bu önekler için tam bir AS_PATH oluşturur! Diğer yönlendiricileri kontrol ettiğimizde belirli bir ASN ortaya çıkıyor: AS263444. Bu otonom sistemle diğer rotalara baktığımızda şu durumla karşılaştık:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
Burada neyin yanlış olduğunu tahmin etmeye çalışın
Birisinin rotadan öneki alıp onu iki parçaya böldüğü ve bu iki önek için aynı AS_PATH ile rotanın reklamını yaptığı anlaşılıyor.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
Bölünmüş önek çiftlerinden biri için örnek rotalar
Aynı anda birkaç soru ortaya çıkıyor. Bu tür bir müdahaleyi pratikte deneyen var mı? Bu yolları kullanan var mı? Hangi önekler etkilendi?
Başarısızlıklar dizimizin başladığı ve İnternet'in mevcut durumuyla ilgili bir başka hayal kırıklığının başladığı yer burasıdır.
Başarısızlığın yolu
Her şey sırayla. Hangi yönlendiricilerin bu tür ele geçirilen rotaları kabul ettiğini ve bugün kimin trafiğinin yeniden yönlendirilebileceğini nasıl belirleyebiliriz? /25 önekleriyle başlayacağımızı düşündük çünkü "küresel dağıtıma sahip olamazlar." Tahmin edebileceğiniz gibi çok yanılmışız. Bu ölçümün çok gürültülü olduğu ortaya çıktı ve bu tür öneklere sahip rotalar, Seviye 1 operatörlerinden bile görünebilir. Örneğin, NTT'nin kendi müşterilerine dağıttığı bu tür yaklaşık 50 öneki vardır. Öte yandan, bu ölçüm kötüdür çünkü operatör şunu kullanırsa bu tür önekler filtrelenebilir. , Her yönden. Dolayısıyla böyle bir olay sonucunda trafiği yeniden yönlendirilen tüm operatörleri bulmak için bu yöntem uygun değildir.
Düşündüğümüz bir diğer iyi fikir de bakmaktı. . Özellikle karşılık gelen ROA'nın maxLength kuralını ihlal eden rotalar için. Bu şekilde, belirli bir AS tarafından görülebilen, Geçersiz durumuna sahip farklı kaynak ASN'lerin sayısını bulabiliriz. Ancak "küçük" bir sorun var. Bu sayının (farklı menşeli ASN'lerin sayısı) ortalaması (medyan ve mod) yaklaşık 150'dir ve küçük önekleri filtrelesek bile 70'in üzerinde kalır. Bu durumun çok basit bir açıklaması vardır: yalnızca bir tane vardır. Giriş noktalarında "Geçersiz rotaları sıfırla" politikasıyla halihazırda ROA filtreleri kullanan az sayıda operatör var, böylece gerçek dünyada ROA ihlali olan bir rota nerede görünürse görünsün, her yöne yayılabilir.
Son iki yaklaşım, olayımızı gören operatörleri bulmamıza olanak tanıyor (oldukça büyük olduğu için), ancak genel olarak uygulanabilir değiller. Tamam ama davetsiz misafiri bulabilir miyiz? Bu AS_PATH manipülasyonunun genel özellikleri nelerdir? Birkaç temel varsayım vardır:
- Ön ek daha önce hiçbir yerde görülmemişti;
- Kaynak ASN (hatırlatma: AS_PATH'deki ilk ASN) geçerlidir;
- AS_PATH'deki son ASN, saldırganın ASN'sidir (komşunun, tüm gelen rotalarda komşunun ASN'sini kontrol etmesi durumunda);
- Saldırı tek bir sağlayıcıdan kaynaklanıyor.
Tüm varsayımlar doğruysa, tüm yanlış rotalar saldırganın ASN'sini (kaynak ASN hariç) sunacaktır ve bu nedenle bu "kritik" bir noktadır. Gerçek korsanlar arasında AS263444 vardı, ancak başkaları da vardı. Olay yollarını değerlendirme dışı bıraktığımızda bile. Neden? Kritik bir nokta, doğru rotalar için bile kritik kalabilir. Bu, bir bölgedeki zayıf bağlantının veya kendi görünürlüğümüzdeki sınırlamaların bir sonucu olabilir.
Sonuç olarak, bir saldırganı tespit etmenin bir yolu vardır, ancak bu yalnızca yukarıdaki koşulların tamamının karşılanması ve müdahalenin izleme eşiklerini aşacak kadar büyük olması durumunda mümkündür. Bu faktörlerden bazıları karşılanmazsa, bu tür bir müdahaleden zarar gören önekleri tespit edebilir miyiz? Belirli operatörler için - evet.
Bir saldırgan daha spesifik bir rota oluşturduğunda, böyle bir önek gerçek sahibi tarafından duyurulmaz. Tüm öneklerinin dinamik bir listesine sahipseniz, bir karşılaştırma yapmak ve bozuk daha spesifik rotalar bulmak mümkün hale gelir. Bu önek listesini BGP oturumlarımızı kullanarak topluyoruz, çünkü bize yalnızca şu anda operatörün görebildiği rotaların tam listesi değil, aynı zamanda dünyaya reklamını yapmak istediği tüm öneklerin bir listesi de veriliyor. Ne yazık ki artık son kısmı doğru şekilde tamamlamayan birkaç düzine Radar kullanıcısı var. Kısa süre içinde kendilerini bilgilendireceğiz ve bu sorunu çözmeye çalışacağız. Şu anda herkes izleme sistemimize katılabilir.
Asıl olaya dönersek hem saldırgan hem de dağıtım bölgesi kritik noktalar aranarak tarafımızdan tespit edildi. Şaşırtıcı bir şekilde AS263444, tüm müşterilerine uydurma rotalar göndermedi. Her ne kadar yabancı bir an olsa da.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
Adres alanımızı ele geçirme girişiminin güncel bir örneği
Öneklerimiz için daha spesifik olanlar oluşturulduğunda özel olarak oluşturulmuş bir AS_PATH kullanıldı. Ancak bu AS_PATH önceki rotalarımızın hiçbirinden alınmış olamaz. AS6762 ile iletişimimiz bile yok. Olaydaki diğer rotalara bakıldığında bazılarının daha önce kullanılmış olan gerçek bir AS_PATH'e sahip olduğu, bazılarının ise gerçeğe benzese bile bulunmadığı görüldü. Ayrıca AS_PATH'i değiştirmek herhangi bir pratik anlam ifade etmez, çünkü trafik yine de saldırgana yönlendirilecektir, ancak "kötü" AS_PATH'e sahip rotalar ASPA veya başka herhangi bir denetim mekanizması tarafından filtrelenebilir. Burada korsanın motivasyonunu düşünüyoruz. Şu anda bu olayın planlı bir saldırı olduğunu doğrulayacak yeterli bilgiye sahip değiliz. Yine de bu mümkün. Hala varsayımsal olmasına rağmen potansiyel olarak oldukça gerçek bir durumu hayal etmeye çalışalım.
Mükemmel Saldırı
Neyimiz var? Müşterileriniz için rota yayınlayan bir toplu taşıma sağlayıcısı olduğunuzu varsayalım. Müşterilerinizin birden fazla varlığı (çoklu ev) varsa, onların trafiğinin yalnızca bir kısmını alırsınız. Ancak ne kadar çok trafik, o kadar çok geliriniz olur. Dolayısıyla, aynı rotaların alt ağ öneklerini aynı AS_PATH ile tanıtmaya başlarsanız, trafiğinin geri kalanını alırsınız. Sonuç olarak paranın geri kalanı.
ROA burada yardımcı olacak mı? Belki evet, eğer tamamen kullanmayı bırakmaya karar verirseniz . Ayrıca ROA kayıtlarının öneklerinin kesişmesi de son derece istenmeyen bir durumdur. Bazı operatörler için bu tür kısıtlamalar kabul edilemez.
Diğer yönlendirme güvenliği mekanizmaları göz önüne alındığında, ASPA bu durumda da yardımcı olmayacaktır (çünkü geçerli bir rotadan AS_PATH kullanır). BGPSec, düşük benimsenme oranları ve kalan sürüm düşürme saldırıları olasılığı nedeniyle hâlâ ideal bir seçenek değil.
Yani saldırgan açısından açık bir kazancımız var ve güvenlik eksikliğimiz var. Harika karışım!
Ne yapmalıyım?
En bariz ve en önemli adım, mevcut yönlendirme politikanızı gözden geçirmektir. Adres alanınızı, reklamını yapmak istediğiniz en küçük parçalara bölün (örtüşme yok). maxLength parametresini kullanmadan yalnızca onlar için ROA imzalayın. Bu durumda mevcut bakış açınız sizi böyle bir saldırıdan kurtarabilir. Ancak yine bazı operatörler için bu yaklaşım, daha spesifik rotaların özel olarak kullanılması nedeniyle makul değildir. ROA'nın mevcut durumu ve rota nesneleri ile ilgili tüm sorunlar gelecekteki materyallerimizden birinde açıklanacaktır.
Ayrıca bu tür müdahaleleri izlemeyi deneyebilirsiniz. Bunu yapmak için önekleriniz hakkında güvenilir bilgilere ihtiyacımız var. Dolayısıyla toplayıcımızla bir BGP oturumu oluşturursanız ve bize İnternet görünürlüğünüz hakkında bilgi verirseniz, diğer olayların kapsamını bulabiliriz. İzleme sistemimize henüz bağlanmamış olanlar için öncelikle sadece sizin ön eklerinizi içeren bir rota listesi yeterli olacaktır. Bizimle bir oturumunuz varsa, lütfen tüm rotalarınızın gönderildiğini kontrol edin. Maalesef bunu hatırlamaya değer çünkü bazı operatörler bir veya iki öneki unutuyor ve bu nedenle arama yöntemlerimize müdahale ediyor. Doğru şekilde yapılırsa, ön ekleriniz hakkında güvenilir verilere sahip olacağız ve bu veriler, gelecekte adres alanınız için bu (ve diğer) trafik müdahalesi türlerini otomatik olarak tanımlamamıza ve tespit etmemize yardımcı olacaktır.
Trafiğinizin böyle bir şekilde ele geçirildiğini gerçek zamanlı olarak fark ederseniz, buna kendiniz karşı koymayı deneyebilirsiniz. İlk yaklaşım, bu daha spesifik öneklerle rotaların reklamını kendiniz yapmaktır. Bu öneklere yeni bir saldırı olması durumunda tekrarlayın.
İkinci yaklaşım ise saldırganı ve kendisi için kritik nokta olan kişileri (iyi rotalar için) saldırgana rotalarınızın erişimini keserek cezalandırmaktır. Bu, saldırganın ASN'sini eski rotalarınızın AS_PATH'sine ekleyerek ve böylece onları BGP'deki yerleşik döngü algılama mekanizmasını kullanarak bu AS'den kaçınmaya zorlayarak yapılabilir. .
Kaynak: habr.com