BGP-kapning

BGP-kapning (ibland kallad prefixkapning , ruttkapning eller IP-kapning ) är det olagliga övertagandet av grupper av IP-adresser genom att korrumpera routningstabeller för Internet som underhålls med hjälp av Border Gateway Protocol (BGP).

Bakgrund

Internet är ett globalt nätverk som gör det möjligt för alla anslutna värdar, identifierade med sin unika IP-adress , att prata med vilken annan som helst, var som helst i världen. Detta uppnås genom att överföra data från en router till en annan, upprepade gånger flytta varje paket närmare sin destination, tills det förhoppningsvis levereras. För att göra detta måste varje router regelbundet förses med uppdaterade routingtabeller . På global nivå grupperas individuella IP-adresser till prefix . Dessa prefix kommer att skapas, eller ägas, av ett autonomt system (AS) och routningstabellerna mellan ASer underhålls med hjälp av Border Gateway Protocol (BGP).

En grupp nätverk som fungerar under en enda extern routingpolicy kallas ett autonomt system. Till exempel Sprint , Verizon och AT&T var och en ett AS. Varje AS har sitt eget unika AS-identifieringsnummer. BGP är standardroutingprotokollet som används för att utbyta information om IP-routing mellan autonoma system.

Varje AS använder BGP för att annonsera prefix som det kan leverera trafik till. Till exempel, om nätverksprefixet 192.0.2.0 / 24 finns i AS 64496, kommer det AS att annonsera för sina leverantörer och/eller peer att det kan leverera all trafik avsedd för 192.0.2.0 / 24 .

Även om säkerhetstillägg är tillgängliga för BGP och tredje parts rutt-DB-resurser finns för att validera rutter, är BGP-protokollet som standard utformat för att lita på alla ruttmeddelanden som skickas av peers, och få internetleverantörer tillämpar strikt kontroller av BGP- sessioner .

Mekanism

IP-kapning kan ske avsiktligt eller av misstag på ett av flera sätt:

  • Ett AS meddelar att det har ett prefix som det faktiskt inte härstammar från.
  • Ett AS tillkännager ett mer specifikt prefix än vad som kan meddelas av det verkliga ursprungs AS.
  • Ett AS meddelar att det kan dirigera trafik till det kapade AS genom en kortare väg än vad som redan är tillgänglig, oavsett om rutten faktiskt existerar eller inte.

Gemensamt för dessa sätt är att de stör den normala routningen av nätverket: paket hamnar i att vidarebefordras till fel del av nätverket och går sedan antingen in i en oändlig slinga (och kasseras), eller hittas utlämnade till den kränkande AS:en. .

ISP:er filtrerar vanligtvis BGP-trafik, vilket gör att BGP-annonser från deras nedströmsnätverk endast innehåller giltigt IP-utrymme. En historia av kapningsincidenter visar dock att detta inte alltid är fallet.

Resource Public Key Infrastructure ( RPKI) är utformad för att autentisera rutts ursprung via kryptografiska certifikatkedjor som visar ägande av adressblockintervall, men är ännu inte allmänt distribuerad. När den väl har distribuerats bör IP-kapning genom felaktiga problem vid ursprunget (via både olycka eller avsikt) vara upptäckbar och filtrerbar.

IP-kapning används ibland av illvilliga användare för att få IP-adresser för användning i skräppost eller en DDoS-attack ( distributed denial-of-service).

När en router promulgerar felaktig BGP-routinginformation, oavsett om den åtgärden är avsiktlig eller oavsiktlig, definieras den av Internet Engineering Task Force (IETF) i RFC 7908 som en "ruttläcka". Sådana läckor beskrivs som "utbredningen av routingmeddelande(n) utanför deras avsedda omfattning. Det vill säga ett meddelande från ett autonomt system (AS) om en inlärd BGP-rutt till ett annat AS strider mot mottagarens avsedda policy, avsändaren och/eller en av AS:erna längs den föregående AS-vägen." Sådana läckor är möjliga på grund av en långvarig "...systemisk sårbarhet i routingsystemet för Border Gateway Protocol..."

BGP-kapning och transit-AS-problem

Liksom TCP-återställningsattacken , involverar sessionskapning intrång i en pågående BGP-session, dvs angriparen maskerar sig framgångsrikt som en av peers i en BGP-session och kräver samma information som behövs för att utföra återställningsattacken. Skillnaden är att en sessionskapningsattack kan utformas för att uppnå mer än att bara få ner en session mellan BGP-kamrater. Målet kan till exempel vara att ändra rutter som används av kamraten för att underlätta avlyssning, svart hål eller trafikanalys.

Som standard kommer EBGP-peers att försöka lägga till alla rutter som tagits emot av en annan peer i enhetens routingtabell och kommer sedan att försöka annonsera nästan alla dessa rutter till andra EBGP-peers. Detta kan vara ett problem eftersom multi-homed organisationer oavsiktligt kan annonsera prefix som lärts från ett AS till ett annat, vilket gör att slutkunden blir den nya bästa vägen till prefixen i fråga. Till exempel, en kund med en Cisco-router som peering med t.ex. AT&T och Verizon och som inte använder någon filtrering kommer automatiskt att försöka länka de två stora operatörerna, vilket kan få leverantörerna att föredra att skicka en del eller all trafik genom kunden (på kanske en T1) , istället för att använda dedikerade höghastighetslänkar. Detta problem kan ytterligare påverka andra som peer med dessa två leverantörer och även få dessa AS att föredra den felkonfigurerade länken. I verkligheten uppstår detta problem nästan aldrig med stora internetleverantörer, eftersom dessa internetleverantörer tenderar att begränsa vad en slutkund kan annonsera. Varje internetleverantör som inte filtrerar kundannonser kan dock tillåta att felaktig information annonseras i den globala routingtabellen där den kan påverka även de stora Tier-1-leverantörerna.

Konceptet med BGP-kapning kretsar kring att lokalisera en ISP som inte filtrerar annonser (avsiktligt eller på annat sätt) eller att lokalisera en ISP vars interna eller ISP-till-ISP BGP-session är mottaglig för en man-in-the-middle- attack . När en angripare väl har hittats kan den potentiellt annonsera vilket prefix som helst, vilket gör att en del eller all trafik avleds från den verkliga källan till angriparen. Detta kan göras antingen för att överbelasta internetleverantören som angriparen har infiltrerat, eller för att utföra en DoS- eller identitetsattack på den enhet vars prefix annonseras. Det är inte ovanligt att en angripare orsakar allvarliga avbrott, upp till och med en fullständig förlust av anslutning. I början av 2008 fick minst åtta amerikanska universitet sin trafik omdirigerad till Indonesien i cirka 90 minuter en morgon i en attack som mestadels hölls tyst av de inblandade. till webbplatsen omdirigerades också en stor del av YouTubes adressutrymme till Pakistan när PTA beslutade att blockera åtkomsten inifrån landet, men av misstag bröt rutten i den globala BGP-tabellen.

Även om filtrering och MD5/TTL-skydd redan är tillgängligt för de flesta BGP-implementeringar (och därmed förhindrar källan till de flesta attacker), härrör problemet från konceptet att internetleverantörer sällan någonsin filtrerar annonser från andra internetleverantörer, eftersom det inte finns något vanligt eller effektivt sätt att fastställa listan över tillåtna prefix som varje AS kan skapa. Straffet för att tillåta att felaktig information annonseras kan sträcka sig från enkel filtrering av andra/större internetleverantörer till en fullständig avstängning av BGP-sessionen av den angränsande internetleverantören (vilket gör att de två internetleverantörerna slutar peering), och upprepade problem slutar ofta i permanent avslutning av alla peering-avtal. Det är också anmärkningsvärt att även om den får en större leverantör att blockera eller stänga av en mindre, problematisk leverantör, kommer den globala BGP-tabellen ofta att konfigurera om och dirigera om trafiken genom andra tillgängliga rutter tills alla peers vidtar åtgärder, eller tills den felande internetleverantören åtgärdar problemet kl. källan.

En användbar utlöpare av detta koncept kallas BGP anycasting och används ofta av rot-DNS-servrar för att tillåta flera servrar att använda samma IP-adress, vilket ger redundans och ett lager av skydd mot DoS-attacker utan att publicera hundratals server-IP-adresser. Skillnaden i denna situation är att varje punkt som annonserar ett prefix faktiskt har tillgång till den verkliga datan (DNS i det här fallet) och svarar korrekt på slutanvändarförfrågningar.

Offentliga incidenter

  • April 1997: " AS 7007-incidenten "
  • 24 december 2004: TTNet i Turkiet kapar internet
  • 7 maj 2005: Googles avbrott i maj 2005
  • 22 januari 2006: Con Edison Communications kapar en stor del av Internet
  • 24 februari 2008: Pakistans försök att blockera YouTube- åtkomst i sitt land tar bort YouTube helt.
  • 11 november 2008: Den brasilianska internetleverantören CTBC - Companhia de Telecomunicações do Brasil Central läckte sin interna tabell till den globala BGP-tabellen. Det varade i över 5 minuter. Även om det upptäcktes av en RIPE-ruttserver och sedan spreds det inte, vilket praktiskt taget bara påverkade deras egna ISP-kunder och få andra.
  • 8 april 2010: Kinesisk internetleverantör kapar internet
  • Juli 2013: Hacking-teamet hjälpte Raggruppamento Operativo Speciale (ROS - Special Operations Group of the Italian National Military Police) att återfå åtkomst till Remote Access Tool-klienter (RAT) efter att de plötsligt förlorade åtkomsten till en av sina kontrollservrar när Santrex IPv4-prefixet 46.166.163.0/24 blev permanent oåtkomlig. ROS och Hacking Team arbetade med den italienska nätverksoperatören Aruba SpA (AS31034) för att få prefixet tillkännagivet i BGP för att återfå åtkomst till kontrollservern.
  • Februari 2014: Kanadensisk ISP används för att omdirigera data från ISP:er. - I 22 incidenter mellan februari och maj omdirigerade en hackare trafiken i ungefär 30 sekunder varje session. Bitcoin och andra gruvverksamheter i kryptovaluta var målinriktade och valuta stals.
  • Januari 2017: Iransk pornograficensur.
  • April 2017: Det ryska telekommunikationsföretaget Rostelecom (AS12389) skapade 37 prefix för många andra autonoma system. De kapade prefixen tillhörde finansiella institutioner (främst MasterCard och Visa), andra telekomföretag och en mängd andra organisationer. Även om den eventuella kapningen varade i högst 7 minuter är det fortfarande oklart om trafiken avbryts eller modifierades.
  • December 2017: Åttio högtrafikerade prefix som normalt tillkännages av Google , Apple , Facebook , Microsoft , Twitch , NTT Communications , Riot Games och andra, tillkännagavs av ett ryskt AS, DV-LINK-AS (AS39523).
  • April 2018: Ungefär 1300 IP-adresser inom Amazon Web Services- utrymme, dedikerade till Amazon Route 53 , kapades av eNet (eller en kund därav), en internetleverantör i Columbus, Ohio. Flera peering-partners, som Hurricane Electric, spred blint meddelandena.
  • Juli 2018: Iran Telecommunication Company (AS58224) skapade 10 prefix för Telegram Messenger .
  • November 2018: USA-baserade China Telecom-webbplatsen har sitt ursprung i Google-adresser.
  • Maj 2019: Trafik till en offentlig DNS som drivs av Taiwan Network Information Center (TWNIC) omdirigerades till en enhet i Brasilien (AS268869).
  • Juni 2019: Stor europeisk mobiltrafik omdirigerades genom China Telecom (AS4134) "Denna ruttläcka började när [Swiss] SafeHost (AS21217) tillkännagav mer än fyrtiotusen IPv4-rutter som hade lärts från andra peers och leverantörer till dess leverantör China Telecom (AS 4134). ...I sin tur accepterade China Telecom dessa rutter och spred dem..."
  • Februari 2021: Initialt rapporterade att Cablevision Mexico (AS28548) läckte 282 prefix som skapade konflikter för 763 ASN i 80 länder, med den största effekten i Mexiko. Data från Isolario MRT-dumpen antydde att 7 200 IPv4-prefix tillkännagavs och läckte ut till AS1874 som påverkar mer än 1290 ASN från över 100 länder.
  • April 2021: Stor BGP-routing läcker ut ur Indien: över 30 000 BGP-prefix kapade via Vodafone Idea Ltd (AS55410) vilket orsakar en ökning på 13 gånger i inkommande trafik. Prefix kom från hela världen men mestadels från USA inklusive Google, Microsoft, Akamai och Cloudflare.
  • Februari 2022: Angripare kapade BGP-prefix som tillhörde en sydkoreansk kryptovalutaplattform och utfärdade sedan ett certifikat på domänen via ZeroSSL för att servera en skadlig JavaScript-fil och stal kryptovaluta till ett värde av 1,9 miljoner dollar.
  • Mars 2022: RTComm kapade ett prefix som används av Twitter.

Se även

externa länkar

  • Qrator.Radar : Ett BGP-anslutnings- och säkerhetsövervakningssystem i realtid.
  • BGPmon.net : Ett BGP-specifikt övervakningssystem för att upptäcka prefixkapningar, ruttläckage och instabilitet.
  • Cyclops : Ett BGP-nätverksgranskningsverktyg (prefixkapning, ruttläckage) av UCLA
  • NetViews : Ett realtidsverktyg för BGP-topologi-visualisering och upptäckt av IP-kapning av University of Memphis.
  • AS-CRED : En tjänst för ryktebaserad förtroendehantering och realtidsvarning (prefixkapning, instabil prefixmeddelande), för routing mellan domäner av University of Pennsylvania.
  • Är BGP säkert ännu? : Lista över internetleverantörer som implementerar Resource Public Key Infrastructure (RPKI).
Hämtad från " https://en.wikipedia.org/w/index.php?title=BGP_hijacking&oldid=1141148540 "