IP hijacking

Материал из Циклопедии
Перейти к навигации Перейти к поиску

IP hijacking (иногда называемый BGP перехват, префиксный перехват или перехват маршрута) является незаконным поглощением групп IP-адресов, повреждая интернет-таблицы маршрутизации.

Интернет — глобальная сеть, в которой каждый узел идентифицирован его уникальным IP-адресом, чтобы иметь возможность передавать информацию на любой другой, где угодно в мире. Это происходит благодаря передаче данных от одного маршрутизатора до другого, неоднократно двигая каждый пакет ближе к его месту назначения, пока он безопасно не достигнет своего местоположения. Чтобы это работало, каждый маршрутизатор должен регулярно получать актуальные таблицы маршрутизации. На глобальном уровне отдельные IP-адреса группируются в префиксы. Эти префиксы будут порождены или принадлежать автономной системе (AS), и таблицы маршрутизации между автономными системами сохраняются, используя Протокол граничного шлюза (BGP). Группа сетей, которые работают под единой внешней политикой маршрутизации, известна как автономная система. Например, Sprint, MCI и AT&T — каждая это AS. У каждой AS есть своё собственное уникальное число идентификатора AS. BGP — стандартный протокол маршрутизации, используемый, чтобы обмениваться информацией о маршрутизации IP между автономными системами.

Каждый AS использует BGP, чтобы распространить префиксы, которым можно поставить трафик. Например, если сетевой префикс 192.0.2.0/24 внутри AS 64496, то AS скажет своему провайдеру(ам), что она может получать любой трафик, предназначенный для 192.0.2.0/24. IP hijacking может произойти сознательно или случайно одним из нескольких способов:

  • AS объявляет, что порождает префикс, который она фактически не порождает.
  • AS объявляет о более определенном префиксе, чем может быть объявлен инициирующей AS.
  • AS объявляет, что может направить трафик к угнанному AS через более короткий маршрут, чем сейчас доступ, независимо от того, существует ли маршрут фактически.

Общее для этих ситуаций — нарушение нормальной маршрутизации сети: пакеты переданы к неправильной части сети, и затем либо входят в бесконечный цикл (и отбрасываются), или перехватываются нарушителем AS. Обычно провайдеры фильтруют трафик BGP, позволяя объявлениям BGP от нисходящих сетей содержать только допустимое пространство IP. Однако, история инцидентов IP hijacking показывает, что это не всегда имеет место. Налет IP иногда используется вредоносными пользователями, чтобы получить IP-адреса для использования в рассылке спама или в атаке распределенного отказа в обслуживании (DDoS).

BGP hijacking и проблема transit-AS[править]

Как и при атаке TCP Reset, перехват сеанса включает проникновение в продолжающийся сеанс BGP, то есть, атакующий успешно подменяет одному из пиров в сеансе BGP и запрашивает ту же информацию, которая нужна для TCP Reset. Различие — в том что атака перехвата сеанса может быть разработана так, чтобы достигнуть большего, чем простой перевод в нерабочее состояние сеанс между пирами BGP. Например, цель может состоять в том, чтобы изменить маршруты, используемые пиром,[1] чтобы упростить подслушивание, блэк холлинг или анализ трафика.

По умолчанию пиры EBGP попытаются добавить все маршруты, полученные другим пиром в таблицу маршрутизации устройства, и попытаются распространить почти все эти маршруты другим коллегам EBGP. Это может быть проблемой, поскольку многосетевые организации могут непреднамеренно распространить префиксы, полученные от одного AS до другого, заставляя конечного клиента стать своим новым клиентом, пользуясь лучшим путём к этим префиксам. Например, клиент с маршрутизатором Cisco, взаимодействующим c AT&T и Verizon и не использующий фильтрацию, автоматически попытается соединить двух крупных поставщиков услуг, что может стать причиной предпочтения провайдеров отправлять часть или всего трафика через клиента (на, возможно, T1), вместо того, чтобы использовать высокоскоростные выделенные каналы. Эта проблема может далее влиять на других, которые взаимодействуют с этими двумя провайдерами и также заставляют те автономные системы предпочитать неправильно сконфигурированную ссылку. В действительности эта проблема почти никогда не происходит с большими провайдерами, поскольку эти провайдеры имеют тенденцию ограничивать то, что может распространить конечный клиент. Однако, любой провайдер, не фильтрующий потребительские объявления, может позволить ошибочной информации быть распространенной в глобальную таблицу маршрутизации, где это может влиять даже на большого провайдера 1 уровня .

Концепция BGP hijacking вращается вокруг определения местоположения провайдера, который не фильтрует объявления (преднамеренно или иным образом) или определяет местоположение провайдера, чей внутренний сеанс[en] BGP или сеанс провайдер-провайдер восприимчив к атаке человек посередине. После этого атакующий может потенциально распространить любой префикс, который он хочет, заставляя некоторый или весь трафик быть отклоненными из реального источника к атакующему. Это может быть сделано или чтобы перегрузить провайдера, в сеть которого атакующий проник, или выполнять DoS или "атаку перевоплощения" на объект, префикс которого распространяется. Атакующему весьма свойственно вызывать серьезные нарушения в работе сети, до и включая полную потерю связи. В начале 2008, по крайней мере восьми американским университетам отклонили их трафик в Индонезию в течение приблизительно 90 минут, в неожиданной утренней атаке, проведенной неизвестными. Кроме того, в феврале 2008 значительная часть адресного пространства YouTube была перенаправлена в Пакистан, когда Пакистанское Телекоммуникационное министерство решило блокировать доступ [1] к сайту из страны, но случайно поместило маршрут в черный список в глобальной таблице BGP.

В то время как фильтрация и защита MD5/TTL уже доступна для большинства реализаций BGP (предотвращение источника большинства атак), основы проблем лежат как в том, что провайдеры редко фильтруют объявления от другого провайдера, так и в том что нет никакого общего или эффективного способа определить список допустимых префиксов, которые может породить каждый AS. Возможные меры после получения ошибочной информации, которая потенциально будет распространена, могут колебаться от простой фильтрации трафика от провайдера до полного завершению работы сеанса BGP с соседним провайдром (чтобы заставлять два провайдера прекратить взаимодействовать), и повторение проблемы часто заканчиваются завершением всех пиринговых соглашений. Также примечательно, что даже заставляя главного провайдера блокировать или завершить работу меньшего, проблематичного провайдера, глобальная таблица BGP часто реконфигурирует и перенаправляет трафик через другие доступные маршруты, пока все пиры не примут меры, или пока ошибочный провайдер не решает проблему в источнике.

Одно полезное ответвление этой концепции - передача одному из узлов BGP и частое использование корневых серверов DNS, чтобы позволить многократным серверам использовать тот же IP-адрес, обеспечивая избыточность и уровень защиты от атак DoS, не публикуя сотни IP-адресов серверов. Различие в этой ситуации — то, что каждая точка, распространяя префикс фактически имеет доступ к реальным данным (DNS в этом случае) и правильно отвечает на запросы конечного пользователя.

Известные инциденты[править]

  • April 1997: The "AS 7007 incident" [2]
  • December 24, 2004: TTNet in Turkey hijacks the Internet [3]
  • May 07, 2005: Google's May 2005 Outage [4]
  • January 22, 2006: Con-Edison hijacks big chunk of the Internet[5]
  • February 24, 2008: Pakistan's attempt to block YouTube access within their country takes down YouTube entirely.[6]
  • November 11, 2008: The Brazilian ISP CTBC - Companhia de Telecomunicações do Brasil Central leaked their internal table into the global BGP table.[7][8] It lasts over 5 minutes. Although, it was detected by a RIPE route server and then it was not propagated, affecting practically only their own ISP customers and few others.
  • April 8, 2010: Chinese ISP hijacks the Internet[9] - China Telecom originated 37,000 prefixes not belonging to them in 15 minutes, causing massive outage of services globally.

Ссылки[править]

  1. BBC News
  2. Merit.edu
  3. Renesys.com
  4. Analysis of BGP Prefix Origins During Google’s May 2005 Outage
  5. Renesys.com
  6. Ripe.net
  7. Brazil Leak: If a tree falls in the rainforest - Renesys
  8. When Hijacking the Internet…. | DDoS and Security Reports | Arbor Networks Security Blog
  9. Bgpmon.net
Источник — http://cyclowiki.org/w/index.php?title=IP_hijacking&oldid=643574