The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

28.04.2017 11:03  Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP

Проект BGPMon, выполняющий мониторинг изменения BGP-маршрутов, зафиксировал аномальное перенаправление значительной части трафика крупнейших финансовых сервисов, включая Visa, MasterCard и некоторых банков. Из-за внесения изменений в анонсируемые через BGP маршруты, значительная часть трафика ряда финансовых сервисов начала направляться в сеть Ростелекома. Трафик перенаправлялся в течение 5-7 минут, после чего маршрутизация нормализовалась.

Аномалия была вызвана добавлением в таблицы маршрутизации Ростелекома 50 префиксов автономных систем (37 уникальных AS), среди которых были подсети ряда крупных финансовых сервисов и банков, что привело к тому, что данные автономные системы были анонсированы по BGP как находящиеся в сети Ростелекома. Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов (сейчас любой оператор может анонсировать подсеть с фиктивными сведениями о длине маршрута и инициировать транзит через себя части трафика от ближних систем, не применяющих фильтрацию анонсов).

В случае Ростелекома вопросы вызывает присутствие известных финансовых сервисов в списке перенаправленных сетей (случайные утечки обычно менее избирательны) и то, что характер префиксов свидетельствует о ручном изменении таблиц маршрутизации, а не типичной утечке анонсов по цепочке "BGP - OSPF - BGP"). Тем не менее, скорее всего проблема вызвана ошибкой в конфигурации, так как проведение столько заметной и грубой атаки по перехвату трафика маловероятно.

Но даже если была совершена ошибка, настораживает сам факт интереса инженеров Ростелекома к сетям финансовых сервисов (возможно, ошибка была совершена в ходе настройки внутреннего мониторинга/зеркалирования проходящего через Ростелеком трафика для всплывших автономных систем, как в своё время заворачивание в Пакистане подсетей YouTube на null-интерфейс привело к появлению этих подсетей в BGP анонсах и стеканию трафика YouTube в Пакистан). В случае получения доступа к транзитному трафику Visa и MasterCard дешифровка почти исключена, но имеется возможность изучить характер трафика и источники запросов, что может быть использовано для проведения целевых атак на менее защищённые партнёрские компании.



  1. Главная ссылка к новости (https://arstechnica.com/securi...)
  2. OpenNews: В рамках проекта GoBGP развивается реализация протокола BGP на языке Go
  3. OpenNews: BGP достиг рубежа в 512 тысяч маршрутов, что может привести к проблемам в интернете
  4. OpenNews: Выявлена техника MITM-атак, основанная на подстановке фиктивных BGP-маршрутов
  5. OpenNews: Эксперимент RIPE NCC выявил ошибку в реализации протокола BGP в Cisco IOS
  6. OpenNews: Проблемы в BGP названы одной из самых опасных уязвимостей Интернета
Лицензия: CC-BY
Тип: Тема для размышления
Ключевые слова: bgp, hijack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Адекват, 11:43, 28/04/2017 [ответить] [смотреть все]
  • –12 +/
    а я думал что Ростелеком только во времена лет 10 назад adsl-модемов был плохи... весь текст скрыт [показать]
     
     
  • 2.3, Аноним, 11:44, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Так-то его 10 лет назад и не было. Был Связь-инвест.
     
     
  • 3.15, fi, 12:42, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    ну ну, Ростелеком был изначально А ваши Связь-инвест etc мелкие пиявки на... весь текст скрыт [показать]
     
     
  • 4.30, mma, 13:52, 28/04/2017 [^] [ответить] [смотреть все]  
  • +8 +/
    Ростелеком понаскупал региональных операторов крупных и неочень, а до того пока не потекли в него рекой денюшки был лишь магистралом средней паршивости.
     
     
  • 5.46, qweasd, 15:36, 28/04/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Ростелеком никогда не был магистралом Магистралами были РТКомм дочка , Стартте... весь текст скрыт [показать]
     
  • 2.9, Анином, 11:55, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    10 лет назад небыло ростелекома в нынешнем понимании Были региональные провайде... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, qwerty123, 14:08, 28/04/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    Кто объеденили Можно поконкретнее ... весь текст скрыт [показать]
     
     
  • 4.34, Аноним, 14:14, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Как минимум, Новосибирский Сибирьтелеком.
     
     
  • 5.36, Аноним, 14:41, 28/04/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Дальсвязь туда же
     
     
  • 6.60, Аноним, 16:34, 28/04/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    + ВолгаТелеком и ещё до фига других.
     
  • 4.68, jh, 17:25, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    у нас - Крастелеком->Сибирьтелеком->Ростелеком.
     
     
  • 5.81, Игорь Арбичев, 17:10, 29/04/2017 [^] [ответить] [смотреть все]  
  • +/
    У нас (Московская область) - был Центртелеком -регионалы.
     
  • 3.90, Аноним, 23:17, 05/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Сначала было наследие Советского периода - контора монополист В начале 90х, её ... весь текст скрыт [показать]
     
  • 1.2, Аноним, 11:43, 28/04/2017 [ответить] [смотреть все]  
  • +3 +/
    Немного не в тему Некоторые сайты предлагают мне зеркала Европа, Азия, Северна... весь текст скрыт [показать]
     
     
  • 2.10, leap42, 11:56, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +14 +/
    если совсем коротко, то самый дешевый маршрут не всегда самый близкий/быстрый. провайдеры всегда заруливают трафик в самый дешевый.
     
  • 2.12, rm1, 12:29, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    Они есть по сути только у Ростелекома, но используются очень избирательно, в основном для клиентов на ДВ, и иногда для Сибири. Раньше было и для Урала, но теперь нет. Видимо причина в том что недостаточна ёмкость на этом направлении, либо проще выключить мозг и гнать всё подряд через Европу и США.

    У RETN и TTK тоже раньше были какие-то прямые каналы в Азию, но уже с год как больше не видно их на трейсах.

    МТС, Мегафон, Билайн - вообще забудьте.

     
  • 2.19, пох, 13:01, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –5 +/
    разумеется, нет Уж ты-то, живя в этой самой азии, должен немножко представлять ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.59, Аноним, 16:21, 28/04/2017 [^] [ответить] [смотреть все]  
  • +25 +/
    > монгольскими овцее... ?

    Извините, уважаемый эксперт по "этим делам", но у нас в Монголии такого отродясь не бывало, в отличии, скажем, от некоторых высокодуховных субъектов вашей федерации (на что есть, кстати, документальные факты, зафиксированные видео-хостингом YouTube). Я бы не хотел развивать эту тему, но не могли бы Вы обойтись без оскорблений в своих нечестивых и малокультурных речах? Спасибо.

     
     
  • 4.61, лол, 16:38, 28/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    не обращайте внимания. Это не мейнстрим.
     
  • 3.82, Аноним, 17:49, 29/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Для не монгольских трафик 8212 Викисловарь ru wiktionary org 8250 wiki тра... весь текст скрыт [показать]
     
  • 2.47, qweasd, 15:38, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    В азии российских трафик не нужен, а значит, не нужна связность Сами в РФ они н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.66, пох, 17:03, 28/04/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    он не то чтоб совсем не нужен, но, блин, дорого Корпорации, скрипя зубьями, оп... весь текст скрыт [показать]
     
  • 2.89, Котик, 12:16, 03/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Живу на Урале, у меня пинг до Уругвая и НЗ меньше, чем до Южной Кореи и Японии ... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Аноним, 11:47, 28/04/2017 [ответить] [смотреть все]  
  • +22 +/
    >проведение столько заметной и грубой атаки по перехвату трафика маловероятно

    ха-ха

     
  • 1.5, Аноним, 11:47, 28/04/2017 [ответить] [смотреть все]  
  • +3 +/
    Первый раз слышу об этом проекте, хотя столько лет интересуюсь данной тематикой ... весь текст скрыт [показать]
     
  • 1.6, Аноним, 11:47, 28/04/2017 [ответить] [смотреть все]  
  • +/
    Но мы то знаем ...
     
  • 1.8, leap42, 11:54, 28/04/2017 [ответить] [смотреть все]  
  • +16 +/
    > Visa, MasterCard и некоторых банков

    случайно, да, я так и подумал

     
  • 1.11, Аноним, 12:22, 28/04/2017 [ответить] [смотреть все]  
  • +2 +/
    Любой иностранный провайдер в аналогичной ситуации не насторожил бы автора ... весь текст скрыт [показать]
     
     
  • 2.14, Аноним, 12:33, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Если бы это был американский провайдер, то тему вообще не стали бы выносить на п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Andrey Mitrofanov, 12:44, 28/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Да, никого не волнует Ни то, ни это http people skolelinux org pere blog Whe... весь текст скрыт [показать]
     
  • 2.57, Аноним, 16:12, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Всё дело у вас в бы , вот когда случится это самое бы с какой-нибудь Угандой ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.62, лол, 16:41, 28/04/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Невозможно будет откомментировать такую новость, ибо про неё просто вы не узнает... весь текст скрыт [показать]
     
     
  • 4.73, пох, 19:37, 28/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    конечно, конечно - на свете ведь ровно один сайт, мониторящий внезапные уходы тр... весь текст скрыт [показать]
     
  • 2.78, logan, 03:18, 29/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Когда такой фокус лет 8 назад провернул Huaeway - занервничали, помнится, все.
     
  • 2.87, Аноним, 03:30, 30/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    шигорин, залогиньтесь.
     
  • 1.13, Аноним, 12:31, 28/04/2017 [ответить] [смотреть все]  
  • +2 +/
    А кто сказал, что фейковый анонс исходил из Ростелекома ... весь текст скрыт [показать]
     
     
  • 2.17, Аноним, 12:44, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    да я вот тоже сомневаюсь что у хипсторского сабжа есть пиринг со всеми АС ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, dredd, 13:04, 28/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    а наличие внезапно ростелековской AS в AS-PATH например, где его отродясь не был... весь текст скрыт [показать]
     
     
  • 4.42, Аноним, 15:13, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Нет. бывают дятлы которые имеют пиринг с ростелекомом.
     
  • 2.21, пох, 13:07, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Очевидно, всем похрен, _откуда_ он пришел да и вычислить это непросто , важно -... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.55, Аноним, 15:59, 28/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Не в рамках учений, а в рамках предлога для введения новых санкций А что, это т... весь текст скрыт [показать]
     
  • 1.18, Аноним, 12:55, 28/04/2017 [ответить] [смотреть все]  
  • –2 +/
    А зачем эти домыслы здесь?
     
  • 1.22, dq0s4y71, 13:07, 28/04/2017 [ответить] [смотреть все]  
  • +/
    Прикидывают, как весь трансграничный трафик через Ростелеком передавать будут? Давно обещали - http://www.vedomosti.ru/newspaper/articles/2013/08/20/zagranpasport-dlya-prov
     
     
  • 2.27, пох, 13:40, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    хуже прикидывают, как не весь давно сделали Для этого банковский траффик пере... весь текст скрыт [показать] [показать ветку]
     
  • 1.23, Аноним, 13:19, 28/04/2017 [ответить] [смотреть все]  
  • +/
    Возможна ли такая схема делаем анонс, заворачивая трафик на свою машину, там ст... весь текст скрыт [показать]
     
     
  • 2.29, пох, 13:47, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    нет ну то есть сертификат ты получишь, но не нужен п-юлей Причем бить будут ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.56, Аноним, 16:07, 28/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    намекаете, что какой-нить василий из ряда технарей Ростелекома мог в одиночку по... весь текст скрыт [показать]
     
     
  • 4.67, пох, 17:09, 28/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    не, не мог Спереть деньги и хрен вы меня найдете мог, но он бы тоже выбрал пр... весь текст скрыт [показать]
     
     
  • 5.70, Аноним, 18:40, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    я не в том смысле, что они воруют не думаю, что они что-то могли бы воровать дл... весь текст скрыт [показать]
     
     
  • 6.75, пох, 19:55, 28/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    иная снимается с сормов штатным образом, или нештатно зайти в собственно банчо... весь текст скрыт [показать]
     
  • 1.24, Random, 13:23, 28/04/2017 [ответить] [смотреть все]  
  • +1 +/
    Скорее всего связано с переговорами по поводу приёма карты МИР операторами мастеркард, с июля бюджетников на эту карту переводят.
     
     
  • 2.25, Аноним, 13:31, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Один уже назвал софт Миром с явной отсылкой к космической станции Не стоило н... весь текст скрыт [показать] [показать ветку]
     
  • 2.26, Аноним, 13:38, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    РФ идёт к электронным деньгам Не потому что это модно и правильно, а потому что... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, тоже Аноним, 13:57, 28/04/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Не хотелось бы оправдывать, но выведение денег из черноты и серости - единст... весь текст скрыт [показать]
     
     
  • 4.35, Аноним, 14:27, 28/04/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Два завода одного холдинга один в России, другой в Канаде Сравнение от топ-мен... весь текст скрыт [показать]
     
     
  • 5.40, тоже Аноним, 15:11, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    В том-то и дело, что, если ВСЕ платежи под контролем, жене мэра тоже придется об... весь текст скрыт [показать]
     
     
  • 6.44, Аноним, 15:18, 28/04/2017 [^] [ответить] [смотреть все]  
  • +14 +/
    Её покупки оплатит благотворительный фонд "Радость чиновничества". 10-летний сын-миллиардер купил ей квартиру в центре, роллс-ройс, личный самолёт и замок в Шотландии. А свою зарплату она пожертвовала больным и бездомным.

    Читаешь, и аж слёзы наворачиваются...

     
     
  • 7.53, тоже Аноним, 15:54, 28/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Да понятно, что все эти инструменты работают только тогда, когда тому, кто имеет... весь текст скрыт [показать]
     
  • 5.41, anonymous., 15:11, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Оформлены то ДА, а вот проверять нужно не избирательно.
    Тогда и эффект будет.
     
  • 5.74, _, 19:46, 28/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Ути пуси А курс По статье 2013 года - в России конструктор получал 2000U... весь текст скрыт [показать]
     
     
  • 6.76, Аноним, 22:33, 28/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Зато еда дешевле Во-вторых, твои 60к дают только в МСК и Питере, а там дают так... весь текст скрыт [показать]
     
  • 1.39, Аноним, 15:09, 28/04/2017 [ответить] [смотреть все]  
  • +1 +/
    5 минут и дефицита бюджета нет.
     
  • 1.43, Аноним, 15:15, 28/04/2017 [ответить] [смотреть все]  
  • +/
    Ростелеком хакнул платежные системы
     
  • 1.45, Аноним, 15:31, 28/04/2017 [ответить] [смотреть все]  
  • +2 +/
    как говорил классик, страшны именно те времена, когда самые нелепые вещи могут б... весь текст скрыт [показать]
     
     
  • 2.48, Аноним, 15:41, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Да тут всё, что угодно может быть - вплоть до снятия дампа Сняли порцию траффик... весь текст скрыт [показать] [показать ветку]
     
  • 1.49, Аноним, 15:49, 28/04/2017 [ответить] [смотреть все]  
  • +/
    версии могут быть любые дайте больше инфы, что сами ростелекомы говорят хотя по... весь текст скрыт [показать]
     
  • 1.50, iZEN, 15:52, 28/04/2017 [ответить] [смотреть все]  
  • –1 +/
    Да это же банальная подстава честных инженеров РТК иностранными спецслужбами!
    Смотрите, как грубо сработали, чтобы остались... вопросы.
     
  • 1.51, Anonimus, 15:53, 28/04/2017 [ответить] [смотреть все]  
  • +1 +/
    С Ростелекомом бывает..... Они даже сицки после настройки reload не хотят, а потом перегружают не вовремя.... и удивляются как у них трафик куда уходит...
     
     
  • 2.54, Аноним, 15:57, 28/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    при всем при этом даже для ростелекома это крайне необычная ситуация...
     
  • 1.72, t28, 19:23, 28/04/2017 [ответить] [смотреть все]  
  • –4 +/
    Хе-хе.
    Гибридный ответ на "Томагавки".
    Демонстрация возможностей.
     
  • 1.79, EuPhobos, 08:05, 29/04/2017 [ответить] [смотреть все]  
  • +1 +/
    И никто не обсуждает всю уё...ность протокола BGP. Который является основой маршрутизации всего интернета, и в принципе не обладает никакой защитой. Любой инженер любого провайдера, или обладателя АС с несколькими узлами магистральщиков может по-наворотить без проблем. Зато будем бороться за HTTPS и кричать, как плохо и небезопасно HTTP..
     
     
  • 2.80, Аноним, 14:34, 29/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    сам по себе протокол - неплох Фильтры при желании пишутся на раз через RIPE DB,... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.84, Аноним, 22:35, 29/04/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Работаю в Tier 1 ISP Нет, не доверяем вообще никому 8212 ни клиентам, ни пир... весь текст скрыт [показать]
     
     
  • 4.86, nikosd, 23:34, 29/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Teir 1 вынужден доверять нескольким пирам от которых может получить полную т... весь текст скрыт [показать]
     
  • 2.85, Аноним, 22:36, 29/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Потому, что BGP 8212 отличный протокол маршрутизации, а в будущем он станет е... весь текст скрыт [показать] [показать ветку]
     
  • 1.88, Аноним, 11:57, 01/05/2017 [ответить] [смотреть все]  
  • +/
    То ли ещё будет Вымпелком , Мегафон , теперь и Ростелеком увольняет специал... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor