The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

29.05.2018 19:08  Зафиксирована попытка использования BGP для захвата трафика IP 1.1.1.1

Сервис BGPMon зафиксировал попытку подстановки фиктивного BGP-маршрута для перенаправления трафика подсети 1.1.1.0/24, в которой находится созданный компанией Cloudflare общедоступный DNS-сервер с поддержкой "DNS over TLS". Трафик был направлен в автономную систему 58879, анонсировавшую префикс 1.1.1.0/24 для своей сети. Сеть принадлежит китайскому провайдеру AnchNet (Shanghai Anchang Network Security Technology Co.,Ltd.).

Судя по сведениям одного из клиентов AnchNet, данная компания прокомментировала инцидент ошибкой при тестировании оборудования - администраторы использовали 1.1.1.0/24 в качестве тестового префикса, не предполагая, что эта подсеть принадлежит CloudFlare и используется для одного из крупнейших публичных DNS-сервисов.

Некоторые участники обсуждения не верят подобному объяснению (маловероятно, чтобы администратор крупного ISP совершил столь грубую ошибку при выборе адреса для тестирования) и считают, что инцидент является следствием оплошности при попытке организации перехвата трафика 1.1.1.1 на территории Китая в рамках деятельности "Великого китайского файрвола".

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Для атаки на MyEtherWallet использовался захват DNS-сервиса Amazon при помощи BGP
  3. OpenNews: BGPsec получил статус предложенного стандарта
  4. OpenNews: Выявлена техника MITM-атак, основанная на подстановке фиктивных BGP-маршрутов
  5. OpenNews: Проблемы в BGP названы одной из самых опасных уязвимостей Интернета
  6. OpenNews: Разбор причин нарушения работы сети Internet, вызванных некорректным BGP анонсом
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: bgp, traffic
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 19:17, 29/05/2018 [ответить] [смотреть все]    [к модератору]
  • –15 +/
    Сделано в китайцами, или взроблено, версия с рукой тоже
     
  • 1.2, Аноним, 19:21, 29/05/2018 [ответить] [смотреть все]    [к модератору]
  • +11 +/
    > автономную систему 58879, анонсировавшую префикс 1.1.1.0/24 для своей сети. Сеть принадлежит китайскому провайдеру AnchNet (Shanghai Anchang Network Security Technology Co.,Ltd.).

    Отобрать AS теперь надо у этих китайцев, чтоб другим неповадно было. Экспериментаторы, блин.

     
     
  • 2.24, metakeks, 22:53, 29/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +3 +/
    AS58879
    Country:  CN
    Registration Date:  2013-03-22
    Registrar:  apnic
    Owner:  ANCHNET Shanghai Anchang Network Security Technology Co.,Ltd., CN

    Да, пожалуй лишить на год-другой, пусть за натом посидят. Лучше учиться будут.

     
  • 2.44, Аноним, 16:48, 30/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +/
    Лушче бы отобрать у тех, кто BGP-анонсы не фильтрует Но тогда в мире 3,5 AS ост... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, An, 19:37, 29/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Не знали, а проверить?
    Сделано в Китае, сделано с умом )    
     
  • 1.4, Аноним, 19:52, 29/05/2018 [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    вся суть эникейщиков, нанятых из-за кошмарного кадрового голода... весь текст скрыт [показать]
     
     
  • 2.19, пох, 21:44, 29/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +7 +/
    увы, нет в этой области никакого "кадрового голода", есть стойкое нежелание работодателей платить нормальные зарплаты инженерам.

    Нате вам, реальность, данная нам в виде документа: компания очень-плохая-дорога ищет в default city (нет, не Пекин) инженера уровня CCIE/HCIE _со_знанием_китайского_языка_ (на уровне "как-то уметь понять разговорную речь", а не кое-как прочесть документацию). На жестко фиксированную зарплату, 80000 не долларов (спасибо что не йен)

    Как думаете, найдет?

    Вот и мне кажется, что человек с разговорным китайским и умом и талантом, позволяющим претендовать на ccie, найдет себе работу раз в десять более высокооплачиваемую - но, вероятно, ему придется искать ее в смежных отраслях, а настраивать маршрутизаторы он в этой жизни уже не будет.

     
     
  • 3.23, Аноним, 22:30, 29/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Не преувеличивай, ccie и прочие собачкины медальки это всего лишь знания, которы... весь текст скрыт [показать]
     
     
  • 4.28, пох, 00:29, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    нет Это умения теоретические знания, но это отдельно и там можно зазубрить ... весь текст скрыт [показать]
     
     
  • 5.35, anonymous, 11:07, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    gt оверквотинг удален Цискины экзамены большая часть людей сдаёт по дампам Пр... весь текст скрыт [показать]
     
     
  • 6.36, Аноним, 11:44, 30/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    В Нидерланды они тоже с дампами ездили?
     
     
  • 7.37, anonymous, 12:46, 30/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > В Нидерланды они тоже с дампами ездили?

    Сами дампы никуда везти не надо, из зазубривают до экзамена и сдают без понимания. Как и лабу, поскольку их обычно всего 3-4 варианта и их сливают.

     
  • 5.41, mumu, 15:28, 30/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    > А, да - гугль во время тестов недоступен.

    А компутер дадут? Или только А4 из вторсырья? А на круглый люк посадят? А со сферическим конём переговариваться можно будет по рации?

     
     
  • 6.50, пох, 21:51, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    дадут только A4 будет перед этим, written test - этот просто чтоб не тратить ... весь текст скрыт [показать]
     
  • 1.5, Аноним, 19:56, 29/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    да лана, всюду видеть злой умысел Китайцу досталась цискина методичка первого и... весь текст скрыт [показать]
     
     
  • 2.11, Аноним, 20:32, 29/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Подтверждаю Из-за некоторого железа, включая циски, 1 1 1 1 до сих пор у некото... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, пох, 21:09, 29/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –5 +/
    то есть вопрос не к профессионализму китайца, а к профессионализму желающих всех... весь текст скрыт [показать]
     
     
  • 4.31, Аноним, 03:45, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    С куяли по рукам автору идеи с красивым адресом Это в цисковских книжонках испо... весь текст скрыт [показать]
     
     
  • 5.49, пох, 21:33, 30/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > С куяли по рукам автору идеи с красивым адресом?

    потому что дурак - он. Мир не устроен идеально, и отличие "я щас все найду в гугле" от грамотного инженера как раз в том, что инженер должен знать/соображать, на личном опыте, чего делать нельзя, хотя это нигде не написано. Но, как уже говорено, инженерам сейчас модно платить три копейки, поэтому имеем вот таких. Одни копипастят без понимания, другие не в курсе о том, что копипастят первые и что это явление стало массовым.

    > Это в цисковских книжонках использовали адреса которые не имели право использовать.

    я имею право писать на (своем, заметим, собственном) заборе абсолютно любые адреса, даже из трех букв. Что ты примешь это как руководство к действию - я могу и не предвидеть.

    > Это авторов этих цисковских книжонок нужно бить по яйцам.

    а, ню-ню...

     
  • 1.6, Аноним, 20:03, 29/05/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Сила китайцев! а это они еще даже не злые...
     
     
  • 2.27, Аноним, 23:51, 29/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Им можно Они кстати еще переодически сканируют весь инет причем все порты на ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, Аноним, 06:03, 30/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    У них "Золотой щит", думай, зачем сканируют.
     
  • 1.7, Аноним, 20:11, 29/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Ну так же ж есть поддержка "DNS over TLS". Вот и нужно ее использовать
     
     
  • 2.10, Аноним, 20:30, 29/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    По дефалту на клиенте и без лишних заморочек, но как?
     
  • 2.20, loolz, 21:57, 29/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    не нужно использовать паблик днс, как все супер мега админы делают, забивая 8.8.8.8/1.1.1.1  везде где попало, настройте свой днс второго уровня смотрящий в корневые зоны, с верификацией если потдерживаетса.


    Не нужно думать, что OpenDNS не взломают и вас не начнут наебывать

     
     
  • 3.25, Аноним, 23:19, 29/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Конгениально Как же все до этого раньше не додумались вообще-то нет , запрос... весь текст скрыт [показать]
     
     
  • 4.29, Crazy Alex, 01:35, 30/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Да плевать - у тебя закэшируются. Зато будешь использовать нормальную отработанную схему, а не работать подопытным кроликом не понять у кого.
     
     
  • 5.42, Аноним, 16:32, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да это-то понятно Но вообще, It s depend Я делал и так, и эдак И переключал т... весь текст скрыт [показать]
     
     
  • 6.45, Аноним, 17:06, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Правильно будет 171 It depends 187 Зависит от прямоты рук Форвардер работа... весь текст скрыт [показать]
     
     
  • 7.53, Anonymous_, 02:55, 31/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Правильно будет «It depends».

    Да, это я лажанулся. Это, как оказалось, часто встречающаяся ошибка.
    > Зависит от прямоты рук.

    Да руки-то тут причём. И то, и другое настраивается в пол тыка.
    > Форвардер работает так быстро потому, что уже всё закэшировал, а не потому, что у него какие-то волшебные каналы.

    Ну это-то нифига не однозначно. Разные форвардеры ведь бывают.
    А скорость ответов можно сравнить и на несуществующих доменах.

     
  • 3.30, arisu, 02:44, 30/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    берём dnscrypt, настраиваем три экземпляра с рандомной ротацией (желательно — сервера из разных пулов), проверяем совпадение ответов. более-менее защитит от ошибок конфигурирования пулов, а больше с централизованой системой всё равно не сделаешь.
     
  • 1.8, Аноним, 20:15, 29/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Может был расчёт на то что браузер не ругается на плохой сертификат в днс?
     
     
  • 2.9, IB, 20:26, 29/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Это какой браузер по умолчанию подписанный ДНС использует Страдать ещё лет 10, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Аноним, 20:47, 29/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Кто покупает роутеры с алиэкспреса сами в этом виноваты В нормальном оборудован... весь текст скрыт [показать]
     
     
  • 4.34, КО, 09:32, 30/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Достаточно если он светит своей жопой браузеру, который работает изнутре и лазает наружу, остальное дело техники.
     
  • 2.13, Аноним, 20:38, 29/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Смотря о чём вы Вообще в браузерах сейчас поддержки нет, кроме лисы где пока н... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, Нанобот, 20:33, 29/05/2018 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Я тоже раньше использовал адрес 1 1 1 1 для тестов, как адрес, который никогда н... весь текст скрыт [показать]
     
     
  • 2.16, Аноним, 20:52, 29/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Почему не используете рекомендованые адреса для тестов каких точно нет в интерне... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, пох, 22:11, 29/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    потому что "рекомендации" iana были совершенно невнятны в этом месте - и не содержали ни четких объяснений, чьи это "тесты", ни гарантий, что их таки нет и никогда не будет в интернете (я вот предпочитал читать их как "это тесты - самой iana, и их могут поанонсить с тестовыми целями, использовать нельзя никому и ни для чего")
    а вот 1.1.1.1/2.2.2.2 были во-первых точно известно что никому не принадлежащими, во-вторых, одобрены циской (вообразить себе идиота, платящего миллионы чтобы заполучить такой адрес, еще лет десять назад было невозможно)

     
     
  • 4.33, Аноним, 08:11, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Точно никому не принадлежат только локальные адреса, а эти находятся в сегменте ... весь текст скрыт [показать]
     
     
  • 5.48, пох, 21:28, 30/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    а для теста, сюрпрайз, иногда нужны нелокальные. Потому что далеко не всегда локальные дадут то, что нужно для тестирования бордера (где может быть acl, который исказит картину).

    правда, для моих тестов обычно достаточно просто routable - пофиг, отвечающих или нет, но у других инженеров могли быть и другие идеи.

    Печально известный пример, более понятный местной публике, явно далекой от сетей - чудесный сайт www.ru, принимающий мегатонны icmp и high-port udp траффика. Феерически бесполезный для своих владельцев (попробуй всунуть рекламу - в icmp ;-) и обходящийся настолько дорого, что первоначальный его владелец даже продать не сумел, отдал тем, кто вообще согласился забрать.

    Можно сколько угодно рассказывать, что он не предназначен для тестирования. Но если ты его купишь в надежде озолотиться (или размещать сведения государственной важности, или нечто общественно полезное там сделать) - ты такой же точно дурак, как "авторы" идеи с 1.1.1.1

     
  • 3.47, Нанобот, 20:01, 30/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Проще набирать на клавиатуре
     
  • 1.14, Аноним, 20:38, 29/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Да тут вообще шах и мат Либо КНР беспредельствует с BGP и им это сходит с рук ... весь текст скрыт [показать]
     
     
  • 2.43, F, 16:34, 30/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –2 +/
    Завтра Украина с подачи США то же для рунета предложит. И будем жить двумя системами, ага, СССР-2.
     
  • 2.46, Аноним, 17:14, 30/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Такое происходит каждый день по всему миру 8212 какие-то люди шлют каким-то д... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, пох, 21:57, 30/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Такое происходит каждый день по всему миру — какие-то люди шлют каким-то другим
    > людям чужие префиксы, богоны, 0/0 и тому подобное. Масштаб не тот,

    самое смешное, что хрен с ними, чужими префиксами - но ведь и 0/0 умудряются не только принять, но и дальше раздать. Или сотенку тыщ /32
    Сейчас вот еще стало модно полный список роснадзоровых блокировок поанонсить от себя ;-)

    > Нет. RFC8205.

    феерически мертворожденный.

     
  • 1.38, Аноним, 12:56, 30/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Позаимствовали текст новости на хабре без указания источника https habr com po... весь текст скрыт [показать]
     
     
  • 2.39, Аноним, 13:51, 30/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    К сожалению на хабре появление подобных статей не редкость Это рерайт, а не го... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.40, Аноним, 14:46, 30/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Видомо успели отредактировать до полного удаления статьи У меня было полное сов... весь текст скрыт [показать]
     
  • 1.52, Аноним, 23:20, 30/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Кто знает практикуется ли контролируемый анонс одной и той же си в разных частях... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor