The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

27.08.2008 21:20  Проблемы в BGP названы одной из самых опасных уязвимостей Интернета

На конференции DefCon Антон Капела (Tony Kapela) и Алекс Пилосов (Alex Pilosov) представили доклад о проблемах безопасности протокола BGP, которые можно использовать для нарушения связности пограничных маршрутизаторов в сети и организации атак по перехвату трафика в глобальном масштабе (например, переправить трафик на подставной шлюз, на котором модифицировать определенные IP пакеты и отправлять далее ничего не подозревающему получателю пакета).

Уязвимость использует слабость архитектуры BGP, проявляющуюся в излишне доверительных отношениях между участниками межсетевого взаимодействия. Рассчитывая наиболее оптимальный маршрут, BGP маршрутизатор целиком доверяет информации о пути, полученной от других маршрутизаторов. Внешний BGP маршрутизатор, подконтрольный злоумышленнику, может отправить фиктивный анонс подсети с фиктивными сведениями о длине маршрута и инициировать транзит трафика через себя.

По словам эксперта безопасности Peiter 'Mudge' Zatko, представляющего группу L0pht, проблемы в BGP делают данную уязвимость одной из самых серьезных в истории Интернета. Еще в 1998 году Peiter заявил Конгрессу и спецслужбам, что используя подобную технику сможет нарушить целостность всего Интернета за 30 минут или организовать перехват трафика.

По данным докладчиков, проблему усугубляет то, что многие операторы не утруждают себя фильтрацией анонсов своих же сетей, полученных от других peer-ов. Служба IRR регистрирует новые маршруты без какой-либо проверки, любой владелец автономной системы может зарегистрировать любой маршрут. Для получения аккаунта приводится алгоритм: сканируется whois на предмет несуществующих доменов, затем регистрируется домен и с указанного email отправляется запрос.

В качестве удачного примера, приводится февральская попытка блокировки YouTube в Пакистане. Трафик подсети YouTube был завернут на null0 интерфейс и по ошибке заблокированная подсеть появилась в BGP анонсах, что привело к стеканию трафика YouTube в Пакистан.

  1. Главная ссылка к новости (http://blog.wired.com/27bstrok...)
  2. Stealing the Internet (PDF, 400Кб) - текст презентации с DefCon
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: bgp, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.3, trdm, 22:12, 27/08/2008 [ответить] [смотреть все]
  • +/
    "Еще в 1998 году Peiter заявил Конгрессу и спецслужбам, что..."
    все правильно. спецслужбы тихим сапом намотали на ус и пользуются...
     
     
  • 2.24, User294, 16:50, 01/09/2008 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    А через несколько годов, когда на IPv6 подсядут как следует и всерьез, какой-то ... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, chesnok, 22:28, 27/08/2008 [ответить] [смотреть все]  
  • +/
    customer filter
     
  • 1.5, Andrew Kolchoogin, 08:23, 28/08/2008 [ответить] [смотреть все]  
  • +/
    Мнда. Для этого злоумышленнику придется заставить всех транзитников поменять в RIPE DB (или в другой соответствующей DB) Routing Policy, дабы фильтры BGP-анонсов не отправили анонс "атакуемой сети" (C) от "роутера злоумышленника" (C) туда, где ему и положено быть -- в /dev/null :)

    Впрочем, если злоумышленник -- Федеральная Служба Безопасности, то он да, он может... Только вот не будет: "товарищ полковник все слушает по специально приходящему к нему кабелю..."

     
     
  • 2.6, Ilijaz, 11:16, 28/08/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы настолько глупы или не работали с БГП и магистралами ТТК например не фильтру... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, Хм..., 12:18, 28/08/2008 [^] [ответить] [смотреть все]  
  • +/
    Если твой роут обджект не соответствует твоей политике то гнать тебя надо подаль... весь текст скрыт [показать]
     
  • 3.10, Хм..., 12:22, 28/08/2008 [^] [ответить] [смотреть все]  
  • +/
    По поводу ТТК фильтрует еще как фильтрует Если нет то может продемонстрируете... весь текст скрыт [показать]
     
     
  • 4.11, Ilijaz, 12:43, 28/08/2008 [^] [ответить] [смотреть все]  
  • +/
    Ну при получение PA новые адреса заработали без звонка в ТТК ... весь текст скрыт [показать]
     
     
  • 5.13, Andrew Kolchoogin, 12:54, 28/08/2008 [^] [ответить] [смотреть все]  
  • +/
    И что Оно на то и PA, что фильтры в ТТК будут пропускать анонсы этих адресов от... весь текст скрыт [показать]
     
  • 5.14, Хм..., 14:48, 28/08/2008 [^] [ответить] [смотреть все]  
  • +/
    Большой человек видел только ТТК Большому человеку нада хорошо почитать www r... весь текст скрыт [показать]
     
  • 5.15, Хм..., 14:51, 28/08/2008 [^] [ответить] [смотреть все]  
  • +/
    Вполне может быть что у ттк автоматом листы обновились еще до того как ты начал ... весь текст скрыт [показать]
     
  • 3.12, Andrew Kolchoogin, 12:51, 28/08/2008 [^] [ответить] [смотреть все]  
  • +/
    В отличие от Вас, я неглуп И, в отличие, опять-таки, от Вас, я работал и с B... весь текст скрыт [показать]
     
  • 3.17, ifp5, 21:14, 28/08/2008 [^] [ответить] [смотреть все]  
  • +/
    От кастомеров КТТК как раз фильтрует, правда по AS-PATH, а не по префиксам.
     
  • 3.21, Andy, 11:34, 29/08/2008 [^] [ответить] [смотреть все]  
  • +/
    С чего вы взяли? Буквально неделю назад подключались к ним в тестовом режиме - все как и положено отфильтровали по RIPE
     
  • 1.7, cae, 12:01, 28/08/2008 [ответить] [смотреть все]  
  • +/
    Открытие! Эксперты! Я валяюсь!
    Об этой "дыре" знают все, кто хоть раз прочёл Халаби.
    Желание проанонсить в мир от себя full-view появляется у первого же "опытного" админа, первый раз настраивающего BGP. Сессии с такими невменяемыми провайдеры гасят быстро. Сразу по рукам и по морде. По наглой рыжей морде ;-)
    Понятно, что происходит это не сразу, и есть магистралы (РТ, например), которые не удосуживаются фильтрацией анонсов. Но если клиенту ехать, а не шашечки, то за чужой анонс могут и отключить. Даже без просмотров договоров, пусть потом судится, целостность сети дороже. Да и админ, который умеет BGP, обычно за своей репутацией на рынке труда сильно следит, и сам незаинтересован в.
    Ну а есть те магистрали, кто фильтрует. Почти автоматом. Тем вообще эта "дыра" по барабану.
     
     
  • 2.16, AdVv, 20:32, 28/08/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >Об этой "дыре" знают все, кто хоть раз прочёл Халаби.

    Можно поподробнее что и где почитать ?

     
  • 1.18, georg, 23:03, 28/08/2008 [ответить] [смотреть все]  
  • +/
    Подскажите, а что есть кроме bgpq для автоматического построения фильтров? И кроме IRR-Tollset?
     
     
  • 2.19, Хм..., 06:51, 29/08/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >Подскажите, а что есть кроме bgpq для автоматического построения фильтров? И кроме
    >IRR-Tollset?

    А тебе что этого мало? bgpq практически все умеет :)

     
     
  • 3.20, georg, 10:34, 29/08/2008 [^] [ответить] [смотреть все]  
  • +/
    Мне не мало, мне хочется узнать, а есть ли ещё что-нибудь?
     
  • 1.22, АПилосов, 18:16, 29/08/2008 [ответить] [смотреть все]  
  • +/
    Мля, никто в тему не вник.

    Комментарии:

    а) Читайте презентацию или статью в Wired. Мы (не королевское мы, а авторы етой презентации) не говорили что открыли новую дырку - мы указали как просто скрыто експлуатировать ее для мониторинга любого трафика.

    б) Нащет ттк: Ессно *все* фильтруют. Как минимум по as-path. Что на самом деле довольно минимально и отчень плохо - т.е. можно очень много поломать, тк можешь анонсировать *все* что угодно. Но для вышеуказаного експлойта ето не подойдет. Если фильтруют по IRR - то очень просто, регистрируешь свой раут в одной из баз IRR которые всеми используются и не фильтруются (напр ARIN или ALTDB), и все твои апстримы берут твой роут.

    в) Нащет по наглой рыжей морде: Поверьте, никто не заметил. На NANOG мы анонсировали 1/8 и 0/8 и подобные вещи, и хоть бы что :)

    -александр пилосов

     
  • 1.23, Аноним, 06:39, 31/08/2008 [ответить] [смотреть все]  
  • +/
    Да на этом форуме тоже идет обсуждение этой темы, интересно!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor