The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

28.04.2017 11:03  Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP

Проект BGPMon, выполняющий мониторинг изменения BGP-маршрутов, зафиксировал аномальное перенаправление значительной части трафика крупнейших финансовых сервисов, включая Visa, MasterCard и некоторых банков. Из-за внесения изменений в анонсируемые через BGP маршруты, значительная часть трафика ряда финансовых сервисов начала направляться в сеть Ростелекома. Трафик перенаправлялся в течение 5-7 минут, после чего маршрутизация нормализовалась.

Аномалия была вызвана добавлением в таблицы маршрутизации Ростелекома 50 префиксов автономных систем (37 уникальных AS), среди которых были подсети ряда крупных финансовых сервисов и банков, что привело к тому, что данные автономные системы были анонсированы по BGP как находящиеся в сети Ростелекома. Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов (сейчас любой оператор может анонсировать подсеть с фиктивными сведениями о длине маршрута и инициировать транзит через себя части трафика от ближних систем, не применяющих фильтрацию анонсов).

В случае Ростелекома вопросы вызывает присутствие известных финансовых сервисов в списке перенаправленных сетей (случайные утечки обычно менее избирательны) и то, что характер префиксов свидетельствует о ручном изменении таблиц маршрутизации, а не типичной утечке анонсов по цепочке "BGP - OSPF - BGP"). Тем не менее, скорее всего проблема вызвана ошибкой в конфигурации, так как проведение столько заметной и грубой атаки по перехвату трафика маловероятно.

Но даже если была совершена ошибка, настораживает сам факт интереса инженеров Ростелекома к сетям финансовых сервисов (возможно, ошибка была совершена в ходе настройки внутреннего мониторинга/зеркалирования проходящего через Ростелеком трафика для всплывших автономных систем, как в своё время заворачивание в Пакистане подсетей YouTube на null-интерфейс привело к появлению этих подсетей в BGP анонсах и стеканию трафика YouTube в Пакистан). В случае получения доступа к транзитному трафику Visa и MasterCard дешифровка почти исключена, но имеется возможность изучить характер трафика и источники запросов, что может быть использовано для проведения целевых атак на менее защищённые партнёрские компании.



  1. Главная ссылка к новости (https://arstechnica.com/securi...)
  2. OpenNews: В рамках проекта GoBGP развивается реализация протокола BGP на языке Go
  3. OpenNews: BGP достиг рубежа в 512 тысяч маршрутов, что может привести к проблемам в интернете
  4. OpenNews: Выявлена техника MITM-атак, основанная на подстановке фиктивных BGP-маршрутов
  5. OpenNews: Эксперимент RIPE NCC выявил ошибку в реализации протокола BGP в Cisco IOS
  6. OpenNews: Проблемы в BGP названы одной из самых опасных уязвимостей Интернета
Лицензия: CC-BY
Тип: Тема для размышления
Ключевые слова: bgp, hijack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Адекват (ok), 11:43, 28/04/2017 [ответить] [показать ветку] [···]     [к модератору]
  • –12 +/
    а я думал что Ростелеком только во времена лет 10 назад adsl-модемов был плохи... весь текст скрыт [показать]
     
     
  • 2.3, Аноним (-), 11:44, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Так-то его 10 лет назад и не было. Был Связь-инвест.
     
     
  • 3.15, fi (ok), 12:42, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    ну ну, Ростелеком был изначально :)))) А ваши Связь-инвест etc. мелкие пиявки на его теле :DDDD 😉🤣🤣
     
     
  • 4.30, mma (?), 13:52, 28/04/2017 [^] [ответить]    [к модератору]  
  • +8 +/
    Ростелеком понаскупал региональных операторов крупных и неочень, а до того пока не потекли в него рекой денюшки был лишь магистралом средней паршивости.
     
     
  • 5.46, qweasd (?), 15:36, 28/04/2017 [^] [ответить]     [к модератору]  
  • +5 +/
    Ростелеком никогда не был магистралом Магистралами были РТКомм дочка , Стартте... весь текст скрыт [показать]
     
  • 2.9, Анином (?), 11:55, 28/04/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    10 лет назад небыло ростелекома в нынешнем понимании. Были региональные провайдеры, которых позже объединили.
     
     
  • 3.32, qwerty123 (??), 14:08, 28/04/2017 [^] [ответить]    [к модератору]  
  • –4 +/
    > Были региональные провайдеры, которых позже объединили.

    Кто "объеденили"? Можно поконкретнее?

     
     
  • 4.34, Аноним (-), 14:14, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Как минимум, Новосибирский Сибирьтелеком.
     
     
  • 5.36, Аноним (-), 14:41, 28/04/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Дальсвязь туда же
     
     
  • 6.60, Аноним (-), 16:34, 28/04/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    + ВолгаТелеком и ещё до фига других.
     
  • 4.68, jh (?), 17:25, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    у нас - Крастелеком->Сибирьтелеком->Ростелеком.
     
     
  • 5.81, Игорь Арбичев (?), 17:10, 29/04/2017 [^] [ответить]    [к модератору]  
  • +/
    У нас (Московская область) - был Центртелеком -регионалы.
     
  • 3.90, Аноним (-), 23:17, 05/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Сначала было наследие Советского периода - контора монополист В начале 90х, её ... весь текст скрыт [показать]
     
  • 1.2, Аноним (-), 11:43, 28/04/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +3 +/
    Немного не в тему Некоторые сайты предлагают мне зеркала Европа, Азия, Северна... весь текст скрыт [показать]
     
     
  • 2.10, leap42 (ok), 11:56, 28/04/2017 [^] [ответить]    [к модератору]  
  • +14 +/
    если совсем коротко, то самый дешевый маршрут не всегда самый близкий/быстрый. провайдеры всегда заруливают трафик в самый дешевый.
     
  • 2.12, rm1 (?), 12:29, 28/04/2017 [^] [ответить]    [к модератору]  
  • +7 +/
    Они есть по сути только у Ростелекома, но используются очень избирательно, в основном для клиентов на ДВ, и иногда для Сибири. Раньше было и для Урала, но теперь нет. Видимо причина в том что недостаточна ёмкость на этом направлении, либо проще выключить мозг и гнать всё подряд через Европу и США.

    У RETN и TTK тоже раньше были какие-то прямые каналы в Азию, но уже с год как больше не видно их на трейсах.

    МТС, Мегафон, Билайн - вообще забудьте.

     
  • 2.19, пох (?), 13:01, 28/04/2017 [^] [ответить]     [к модератору]  
  • –5 +/
    разумеется, нет Уж ты-то, живя в этой самой азии, должен немножко представлять ... весь текст скрыт [показать]
     
     
  • 3.59, Аноним (-), 16:21, 28/04/2017 [^] [ответить]    [к модератору]  
  • +25 +/
    > монгольскими овцее... ?

    Извините, уважаемый эксперт по "этим делам", но у нас в Монголии такого отродясь не бывало, в отличии, скажем, от некоторых высокодуховных субъектов вашей федерации (на что есть, кстати, документальные факты, зафиксированные видео-хостингом YouTube). Я бы не хотел развивать эту тему, но не могли бы Вы обойтись без оскорблений в своих нечестивых и малокультурных речах? Спасибо.

     
     
  • 4.61, лол (?), 16:38, 28/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    не обращайте внимания. Это не мейнстрим.
     
  • 3.82, Аноним (-), 17:49, 29/04/2017 [^] [ответить]     [к модератору]  
  • +/
    Для не монгольских трафик 8212 Викисловарь ru wiktionary org 8250 wiki тра... весь текст скрыт [показать]
     
  • 2.47, qweasd (?), 15:38, 28/04/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    В азии российских трафик не нужен, а значит, не нужна связность Сами в РФ они н... весь текст скрыт [показать]
     
     
  • 3.66, пох (?), 17:03, 28/04/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    он не то чтоб совсем не нужен, но, блин, дорого Корпорации, скрипя зубьями, оп... весь текст скрыт [показать]
     
  • 2.89, Котик (?), 12:16, 03/05/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Живу на Урале, у меня пинг до Уругвая и НЗ меньше, чем до Южной Кореи и Японии. Вот что действительно странно.
     
  • 1.4, Аноним (-), 11:47, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +22 +/
    >проведение столько заметной и грубой атаки по перехвату трафика маловероятно

    ха-ха

     
  • 1.5, Аноним (-), 11:47, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    > Проект BGPMon, выполняющий мониторинг изменения BGP-маршрутов

    Первый раз слышу об этом проекте, хотя столько лет интересуюсь данной тематикой. Опеннет, спасибо за инфу!

     
  • 1.6, Аноним (-), 11:47, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Но мы то знаем ...
     
  • 1.8, leap42 (ok), 11:54, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +16 +/
    > Visa, MasterCard и некоторых банков

    случайно, да, я так и подумал

     
  • 1.11, Аноним (-), 12:22, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > настораживает сам факт интереса инженеров Ростелекома

    Любой иностранный провайдер в аналогичной ситуации не насторожил бы автора.

     
     
  • 2.14, Аноним (-), 12:33, 28/04/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Если бы это был американский провайдер, то тему вообще не стали бы выносить на п... весь текст скрыт [показать]
     
     
  • 3.16, Andrey Mitrofanov (?), 12:44, 28/04/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Да, никого не волнует Ни то, ни это http people skolelinux org pere blog Whe... весь текст скрыт [показать]
     
  • 2.57, Аноним (-), 16:12, 28/04/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Всё дело у вас в бы , вот когда случится это самое бы с какой-нибудь Угандой ... весь текст скрыт [показать]
     
     
  • 3.62, лол (?), 16:41, 28/04/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Невозможно будет откомментировать такую новость, ибо про неё просто вы не узнает... весь текст скрыт [показать]
     
     
  • 4.73, пох (?), 19:37, 28/04/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    конечно, конечно - на свете ведь ровно один сайт, мониторящий внезапные уходы тр... весь текст скрыт [показать]
     
  • 2.78, logan (??), 03:18, 29/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Когда такой фокус лет 8 назад провернул Huaeway - занервничали, помнится, все.
     
  • 2.87, Аноним (-), 03:30, 30/04/2017 [^] [ответить]    [к модератору]  
  • +/
    шигорин, залогиньтесь.
     
  • 1.13, Аноним (-), 12:31, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > Но даже если была совершена ошибка, настораживает сам факт интереса инженеров Ростелекома к сетям финансовых сервисов

    А кто сказал, что фейковый анонс исходил из Ростелекома?

     
     
  • 2.17, Аноним (-), 12:44, 28/04/2017 [^] [ответить]     [к модератору]  
  • +/
    да я вот тоже сомневаюсь что у хипсторского сабжа есть пиринг со всеми АС ... весь текст скрыт [показать]
     
     
  • 3.20, dredd (ok), 13:04, 28/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    >да я вот тоже сомневаюсь что у хипсторского сабжа есть пиринг со всеми АС ;)

    а наличие внезапно ростелековской AS в AS-PATH например, где его отродясь не было, не показатель?

     
     
  • 4.42, Аноним (-), 15:13, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Нет. бывают дятлы которые имеют пиринг с ростелекомом.
     
  • 2.21, пох (?), 13:07, 28/04/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Очевидно, всем похрен, _откуда_ он пришел да и вычислить это непросто , важно -... весь текст скрыт [показать]
     
     
  • 3.55, Аноним (-), 15:59, 28/04/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Не в рамках учений, а в рамках предлога для введения новых санкций А что, это т... весь текст скрыт [показать]
     
  • 1.18, Аноним (-), 12:55, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    А зачем эти домыслы здесь?
     
  • 1.22, dq0s4y71 (ok), 13:07, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Прикидывают, как весь трансграничный трафик через Ростелеком передавать будут? Давно обещали - http://www.vedomosti.ru/newspaper/articles/2013/08/20/zagranpasport-dlya-prov
     
     
  • 2.27, пох (?), 13:40, 28/04/2017 [^] [ответить]     [к модератору]  
  • +/
    хуже прикидывают, как не весь давно сделали Для этого банковский траффик пере... весь текст скрыт [показать]
     
  • 1.23, Аноним (-), 13:19, 28/04/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Возможна ли такая схема делаем анонс, заворачивая трафик на свою машину, там ст... весь текст скрыт [показать]
     
     
  • 2.29, пох (?), 13:47, 28/04/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    нет ну то есть сертификат ты получишь, но не нужен п-юлей Причем бить будут ... весь текст скрыт [показать]
     
     
  • 3.56, Аноним (-), 16:07, 28/04/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    намекаете, что какой-нить василий из ряда технарей Ростелекома мог в одиночку по... весь текст скрыт [показать]
     
     
  • 4.67, пох (?), 17:09, 28/04/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    не, не мог Спереть деньги и хрен вы меня найдете мог, но он бы тоже выбрал пр... весь текст скрыт [показать]
     
     
  • 5.70, Аноним (-), 18:40, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    я не в том смысле, что они воруют. не думаю, что они что-то могли бы воровать для себя. какая-то информация иная их могла заинтересовать.
     
     
  • 6.75, пох (?), 19:55, 28/04/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    иная снимается с сормов штатным образом, или нештатно зайти в собственно банчо... весь текст скрыт [показать]
     
  • 1.24, Random (??), 13:23, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Скорее всего связано с переговорами по поводу приёма карты МИР операторами мастеркард, с июля бюджетников на эту карту переводят.
     
     
  • 2.25, Аноним (-), 13:31, 28/04/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Один уже назвал софт "Миром" с явной отсылкой к космической станции. Не стоило называть систему платежей так!
     
  • 2.26, Аноним (-), 13:38, 28/04/2017 [^] [ответить]     [к модератору]  
  • +/
    РФ идёт к электронным деньгам Не потому что это модно и правильно, а потому что... весь текст скрыт [показать]
     
     
  • 3.31, тоже Аноним (ok), 13:57, 28/04/2017 [^] [ответить]     [к модератору]  
  • +5 +/
    Не хотелось бы оправдывать, но выведение денег из черноты и серости - единст... весь текст скрыт [показать]
     
     
  • 4.35, Аноним (-), 14:27, 28/04/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Два завода одного холдинга один в России, другой в Канаде Сравнение от топ-мен... весь текст скрыт [показать]
     
     
  • 5.40, тоже Аноним (ok), 15:11, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    В том-то и дело, что, если ВСЕ платежи под контролем, жене мэра тоже придется объяснять, откуда она вдруг взяла на эти покупки сумму больше, чем заработала за всю жизнь.
     
     
  • 6.44, Аноним (-), 15:18, 28/04/2017 [^] [ответить]    [к модератору]  
  • +14 +/
    Её покупки оплатит благотворительный фонд "Радость чиновничества". 10-летний сын-миллиардер купил ей квартиру в центре, роллс-ройс, личный самолёт и замок в Шотландии. А свою зарплату она пожертвовала больным и бездомным.

    Читаешь, и аж слёзы наворачиваются...

     
     
  • 7.53, тоже Аноним (ok), 15:54, 28/04/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Да понятно, что все эти инструменты работают только тогда, когда тому, кто имеет... весь текст скрыт [показать]
     
  • 5.41, anonymous. (?), 15:11, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Оформлены то ДА, а вот проверять нужно не избирательно.
    Тогда и эффект будет.
     
  • 5.74, _ (??), 19:46, 28/04/2017 [^] [ответить]     [к модератору]  
  • +/
    Ути пуси А курс По статье 2013 года - в России конструктор получал 2000U... весь текст скрыт [показать]
     
     
  • 6.76, Аноним (-), 22:33, 28/04/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Зато еда дешевле Во-вторых, твои 60к дают только в МСК и Питере, а там дают так... весь текст скрыт [показать]
     
     ....нить скрыта, показать (10)

  • 1.39, Аноним (-), 15:09, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    5 минут и дефицита бюджета нет.
     
  • 1.43, Аноним (-), 15:15, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ростелеком хакнул платежные системы
     
  • 1.45, Аноним (-), 15:31, 28/04/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    как говорил классик, страшны именно те времена, когда самые нелепые вещи могут б... весь текст скрыт [показать]
     
     
  • 2.48, Аноним (-), 15:41, 28/04/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Да тут всё, что угодно может быть - вплоть до снятия дампа Сняли порцию траффик... весь текст скрыт [показать]
     
  • 1.49, Аноним (-), 15:49, 28/04/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    версии могут быть любые дайте больше инфы, что сами ростелекомы говорят хотя по... весь текст скрыт [показать]
     
  • 1.50, iZEN (ok), 15:52, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Да это же банальная подстава честных инженеров РТК иностранными спецслужбами!
    Смотрите, как грубо сработали, чтобы остались... вопросы.
     
  • 1.51, Anonimus (??), 15:53, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    С Ростелекомом бывает..... Они даже сицки после настройки reload не хотят, а потом перегружают не вовремя.... и удивляются как у них трафик куда уходит...
     
     
  • 2.54, Аноним (-), 15:57, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    при всем при этом даже для ростелекома это крайне необычная ситуация...
     
  • 1.72, t28 (?), 19:23, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    Хе-хе.
    Гибридный ответ на "Томагавки".
    Демонстрация возможностей.
     
  • 1.79, EuPhobos (ok), 08:05, 29/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    И никто не обсуждает всю уё...ность протокола BGP. Который является основой маршрутизации всего интернета, и в принципе не обладает никакой защитой. Любой инженер любого провайдера, или обладателя АС с несколькими узлами магистральщиков может по-наворотить без проблем. Зато будем бороться за HTTPS и кричать, как плохо и небезопасно HTTP..
     
     
  • 2.80, Аноним (-), 14:34, 29/04/2017 [^] [ответить]    [к модератору]  
  • +/
    сам по себе протокол - неплох. Фильтры при желании пишутся на раз через RIPE DB, другой вопрос что большие магистральные операторы обычно доверяют друг другу - дабы не нагружать железо.
     
     
  • 3.84, Аноним (-), 22:35, 29/04/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    Работаю в Tier 1 ISP Нет, не доверяем вообще никому 8212 ни клиентам, ни пир... весь текст скрыт [показать]
     
     
  • 4.86, nikosd (ok), 23:34, 29/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Teir 1   вынужден доверять нескольким пирам (от которых может  получить полную таблицу маршрутов).  Ну и доверять, с RIPE оно  ясно, есть база,  по ней можно  построить, а  с AfriNIC -   не покажете   где  брать роут ориджин) ?
     
  • 2.85, Аноним (-), 22:36, 29/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > И никто не обсуждает всю уё...ность протокола BGP.

    Потому, что BGP — отличный протокол маршрутизации, а в будущем он станет ещё лучше.

     
  • 1.88, Аноним (-), 11:57, 01/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    То ли ещё будет. "Вымпелком", "Мегафон", теперь и "Ростелеком" увольняет специалистов, отдавая всё (включая основную деятельность) в аутсорсинг.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor