The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

29.05.2018 19:08  Зафиксирована попытка использования BGP для захвата трафика IP 1.1.1.1

Сервис BGPMon зафиксировал попытку подстановки фиктивного BGP-маршрута для перенаправления трафика подсети 1.1.1.0/24, в которой находится созданный компанией Cloudflare общедоступный DNS-сервер с поддержкой "DNS over TLS". Трафик был направлен в автономную систему 58879, анонсировавшую префикс 1.1.1.0/24 для своей сети. Сеть принадлежит китайскому провайдеру AnchNet (Shanghai Anchang Network Security Technology Co.,Ltd.).

Судя по сведениям одного из клиентов AnchNet, данная компания прокомментировала инцидент ошибкой при тестировании оборудования - администраторы использовали 1.1.1.0/24 в качестве тестового префикса, не предполагая, что эта подсеть принадлежит CloudFlare и используется для одного из крупнейших публичных DNS-сервисов.

Некоторые участники обсуждения не верят подобному объяснению (маловероятно, чтобы администратор крупного ISP совершил столь грубую ошибку при выборе адреса для тестирования) и считают, что инцидент является следствием оплошности при попытке организации перехвата трафика 1.1.1.1 на территории Китая в рамках деятельности "Великого китайского файрвола".

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Для атаки на MyEtherWallet использовался захват DNS-сервиса Amazon при помощи BGP
  3. OpenNews: BGPsec получил статус предложенного стандарта
  4. OpenNews: Выявлена техника MITM-атак, основанная на подстановке фиктивных BGP-маршрутов
  5. OpenNews: Проблемы в BGP названы одной из самых опасных уязвимостей Интернета
  6. OpenNews: Разбор причин нарушения работы сети Internet, вызванных некорректным BGP анонсом
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: bgp, traffic
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 19:17, 29/05/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –15 +/
    Сделано в китайцами, или взроблено, версия с рукой тоже
     
  • 1.2, Аноним (-), 19:21, 29/05/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +11 +/
    > автономную систему 58879, анонсировавшую префикс 1.1.1.0/24 для своей сети. Сеть принадлежит китайскому провайдеру AnchNet (Shanghai Anchang Network Security Technology Co.,Ltd.).

    Отобрать AS теперь надо у этих китайцев, чтоб другим неповадно было. Экспериментаторы, блин.

     
     
  • 2.24, metakeks (?), 22:53, 29/05/2018 [^] [ответить]     [к модератору]
  • +3 +/
    AS58879 Country CN Registration Date 2013-03-22 Registrar apnic Owner AN... весь текст скрыт [показать]
     
  • 2.44, Аноним (-), 16:48, 30/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Лушче бы отобрать у тех, кто BGP-анонсы не фильтрует. Но тогда в мире 3,5 AS останется, остальные за NAT поедут.
     
  • 1.3, An (??), 19:37, 29/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Не знали, а проверить?
    Сделано в Китае, сделано с умом )    
     
  • 1.4, Аноним (-), 19:52, 29/05/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –2 +/
    вся суть эникейщиков, нанятых из-за кошмарного кадрового голода... весь текст скрыт [показать]
     
     
  • 2.19, пох (?), 21:44, 29/05/2018 [^] [ответить]    [к модератору]  
  • +7 +/
    увы, нет в этой области никакого "кадрового голода", есть стойкое нежелание работодателей платить нормальные зарплаты инженерам.

    Нате вам, реальность, данная нам в виде документа: компания очень-плохая-дорога ищет в default city (нет, не Пекин) инженера уровня CCIE/HCIE _со_знанием_китайского_языка_ (на уровне "как-то уметь понять разговорную речь", а не кое-как прочесть документацию). На жестко фиксированную зарплату, 80000 не долларов (спасибо что не йен)

    Как думаете, найдет?

    Вот и мне кажется, что человек с разговорным китайским и умом и талантом, позволяющим претендовать на ccie, найдет себе работу раз в десять более высокооплачиваемую - но, вероятно, ему придется искать ее в смежных отраслях, а настраивать маршрутизаторы он в этой жизни уже не будет.

     
     
  • 3.23, Аноним (-), 22:30, 29/05/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    Не преувеличивай, ccie и прочие собачкины медальки это всего лишь знания, которы... весь текст скрыт [показать]
     
     
  • 4.28, пох (?), 00:29, 30/05/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    нет Это умения теоретические знания, но это отдельно и там можно зазубрить ... весь текст скрыт [показать]
     
     
  • 5.35, anonymous (??), 11:07, 30/05/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    gt оверквотинг удален Цискины экзамены большая часть людей сдаёт по дампам Пр... весь текст скрыт [показать]
     
     
  • 6.36, Аноним (-), 11:44, 30/05/2018 [^] [ответить]    [к модератору]  
  • +/
    В Нидерланды они тоже с дампами ездили?
     
     
  • 7.37, anonymous (??), 12:46, 30/05/2018 [^] [ответить]    [к модератору]  
  • +/
    > В Нидерланды они тоже с дампами ездили?

    Сами дампы никуда везти не надо, из зазубривают до экзамена и сдают без понимания. Как и лабу, поскольку их обычно всего 3-4 варианта и их сливают.

     
  • 5.41, mumu (ok), 15:28, 30/05/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > А, да - гугль во время тестов недоступен.

    А компутер дадут? Или только А4 из вторсырья? А на круглый люк посадят? А со сферическим конём переговариваться можно будет по рации?

     
     
  • 6.50, пох (?), 21:51, 30/05/2018 [^] [ответить]     [к модератору]  
  • +/
    дадут только A4 будет перед этим, written test - этот просто чтоб не тратить ... весь текст скрыт [показать]
     
  • 1.5, Аноним (-), 19:56, 29/05/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    да лана, всюду видеть злой умысел Китайцу досталась цискина методичка первого и... весь текст скрыт [показать]
     
     
  • 2.11, Аноним (-), 20:32, 29/05/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Подтверждаю. Из-за некоторого железа, включая циски, 1.1.1.1 до сих пор у некоторых не работает по всему миру, т.к. там captive portal и прочая фигня. Остаётся только второй вариант, 1.0.0.1.
     
     
  • 3.18, пох (?), 21:09, 29/05/2018 [^] [ответить]     [к модератору]  
  • –5 +/
    то есть вопрос не к профессионализму китайца, а к профессионализму желающих всех... весь текст скрыт [показать]
     
     
  • 4.31, Аноним (-), 03:45, 30/05/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    С куяли по рукам автору идеи с красивым адресом? Это в цисковских книжонках использовали адреса которые не имели право использовать. Это авторов этих цисковских книжонок нужно бить по яйцам.
     
     
  • 5.49, пох (?), 21:33, 30/05/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    потому что дурак - он Мир не устроен идеально, и отличие я щас все найду в гуг... весь текст скрыт [показать]
     
  • 1.6, Аноним (-), 20:03, 29/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Сила китайцев! а это они еще даже не злые...
     
     
  • 2.27, Аноним (-), 23:51, 29/05/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Им можно Они кстати еще переодически сканируют весь инет причем все порты на ... весь текст скрыт [показать]
     
     
  • 3.32, Аноним (-), 06:03, 30/05/2018 [^] [ответить]    [к модератору]  
  • +/
    У них "Золотой щит", думай, зачем сканируют.
     
  • 1.7, Аноним (-), 20:11, 29/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ну так же ж есть поддержка "DNS over TLS". Вот и нужно ее использовать
     
     
  • 2.10, Аноним (-), 20:30, 29/05/2018 [^] [ответить]    [к модератору]  
  • +/
    По дефалту на клиенте и без лишних заморочек, но как?
     
  • 2.20, loolz (?), 21:57, 29/05/2018 [^] [ответить]     [к модератору]  
  • +/
    не нужно использовать паблик днс, как все супер мега админы делают, забивая 8 8 ... весь текст скрыт [показать]
     
     
  • 3.25, Аноним (-), 23:19, 29/05/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Конгениально Как же все до этого раньше не додумались вообще-то нет , запрос... весь текст скрыт [показать]
     
     
  • 4.29, Crazy Alex (ok), 01:35, 30/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Да плевать - у тебя закэшируются. Зато будешь использовать нормальную отработанную схему, а не работать подопытным кроликом не понять у кого.
     
     
  • 5.42, Аноним (-), 16:32, 30/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Да это-то понятно Но вообще, It s depend Я делал и так, и эдак И переключал т... весь текст скрыт [показать]
     
     
  • 6.45, Аноним (-), 17:06, 30/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Правильно будет 171 It depends 187 Зависит от прямоты рук Форвардер работа... весь текст скрыт [показать]
     
     
  • 7.53, Anonymous_ (?), 02:55, 31/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Да, это я лажанулся Это, как оказалось, часто встречающаяся ошибка Да руки-то ... весь текст скрыт [показать]
     
  • 3.30, arisu (ok), 02:44, 30/05/2018 [^] [ответить]     [к модератору]  
  • +/
    берём dnscrypt, настраиваем три экземпляра с рандомной ротацией желательно 82... весь текст скрыт [показать]
     
  • 1.8, Аноним (-), 20:15, 29/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Может был расчёт на то что браузер не ругается на плохой сертификат в днс?
     
     
  • 2.9, IB (?), 20:26, 29/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Это какой браузер по умолчанию подписанный ДНС использует?
    Страдать ещё лет 10, как до сих пор страдают хомячки с telnet по умолчанию на железках
     
     
  • 3.15, Аноним (-), 20:47, 29/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Кто покупает роутеры с алиэкспреса сами в этом виноваты. В нормальном оборудовании telnet не светит своей жопой в интернет.
     
     
  • 4.34, КО (?), 09:32, 30/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Достаточно если он светит своей жопой браузеру, который работает изнутре и лазает наружу, остальное дело техники.
     
  • 2.13, Аноним (-), 20:38, 29/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Смотря о чём вы Вообще в браузерах сейчас поддержки нет, кроме лисы где пока н... весь текст скрыт [показать]
     
  • 1.12, Нанобот (ok), 20:33, 29/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Я тоже раньше использовал адрес 1.1.1.1 для тестов, как адрес, который никогда не отвечает...Так что в злой умысел не верю
     
     
  • 2.16, Аноним (-), 20:52, 29/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Почему не используете рекомендованые адреса для тестов каких точно нет в интернете?
     
     
  • 3.22, пох (?), 22:11, 29/05/2018 [^] [ответить]    [к модератору]  
  • +/
    потому что "рекомендации" iana были совершенно невнятны в этом месте - и не содержали ни четких объяснений, чьи это "тесты", ни гарантий, что их таки нет и никогда не будет в интернете (я вот предпочитал читать их как "это тесты - самой iana, и их могут поанонсить с тестовыми целями, использовать нельзя никому и ни для чего")
    а вот 1.1.1.1/2.2.2.2 были во-первых точно известно что никому не принадлежащими, во-вторых, одобрены циской (вообразить себе идиота, платящего миллионы чтобы заполучить такой адрес, еще лет десять назад было невозможно)

     
     
  • 4.33, Аноним (-), 08:11, 30/05/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Точно никому не принадлежат только локальные адреса, а эти находятся в сегменте ... весь текст скрыт [показать]
     
     
  • 5.48, пох (?), 21:28, 30/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    а для теста, сюрпрайз, иногда нужны нелокальные. Потому что далеко не всегда локальные дадут то, что нужно для тестирования бордера (где может быть acl, который исказит картину).

    правда, для моих тестов обычно достаточно просто routable - пофиг, отвечающих или нет, но у других инженеров могли быть и другие идеи.

    Печально известный пример, более понятный местной публике, явно далекой от сетей - чудесный сайт www.ru, принимающий мегатонны icmp и high-port udp траффика. Феерически бесполезный для своих владельцев (попробуй всунуть рекламу - в icmp ;-) и обходящийся настолько дорого, что первоначальный его владелец даже продать не сумел, отдал тем, кто вообще согласился забрать.

    Можно сколько угодно рассказывать, что он не предназначен для тестирования. Но если ты его купишь в надежде озолотиться (или размещать сведения государственной важности, или нечто общественно полезное там сделать) - ты такой же точно дурак, как "авторы" идеи с 1.1.1.1

     
  • 3.47, Нанобот (ok), 20:01, 30/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Проще набирать на клавиатуре
     
  • 1.14, Аноним (-), 20:38, 29/05/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Да тут вообще шах и мат Либо КНР беспредельствует с BGP и им это сходит с рук ... весь текст скрыт [показать]
     
     
  • 2.43, F (?), 16:34, 30/05/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Завтра Украина с подачи США то же для рунета предложит. И будем жить двумя системами, ага, СССР-2.
     
  • 2.46, Аноним (-), 17:14, 30/05/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Такое происходит каждый день по всему миру 8212 какие-то люди шлют каким-то д... весь текст скрыт [показать]
     
     
  • 3.51, пох (?), 21:57, 30/05/2018 [^] [ответить]    [к модератору]  
  • +/
    > Такое происходит каждый день по всему миру — какие-то люди шлют каким-то другим
    > людям чужие префиксы, богоны, 0/0 и тому подобное. Масштаб не тот,

    самое смешное, что хрен с ними, чужими префиксами - но ведь и 0/0 умудряются не только принять, но и дальше раздать. Или сотенку тыщ /32
    Сейчас вот еще стало модно полный список роснадзоровых блокировок поанонсить от себя ;-)

    > Нет. RFC8205.

    феерически мертворожденный.

     
  • 1.38, Аноним (-), 12:56, 30/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Позаимствовали текст новости на хабре без указания источника https://habr.com/post/412659/
     
     
  • 2.39, Аноним (-), 13:51, 30/05/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    К сожалению на хабре появление подобных статей не редкость Это рерайт, а не го... весь текст скрыт [показать]
     
     
  • 3.40, Аноним (-), 14:46, 30/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Видомо успели отредактировать до полного удаления статьи У меня было полное сов... весь текст скрыт [показать]
     
  • 1.52, Аноним (-), 23:20, 30/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Кто знает практикуется ли контролируемый анонс одной и той же си в разных частях мира. Для благих целей?
     
     
  • 2.54, Аноним (-), 18:41, 31/05/2018 [^] [ответить]    [к модератору]  
  • +/
    https://ru.wikipedia.org/wiki/Anycast
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor