The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проблемы в BGP названы одной из самых опасных уязвимостей Интернета

27.08.2008 21:20

На конференции DefCon Антон Капела (Tony Kapela) и Алекс Пилосов (Alex Pilosov) представили доклад о проблемах безопасности протокола BGP, которые можно использовать для нарушения связности пограничных маршрутизаторов в сети и организации атак по перехвату трафика в глобальном масштабе (например, переправить трафик на подставной шлюз, на котором модифицировать определенные IP пакеты и отправлять далее ничего не подозревающему получателю пакета).

Уязвимость использует слабость архитектуры BGP, проявляющуюся в излишне доверительных отношениях между участниками межсетевого взаимодействия. Рассчитывая наиболее оптимальный маршрут, BGP маршрутизатор целиком доверяет информации о пути, полученной от других маршрутизаторов. Внешний BGP маршрутизатор, подконтрольный злоумышленнику, может отправить фиктивный анонс подсети с фиктивными сведениями о длине маршрута и инициировать транзит трафика через себя.

По словам эксперта безопасности Peiter 'Mudge' Zatko, представляющего группу L0pht, проблемы в BGP делают данную уязвимость одной из самых серьезных в истории Интернета. Еще в 1998 году Peiter заявил Конгрессу и спецслужбам, что используя подобную технику сможет нарушить целостность всего Интернета за 30 минут или организовать перехват трафика.

По данным докладчиков, проблему усугубляет то, что многие операторы не утруждают себя фильтрацией анонсов своих же сетей, полученных от других peer-ов. Служба IRR регистрирует новые маршруты без какой-либо проверки, любой владелец автономной системы может зарегистрировать любой маршрут. Для получения аккаунта приводится алгоритм: сканируется whois на предмет несуществующих доменов, затем регистрируется домен и с указанного email отправляется запрос.

В качестве удачного примера, приводится февральская попытка блокировки YouTube в Пакистане. Трафик подсети YouTube был завернут на null0 интерфейс и по ошибке заблокированная подсеть появилась в BGP анонсах, что привело к стеканию трафика YouTube в Пакистан.

  1. Главная ссылка к новости (http://blog.wired.com/27bstrok...)
  2. Stealing the Internet (PDF, 400Кб) - текст презентации с DefCon
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/17582-bgp
Ключевые слова: bgp, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, trdm (ok), 22:12, 27/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    "Еще в 1998 году Peiter заявил Конгрессу и спецслужбам, что..."
    все правильно. спецслужбы тихим сапом намотали на ус и пользуются...
     
     
  • 2.24, User294 (??), 16:50, 01/09/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    А через несколько годов, когда на IPv6 подсядут как следует и всерьез, какой-то дятл с помпой расскажет о его проблемах безопасности, коих у него дофига и больше :).Хотя их все обсуждали уже несколько лет назад, воз и ныне там а вот попиариться можно качественно и с помпой :)
     

  • 1.4, chesnok (ok), 22:28, 27/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    customer filter
     
  • 1.5, Andrew Kolchoogin (?), 08:23, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Мнда. Для этого злоумышленнику придется заставить всех транзитников поменять в RIPE DB (или в другой соответствующей DB) Routing Policy, дабы фильтры BGP-анонсов не отправили анонс "атакуемой сети" (C) от "роутера злоумышленника" (C) туда, где ему и положено быть -- в /dev/null :)

    Впрочем, если злоумышленник -- Федеральная Служба Безопасности, то он да, он может... Только вот не будет: "товарищ полковник все слушает по специально приходящему к нему кабелю..."

     
     
  • 2.6, Ilijaz (?), 11:16, 28/08/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Вы настолько глупы или не работали с БГП и магистралами?

    ТТК например не фильтрует анонсы от своих кастомеров.... Думаем....

     
     
  • 3.9, Хм... (?), 12:18, 28/08/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Если твой роут обджект не соответствует твоей политике то гнать тебя надо подальше от магистральных маршрутизаторов!
     
  • 3.10, Хм... (?), 12:22, 28/08/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    По поводу ТТК фильтрует еще как фильтрует :)
    Если нет то может продемонстрируете?
     
     
  • 4.11, Ilijaz (?), 12:43, 28/08/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    >По поводу ТТК фильтрует еще как фильтрует :)
    >Если нет то может продемонстрируете?

    Ну при получение PA новые адреса заработали без звонка в ТТК )

     
     
  • 5.13, Andrew Kolchoogin (?), 12:54, 28/08/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    > Ну при получение PA новые адреса заработали без звонка в ТТК )

    И что? Оно на то и PA, что фильтры в ТТК будут пропускать анонсы этих адресов от автономки, их выдававшей, и ото всех ее прямых даунлинков.

    Вот с PI и НОВЫМИ allocation'ами ситуация несколько более сложная, но, как правило, у "больших" фильтры раз в сутки перестраиваются автоматически с помощью специальных программ (поищите в Интернете bgpq и посмотрите, что это такое).

     
  • 5.14, Хм... (?), 14:48, 28/08/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Большой человек видел только ТТК :)
    Большому человеку нада хорошо почитать www.ripe.net там очень много интересного ...
     
  • 5.15, Хм... (?), 14:51, 28/08/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Вполне может быть что у ттк автоматом листы обновились еще до того как ты начал чтото анонсить. bgpq как часный случай такого инструмента :)
     
  • 3.12, Andrew Kolchoogin (?), 12:51, 28/08/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    В отличие от Вас, я неглуп. :) И, в отличие, опять-таки, от Вас, я работал и с BGP, и с магистральными маршрутизаторами. :)

    Да, безусловно, есть отморозки. В Турции, например, обитают. Летом 2004 года на три с половиной часа поставили раком весь Интернет. Но остальные после этого случая фильтруют. И еще как фильтруют!

    Не потому, что турки не фильтруют. Они правильно ничего не фильтруют. У них routing policy -- "accept any" ото ВСЕХ. ВКЛЮЧАЯ даунлинков.

    Но это отморозки. Остальные почти все нормальные.

     
  • 3.17, ifp5 (?), 21:14, 28/08/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    От кастомеров КТТК как раз фильтрует, правда по AS-PATH, а не по префиксам.
     
  • 3.21, Andy (??), 11:34, 29/08/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    С чего вы взяли? Буквально неделю назад подключались к ним в тестовом режиме - все как и положено отфильтровали по RIPE
     

  • 1.7, cae (?), 12:01, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Открытие! Эксперты! Я валяюсь!
    Об этой "дыре" знают все, кто хоть раз прочёл Халаби.
    Желание проанонсить в мир от себя full-view появляется у первого же "опытного" админа, первый раз настраивающего BGP. Сессии с такими невменяемыми провайдеры гасят быстро. Сразу по рукам и по морде. По наглой рыжей морде ;-)
    Понятно, что происходит это не сразу, и есть магистралы (РТ, например), которые не удосуживаются фильтрацией анонсов. Но если клиенту ехать, а не шашечки, то за чужой анонс могут и отключить. Даже без просмотров договоров, пусть потом судится, целостность сети дороже. Да и админ, который умеет BGP, обычно за своей репутацией на рынке труда сильно следит, и сам незаинтересован в.
    Ну а есть те магистрали, кто фильтрует. Почти автоматом. Тем вообще эта "дыра" по барабану.
     
     
  • 2.16, AdVv (??), 20:32, 28/08/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    >Об этой "дыре" знают все, кто хоть раз прочёл Халаби.

    Можно поподробнее что и где почитать ?

     

  • 1.18, georg (??), 23:03, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Подскажите, а что есть кроме bgpq для автоматического построения фильтров? И кроме IRR-Tollset?
     
     
  • 2.19, Хм... (?), 06:51, 29/08/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    >Подскажите, а что есть кроме bgpq для автоматического построения фильтров? И кроме
    >IRR-Tollset?

    А тебе что этого мало? bgpq практически все умеет :)

     
     
  • 3.20, georg (??), 10:34, 29/08/2008 [^] [^^] [^^^] [ответить]  
    		• +/
    Мне не мало, мне хочется узнать, а есть ли ещё что-нибудь?
     

  • 1.22, АПилосов (?), 18:16, 29/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Мля, никто в тему не вник.

    Комментарии:

    а) Читайте презентацию или статью в Wired. Мы (не королевское мы, а авторы етой презентации) не говорили что открыли новую дырку - мы указали как просто скрыто експлуатировать ее для мониторинга любого трафика.

    б) Нащет ттк: Ессно *все* фильтруют. Как минимум по as-path. Что на самом деле довольно минимально и отчень плохо - т.е. можно очень много поломать, тк можешь анонсировать *все* что угодно. Но для вышеуказаного експлойта ето не подойдет. Если фильтруют по IRR - то очень просто, регистрируешь свой раут в одной из баз IRR которые всеми используются и не фильтруются (напр ARIN или ALTDB), и все твои апстримы берут твой роут.

    в) Нащет по наглой рыжей морде: Поверьте, никто не заметил. На NANOG мы анонсировали 1/8 и 0/8 и подобные вещи, и хоть бы что :)

    -александр пилосов

     
  • 1.23, Аноним (23), 06:39, 31/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Да на этом форуме тоже идет обсуждение этой темы, интересно!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру