Sequestro BGP
O que é Sequestro BGP?
Sequestro BGPAtaque em que um sistema autonomo anuncia prefixos IP que nao sao legitimamente seus, atraindo e podendo interceptar trafego da Internet global.
O sequestro BGP explora a ausencia de autenticacao nativa no Border Gateway Protocol (RFC 4271): cada AS confia nos anuncios de prefixo de seus vizinhos. Ao anunciar o prefixo de uma vitima (ou um mais especifico), o atacante atrai trafego para seu AS, descartando, inspecionando ou respondendo com dados forjados. Incidentes notaveis incluem a queda global do YouTube em 2008 causada por um /24 anunciado pela Pakistan Telecom e o sequestro do Amazon Route 53 em 2018, que redirecionou usuarios de criptomoedas. Defesas combinam RPKI Route Origin Validation, ASPA para validacao de caminho, BGPsec, filtros de prefixo, limites max-prefix, higiene em IRR e PeeringDB e monitoramento continuo de coletores como RIPE RIS e RouteViews.
● Exemplos
- 01
Em 2008, a Pakistan Telecom anunciou 208.65.153.0/24 e levou o YouTube a um blackhole global.
- 02
Em 2018, atacantes sequestraram prefixos DNS do AWS Route 53 e roubaram Ethereum de usuarios da MyEtherWallet.
● Perguntas frequentes
O que é Sequestro BGP?
Ataque em que um sistema autonomo anuncia prefixos IP que nao sao legitimamente seus, atraindo e podendo interceptar trafego da Internet global. Pertence à categoria Segurança de rede da cibersegurança.
O que significa Sequestro BGP?
Ataque em que um sistema autonomo anuncia prefixos IP que nao sao legitimamente seus, atraindo e podendo interceptar trafego da Internet global.
Como funciona Sequestro BGP?
O sequestro BGP explora a ausencia de autenticacao nativa no Border Gateway Protocol (RFC 4271): cada AS confia nos anuncios de prefixo de seus vizinhos. Ao anunciar o prefixo de uma vitima (ou um mais especifico), o atacante atrai trafego para seu AS, descartando, inspecionando ou respondendo com dados forjados. Incidentes notaveis incluem a queda global do YouTube em 2008 causada por um /24 anunciado pela Pakistan Telecom e o sequestro do Amazon Route 53 em 2018, que redirecionou usuarios de criptomoedas. Defesas combinam RPKI Route Origin Validation, ASPA para validacao de caminho, BGPsec, filtros de prefixo, limites max-prefix, higiene em IRR e PeeringDB e monitoramento continuo de coletores como RIPE RIS e RouteViews.
Como se defender contra Sequestro BGP?
As defesas contra Sequestro BGP costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Sequestro BGP?
Nomes alternativos comuns: Sequestro de prefixo, Prefix hijacking BGP.
● Termos relacionados
- network-security№ 093
Vazamento de rotas BGP
Propagacao BGP nao intencional em que um sistema autonomo anuncia rotas fora da relacao comercial prevista, frequentemente desviando trafego global para o AS errado.
- network-security№ 553
Endereco IP
Identificador numerico atribuido a uma interface de rede para roteamento em redes IP: 32 bits em IPv4 (RFC 791) ou 128 bits em IPv6 (RFC 8200).
- network-security№ 168
Notacao CIDR
A notacao Classless Inter-Domain Routing expressa um prefixo IP como um endereco seguido de barra e do numero de bits significativos, por exemplo 10.0.0.0/8.
- attacks№ 338
Sequestro de DNS
Ataque que redireciona a resolução de DNS para respostas controladas pelo atacante, alterando definições do cliente, configurações do router, respostas do resolver ou registos DNS autoritativos.
- network-security№ 1136
TCP/IP
Conjunto de protocolos da Internet em quatro camadas que define como pacotes sao enderecados, roteados, fragmentados e entregues de forma confiavel entre hosts em redes interligadas.
- network-security№ 1112
Tomada de subdominio
Ataque em que um registro DNS orfao (geralmente um CNAME) aponta para um recurso de nuvem ou SaaS nao reivindicado, permitindo que um atacante o registre e personifique o subdominio.