BGP-хайджекинг
Что такое BGP-хайджекинг?
BGP-хайджекингАтака, при которой автономная система анонсирует IP-префиксы, не принадлежащие ей легитимно, и тем самым притягивает и потенциально перехватывает глобальный интернет-трафик.
BGP-хайджекинг эксплуатирует отсутствие встроенной аутентификации в Border Gateway Protocol (RFC 4271): каждая AS доверяет анонсам префиксов своих соседей. Анонсируя префикс жертвы (или более специфичный), злоумышленник перетягивает трафик в свою AS, может его «чёрной дырой» отбрасывать, прослушивать или подменять ответы. Известные инциденты — глобальный сбой YouTube в 2008 году из-за «утекшего» /24 от Pakistan Telecom и атака 2018 года на AWS Route 53, в результате которой пользователи MyEtherWallet лишились Ethereum. Защита сочетает RPKI Route Origin Validation, ASPA для проверки пути, BGPsec, фильтры префиксов, ограничения max-prefix, гигиену в IRR и PeeringDB, а также непрерывный мониторинг публичных коллекторов RIPE RIS и RouteViews.
● Примеры
- 01
В 2008 году Pakistan Telecom анонсировала 208.65.153.0/24 и устроила глобальный blackhole YouTube.
- 02
В 2018 году злоумышленники перехватили DNS-префиксы AWS Route 53 и украли Ethereum у пользователей MyEtherWallet.
● Частые вопросы
Что такое BGP-хайджекинг?
Атака, при которой автономная система анонсирует IP-префиксы, не принадлежащие ей легитимно, и тем самым притягивает и потенциально перехватывает глобальный интернет-трафик. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает BGP-хайджекинг?
Атака, при которой автономная система анонсирует IP-префиксы, не принадлежащие ей легитимно, и тем самым притягивает и потенциально перехватывает глобальный интернет-трафик.
Как работает BGP-хайджекинг?
BGP-хайджекинг эксплуатирует отсутствие встроенной аутентификации в Border Gateway Protocol (RFC 4271): каждая AS доверяет анонсам префиксов своих соседей. Анонсируя префикс жертвы (или более специфичный), злоумышленник перетягивает трафик в свою AS, может его «чёрной дырой» отбрасывать, прослушивать или подменять ответы. Известные инциденты — глобальный сбой YouTube в 2008 году из-за «утекшего» /24 от Pakistan Telecom и атака 2018 года на AWS Route 53, в результате которой пользователи MyEtherWallet лишились Ethereum. Защита сочетает RPKI Route Origin Validation, ASPA для проверки пути, BGPsec, фильтры префиксов, ограничения max-prefix, гигиену в IRR и PeeringDB, а также непрерывный мониторинг публичных коллекторов RIPE RIS и RouteViews.
Как защититься от BGP-хайджекинг?
Защита от BGP-хайджекинг обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия BGP-хайджекинг?
Распространённые альтернативные названия: Хайджек префикса, Перехват BGP-префикса.
● Связанные термины
- network-security№ 093
Утечка маршрутов BGP
Непреднамеренное распространение BGP-маршрутов автономной системой за пределами ожидаемых коммерческих отношений, нередко уводящее глобальный трафик не в ту AS.
- network-security№ 553
IP-адрес
Числовой идентификатор, назначаемый сетевому интерфейсу для маршрутизации в IP-сетях: 32 бита в IPv4 (RFC 791) или 128 бит в IPv6 (RFC 8200).
- network-security№ 168
CIDR-нотация
Нотация Classless Inter-Domain Routing задаёт IP-префикс адресом с косой чертой и количеством значащих битов, например 10.0.0.0/8.
- attacks№ 338
Захват DNS
Атака, при которой DNS-разрешение перенаправляется на ответы под контролем злоумышленника через изменение настроек клиента, маршрутизатора, ответов резолвера или авторитативных DNS-записей.
- network-security№ 1136
TCP/IP
Четырёхуровневый набор интернет-протоколов, определяющий, как пакеты адресуются, маршрутизируются, фрагментируются и надёжно доставляются между узлами связанных сетей.
- network-security№ 1112
Захват поддомена
Атака, при которой «висящая» DNS-запись (часто CNAME) указывает на не занятый облачный или SaaS-ресурс, и злоумышленник, зарегистрировав его, выдаёт себя за этот поддомен.