BGP 劫持
BGP 劫持 是什么?
BGP 劫持攻击者所在的自治系统通告并不真正拥有的 IP 前缀,从而吸引并可能拦截全球互联网流量的攻击。
BGP 劫持利用 Border Gateway Protocol(RFC 4271)缺乏内建身份验证的特性:每个自治系统都信任邻居广播的前缀。攻击者广播受害者的前缀(或更具体的前缀),便能把流量拉到自己的 AS,从而黑洞化、监听或返回伪造响应。著名事件包括 2008 年巴基斯坦电信泄漏 /24 导致 YouTube 全球瘫痪,以及 2018 年攻击者劫持 AWS Route 53 前缀、从 MyEtherWallet 用户处窃取以太币。防御措施结合 RPKI 路由源验证、ASPA 路径验证、BGPsec、前缀过滤、max-prefix 限制、IRR 与 PeeringDB 数据卫生,以及对 RIPE RIS、RouteViews 等公开路由收集器的持续监测。
● 示例
- 01
2008 年,巴基斯坦电信通告 208.65.153.0/24,使 YouTube 在全球范围内被黑洞化。
- 02
2018 年,攻击者通过 Route 53 劫持 AWS 的 DNS 前缀,从 MyEtherWallet 用户处盗走以太币。
● 常见问题
BGP 劫持 是什么?
攻击者所在的自治系统通告并不真正拥有的 IP 前缀,从而吸引并可能拦截全球互联网流量的攻击。 它属于网络安全的 网络安全 分类。
BGP 劫持 是什么意思?
攻击者所在的自治系统通告并不真正拥有的 IP 前缀,从而吸引并可能拦截全球互联网流量的攻击。
BGP 劫持 是如何工作的?
BGP 劫持利用 Border Gateway Protocol(RFC 4271)缺乏内建身份验证的特性:每个自治系统都信任邻居广播的前缀。攻击者广播受害者的前缀(或更具体的前缀),便能把流量拉到自己的 AS,从而黑洞化、监听或返回伪造响应。著名事件包括 2008 年巴基斯坦电信泄漏 /24 导致 YouTube 全球瘫痪,以及 2018 年攻击者劫持 AWS Route 53 前缀、从 MyEtherWallet 用户处窃取以太币。防御措施结合 RPKI 路由源验证、ASPA 路径验证、BGPsec、前缀过滤、max-prefix 限制、IRR 与 PeeringDB 数据卫生,以及对 RIPE RIS、RouteViews 等公开路由收集器的持续监测。
如何防御 BGP 劫持?
针对 BGP 劫持 的防御通常结合技术控制与运营实践,详见上方完整定义。
BGP 劫持 还有哪些其他名称?
常见的别称包括: 前缀劫持, BGP 前缀劫持。
● 相关术语
- network-security№ 093
BGP 路由泄漏
BGP 中意外的传播行为:某自治系统将路由通告到本不该到达的商业关系范围之外,往往使全球流量被错误地引向另一 AS。
- network-security№ 553
IP 地址
分配给网络接口、用于在 IP 网络中进行路由的数字标识符:IPv4(RFC 791)为 32 位,IPv6(RFC 8200)为 128 位。
- network-security№ 168
CIDR 表示法
无类域间路由(CIDR)表示法用地址加斜杠和有效位数来表示一个 IP 前缀,例如 10.0.0.0/8。
- attacks№ 338
DNS 劫持
通过修改客户端设置、路由器配置、解析器响应或权威 DNS 记录,将 DNS 解析重定向到攻击者控制结果的攻击。
- network-security№ 1136
TCP/IP
由四层组成的互联网协议族,规定了如何在互联的网络中对数据包进行寻址、路由、分片并可靠交付。
- network-security№ 1112
子域接管
由于悬空的 DNS 记录(通常是 CNAME)指向未被领取的云或 SaaS 资源,攻击者可以重新注册该资源并冒充该子域。