Уязвимость в BGP позволяет незаметно перехватывать интернет-трафик

image

Теги: bgp, интернет, трафик, Defcon

Доклад об дыре в одном из основных протоколов Интернета сделали 10 августа на конференции DefCon двое IT-экспертов, а 26 августа благодаря изданию Wired содержание доклада стало известно всем.

Интернет-трафик можно незаметно перехватить, сохранить, изменить и послать после этого адресату таким образом, что он ничего не заметит. Доклад об дыре в одном из основных протоколов Интернета сделали 10 августа на конференции DefCon двое IT-экспертов, а 26 августа благодаря изданию Wired содержание доклада стало известно всем.

Доклад Антона "Тони" Капелы из компании 5Nines Data и Алекса Пилосова из Pilosoft был сделан всего месяц после того, как интернетчики узнали о недоработке в протоколе DNS, отвечающем за сопоставление IP-адресов и доменных имен.

В этот раз хитроумные эксперты смогли найти слабое место в BGP (Border Gateway Protocol, протокол граничного шлюза). Именно BGP отвечает за то, чтобы автономные системы могли обмениваться информацией и при этом данные пересылались по оптимальному маршруту.

Когда пользователь вписывает адрес сайта в строку браузера, DNS преобразует эту строку в цифровой IP-адрес. Маршрутизатор запрашивает таблицу BGP, по какому маршруту лучше всего пересылать информацию. Эта таблица - аналог газеты бесплатных объявлений, в которой сеть провайдера и другие сети могут помещать "объявления". В последних написан диапазон адресов, по которым сеть может переслать данные. В случае, если вариантов много, BGP выбирает более узкие адресные диапазоны.

Поэтому, предполагают исследователи, для перехвата трафика необходимо вывесить объявление с более узким адресным диапазоном, чем у других сетей. В течение нескольких минут объявление сработает и данные начнут прибывать в сеть злоумышленника.

Надо сказать, что ничего нового в этом нет - соответствующая техника называется IP hijacking и выявляется по неизвестно куда исчезающим пакетам с данными. Например, некоторое время назад пакистанский провайдер, стремясь заблокировать YouTube по приказу властей, нечаянно вырубил популярный видеохостинг во всем мире.

Капела и Пилосов пошли дальше. Они предложили возвращать перехваченную информацию законному владельцу и не давать понять, что его прослушивают. Для этого находятся несколько автономных систем, распознающих "фальшивый" маршрут. Пакет перенаправляется на них и он возвращается не в сеть злоумышленника, а в сеть пользователя.

При желании можно проанализировать таблицы BGP и засечь факт вмешательства, но вероятность этого, по мнению авторов доклада, невелика. Более того, они утверждают, что подобные атаки провайдеры могут предотвратить на 100 процентов при помощи фильтрации трафика, однако для этого нужно затратить слишком много труда.

Также предлагается создать систему сертификатов доверия между автономными системами. Такая система помогла бы определить, безопасен ли тот или другой маршрут.

или введите имя

CAPTCHA
Страницы: 1  2  
27-08-2008 21:28:29
Интернет-трафик можно незаметно перехватить, сохранить, изменить и послать после этого адресату таким образом, что он ничего не заметит.Как страшно всетаки жить.
0 |
1
27-08-2008 22:48:38
Сейчас придет Анитролль и скажет, что во всем виноват линупс и красноглазики, которые эти самые маршрутизаторы (на IOS?) криво настроили.
0 |
1
28-08-2008 08:23:00
Та хто ж им виноват, шо у них руки - красные, а глаза - кривые. линукскапец++; linuxkapetz++;
0 |
1
27-08-2008 22:56:06
для перехвата трафика необходимо вывесить объявление с более узким адресным диапазономугу, и как его вывесить, не состоя в списках нейборов? даже если делать атаку с нейбора, завышение "веса" маршрута бъет по глазам маломальски знающего BGP одмина, ну и скрыптами, если не полениться периодически анализировать инфу, слитую нейборами соседей. и когда автономка из хз каких краев начинает 3.14сдеть что маршрут через нее - самый луччий, это, мягко говоря, плохо скажется на ее, автономки, будущем, в экономическом, уголовном и прочих смыслах.
0 |
28-08-2008 00:19:34
вообще, уязвимость из разряда камасутры "а можно ещё и вот так".
0 |
1
28-08-2008 09:53:59
Ну ну, батенька... По мелочам, типа узнать пароль на майл.ру конечно использовать никто не будет. А не по мелочам? Дело тут в цене вопроса.
0 |
1
28-08-2008 13:27:43
А что, можно узнать пароль на мэйл.ру от сотрудника? Контактами поделитесь, интересно уже стало.
0 |
1
28-08-2008 10:16:17
бъет по глазам маломальски знающего BGP это только в том случае, если глаза админа смотрят в циску в режиме 24/7. да заметит ли админ, что у сетки /22 появилось несколько анонсов /24? (как ютубой) плохо скажется на ее, автономки, будущем, в экономическом, уголовном и прочих смыслахприезжает усама бен ладен в какой-нибуть датацентр, любезно просит у админов пароли к ихним маршрутизаторам, что-то там прописывает. в результате - пол планеты без интернета. не на долго правда, зато ж сколько шума наделают
0 |
1
27-08-2008 23:05:34
/me представил себе трафик идущий из стрима в центел через серверы в США, испугался.
0 |
1
28-08-2008 02:41:56
баян.. корректная настройка фильтрации в бгп, и все некорректные анонсы идут лесом. кажется все должны были понять, и обезопасить самих себя после случая с ю-тубом...
0 |
1
28-08-2008 09:49:37
Может быть все провайдеры в мире еще и блокируют пакеты с подмененным IP? Ну, ну... Продолжайте считать всех в мире сознательными, понимающими и считающими свом долгом защитить сеть провайдера в другой стране.
0 |
1
28-08-2008 10:19:02
>корректная настройка фильтрации в бгп, и все некорректные анонсы идут лесом. кажется все должны были понять, и обезопасить самих себя после случая с ю-тубом.. Угу. А после последнего сбитого пешехода все будут переходить дорогу исключительно на зеленый сигнал светофора
0 |
1
28-08-2008 11:27:38
Открыли )) этому бояну лет и лет )) старая шутка - анонсишь на какого - то пира 0.0.0.0 и не пропускаешь транзит траффика )
0 |
1
28-08-2008 11:54:47
Ты зачем спалил тему ! Щас куча красноглазых поднимут BGP peers, получат ASN (а может даже и LIR) и будут ламать инторнет =///
0 |
1
28-08-2008 13:14:17
Куй они получат а не асн. Райп озверел вконец, ни автономок не дает ни ПИ!!! вааще ппц шо творится )
0 |
1
28-08-2008 13:32:32
Адреса PI ему не дают ... Ну что за молодёжь пошла; за них уже в конце 20-го века битва была некислая.
0 |
29-08-2008 01:05:16
когда один наз забавный клиент попросил блок PA. мы ему ассигновали. Когда у него дошло дело до получения автономки он вдруг понял, что хотел PI. Причём, хотелось ему /24, не больше. Вообщем, пожелали ему удачи в боданиях с RIPE NCC
0 |
Страницы: 1  2