Интернет защищён от перехвата маршрутов. Кроме случаев, когда DNS не защищён. А DNS не защищён почти везде

Интернет может считать себя защищенным от перехвата маршрутов, но новое исследование показывает, что защита может рухнуть из-за банальных проблем в инфраструктуре. Ученые выяснили, что почти половина точек публикации инфраструктуры открытых ключей RPKI уязвимы для подмены DNS (система доменных имён), а подавляющее большинство зависят от серверов имен без полноценной маршрутизационной защиты.

Работа была представлена на симпозиуме NDSS 2026. Авторы проанализировали, как программное обеспечение проверки RPKI получает данные из точек публикации и какие слабые места возникают на этом пути.

RPKI считается ключевым механизмом защиты от перехвата префиксов в протоколе пограничной маршрутизации. Владельцы адресных блоков публикуют криптографически подписанные объекты, которые подтверждают, какая автономная система имеет право анонсировать тот или иной префикс. Но для того, чтобы эта защита сработала, валидаторы должны регулярно скачивать данные из специальных репозиториев. И здесь начинается самое интересное.

Исследователи обнаружили 64 точки публикации. Из них 31, то есть 48,4%, имеют хотя бы одну зону на пути разрешения доменного имени без защиты DNSSEC. Это означает, что злоумышленник может подменить ответ DNS и направить валидатор к поддельному серверу. В ряде случаев проблема связана с использованием сторонних поставщиков DNS без включенной криптографической подписи зон. В двух случаях уязвимость возникла из-за перенаправления через CNAME на внешние домены без DNSSEC.

Ситуация с маршрутизационной защитой выглядит еще хуже. У 55 точек публикации, а это 85,9%, на пути разрешения имени есть хотя бы один сервер имен, чей IP-префикс не защищен с помощью записей ROA. Причем значительная часть проблемы связана с глобальными доменами верхнего уровня .com и .net. Из 13 авторитетных серверов gTLD только три имели корректные записи ROA, и даже там защита оказалась формальной из-за публикации слишком узких префиксов.

Проблемы нашлись и на этапе скачивания данных. Четыре точки публикации с постоянными IP-адресами вообще не зарегистрировали ROA для своих серверов. Еще одна, принадлежащая RIPE, использует сеть доставки контента с разными IP в зависимости от страны, и в ряде регионов эти адреса тоже оказались без защиты. В результате перехват маршрута может быть успешным не глобально, а точечно, в отдельных странах.

Моделирование атак показало, что последствия могут быть масштабными. В случае наиболее уязвимой точки публикации до 65–83% автономных систем рискуют потерять к ней доступ при успешном перехвате префикса. Даже менее эффективные атаки приводят к тому, что более 20% сетей перестают получать актуальные данные.

Отдельная проблема – зависимость одних точек публикации от других. Некоторые крупные региональные регистратуры IP-адресов опираются на инфраструктуру менее защищенных репозиториев. Если такой нижестоящий узел становится недоступным или теряет маршрутизационную защиту, эффект может распространиться дальше по цепочке. Авторы показали, что в определенных сценариях доля IP-адресов с действующей защитой может сократиться с 14,58% до 50,89% в случае каскадного сбоя.

Авторы делают неприятный вывод. Даже при росте числа записей ROA и внедрении проверки маршрутов защита RPKI зависит от надежности DNS и корректной регистрации префиксов. Пока эти базовые элементы настроены небрежно или переданы на аутсорсинг без должного контроля, инфраструктура остается уязвимой для перехвата и подмены.