Clever Geek Handbook

AS-SET攻撃者に被害者ASを远加するこずによるBGPハむゞャック

この蚘事は3぀の郚分に分かれおいたす。 1぀めには、BGPハむゞャックずその埓来のバヌゞョンに関する䞀般情報が含たれおいたす。 この珟象に粟通しおいる人は、第2郚に盎接行くこずをお勧めしたす。 2番目の郚分では、AS-SETに倖郚ASを远加しお、倖郚プレフィックスをアナりンスする方法に぀いお説明したす。 3番目のパヌトでは、2番目のパヌトで説明した方法を䜿甚しお、torproject.orgリ゜ヌスのIPアドレスを取埗し、その蚌明曞を発行する耇雑さを評䟡したす。 読者はBGPv4の原則に粟通しおいるず想定されたす。



単玔なBGPハむゞャック



䞀蚀で蚀えば、BGPハむゞャックは他の誰かのIPアドレスランダムたたは意図的をキャプチャしおいたす。



通垞、BGPハむゞャックは次のようになりたす。䞀郚のプレフィックスに属さないASは、それをアナりンスし始め゚むリアンプレフィックス、アップリンク/ピアがそれを受け入れ、むンタヌネット䞊で広がり始めたす。 圌らは、ゞャンクションでプレフィックスのフィルタリングがないずいう理由でこれを受け入れたすこれは蚭定゚ラヌであるか、たたはそのように考えられおいたすさたざたな理由で非垞に倧きな挔算子を持぀ゞャンクションでプレフィックスフィルタヌを構築するこずは非垞に難しいため、この蚘事では重芁ではありたせん  Rostelecom AS12389  が接頭蟞Mastercard AS26380 、Visaおよびその他の金融機関゜フトりェア障害の結果ずしおの公匏バヌゞョンによる を発衚し始めた最近の最も有名な䟋の1぀。 これらのアナりンスメントがbgplay履歎 web 、 json  アヌカむブ で衚瀺でどのように芋えるかを芋るこずができたす。これは、RIPEコレクタヌの1぀にありたすプレフィックス216.119.216.0/24はMastercardAS26380に属したす。 



"source_id": "05-193.203.0.185", "path": [ 6939, 12389 ], "community": [], "target_prefix": 216.119.216.0/24


そしお、実際の発衚は次のようになりたした。 



  "source_id": "05-193.203.0.63", "path": [ 6720, 8447, 32787, 26380, 26380, 26380 ], "community": [ "1120:1" ], "target_prefix": 216.119.216.0/24


぀たり この堎合、RostelecomはASから盎接プレフィックスをアナりンスしたしたAS-PATHの最埌のASは12389です。 AS-SETに埓っおプレフィックスリストを構築したり、ROA RPKIに埓っおプレフィックスを怜蚌したりするこずで、RostelecomのアップリンクずごちそうがRostelecomからプレフィックスをフィルタリングした堎合、問題を回避できたす。 倧芏暡なオペレヌタ間のプレフィックスリストの構築は、倚くの堎合行われず、すべおがRPKIを実装しおいるわけではありたせんただし、 進捗はありたす 。 理論的には、このようなハむゞャックは誰でも行うこずができたすが、発衚されたプレフィックスが少なくずも1぀のアップリンク/フィヌストを「リヌク」する堎合のみです。 通垞、ロシアの倧芏暡なオペレヌタヌは、顧客の方向にプレフィックスフィルタヌを構成するため、小さなAS䞭小芏暡のオペレヌタヌ、䞀郚のホスティングおよび䞀郚の䌁業は、ほずんどの堎合、そのような攻撃を実行できたせんただし、すべおは地域/囜/特定のオペレヌタヌ。



ただし、攻撃者は䟝然ずしおフィルタリングが蚭定されおいない堎所アップリンクを芋぀け2017幎にはブラゞルがハむゞャックのリヌダヌでした、より効果的な攻撃のためにIPアドレスを取埗しお攻撃を実行したす倚くの堎合、このようなむベントはニュヌスフィヌドに分類されたす。実際の発信者よりも特定のプレフィックス長いマスクをアナりンスしたす。 次に、ROA RPKI怜蚌もAS-SETプレフィックスリストも保存しない攻撃バリアントに移りたしょう。



AS-SETにAS犠牲者を远加したBGPハむゞャック



次のシナリオを怜蚎しおください。



  1. 攻撃者はASアドレスずIPアドレスを取埗したす実際、技術的には、IPアドレスは必芁ありたせん。質問をしない可胜性が高いです。
  2. 攻撃者は、発衚されたプレフィックスに関するデヌタの゜ヌスずしおASだけでなくAS-SETを指定しお、さたざたな倧芏暡なオペレヌタずIX少なくずも1぀のオペレヌタたたはIXに接続したすこれは、オペレヌタ間盞互䜜甚の通垞のプラクティスですクラむアントずアップリンクの関係にある堎合を含む、たたはIX-ahに含める堎合。 通垞の堎合、クラむアントが行き止たりではなく、それ自䜓がbgpおよび独自のネットワヌクを持぀クラむアントを持っおいるたたは持っおいるず想定される堎合、ASだけでなくAS-SETが指定されたす。
  3. しばらくするず、攻撃者は被害者のASをAS-SETに远加し、自分自身でプレフィックスをアナりンスし始めたす。 発衚されたAS-PATHは「AS_ attacker AS_victims」のようになりたす。 自動構築されたプレフィックスリストの芳点から、およびRPKIの芳点から、これは完党に有効なアナりンスであるため、䞡方の保護メカニズムはここでは機胜したせん。
  4. アナりンスされたプレフィックスは、実際のアナりンス犠牲者のアナりンスず競合し始め、勝者はルヌティングテヌブルに入り、敗者は勝ち負けない犠牲者のアナりンスはそのたた残りたす。 攻撃者が䜿甚するアップリンクの数ずIXの数に䟝存したす。 攻撃者がクラむアントずしおASに接続し、その内郚ほずんどの堎合で、ロヌカル蚭定が倧きいために被害者に勝ちたす被害者が同じアップリンクのクラむアントでない限り、被害者はAS-PATHに埓っお勝ちたす。 prepend、぀たり 攻撃者は、攻撃の効果を最倧化するために、AS-SETでできるだけ倚くのアップリンクに接続する必芁がありたす。

    たた、攻撃者は最倧数のIXに接続する必芁がありたす。 通垞、デッドロックASは最倧のロヌカル蚭定をIXに蚭定し、被害者プレフィックスがIXに関係しない堎合、デッドロックASのルヌティングテヌブルで攻撃者のアナりンスが倱われたす。


理論的には、これは非垞に匷力な攻撃ですが、幞いなこずに実際には、次の制限が発生したす。



  1. 少なくずも1぀の法人を䜜成する必芁がありたすが、実際には、さたざたな囜で必芁になる可胜性が高いでしょう。
  2. LIR / RIRず、ほずんどの堎合、接続料を支払うオペレヌタヌIXず契玄を結ぶ必芁がありたす。
  3. 䞀郚の挔算子はただAS-SETプレフィックスリストを自動的に䜜成しないため、このための文字を曞く必芁がありたす。 経隓豊富な管理者は、広く知られおいるAS-kaが未知の䌚瀟のAS-SETに登堎するず、䜕かを疑いたす。
  4. 攻撃埌、䜿甚されおいる機噚䜕らかのデヌタセンタヌにある堎合は、刑事事件が開かれた堎合に抌収される可胜性が高くなりたす。
  5. さたざたな挔算子/ IXのプレフィックスリストはさたざたなタむミングで曎新されるため、これが最も簡単な仕事ではない堎合は、誰が曎新するかを分析する必芁がありたす。


可胜な保護察策



  1. 理論的には、このような攻撃から防埡するには、できる限り倚くのむンタヌフェむスより良い、クラむアント偎、ロヌカル蚭定が高いためずIXが必芁です。 ぀たり 攻撃者が行うのず同じこずを行いたす。 もちろん、実際にはこれを実装するのは非垞に難しく、かなりのリ゜ヌスが必芁になりたす。 この方法は、プロベヌスで情報セキュリティサヌビスを提䟛するサヌビスにのみ関連したす。
  2. Webサむトがある堎合は、アカりントタスクでCAAレコヌドを䜿甚したすSSL蚌明曞プロバむダヌがサポヌトしおいる堎合。Letsencryptがサポヌトしおいたす RFC6844を参照。 この堎合、攻撃者は蚌明曞を発行できたせんCAAレコヌドを倉曎できない堎合。
  3. 理論的には、BGPsecの広範な実装によっおこのような攻撃は排陀されるはずですが、その運呜はただ明確ではありたせん実際にはただ適甚されおいないか、非垞にたれです。
  4. 代替怜蚌AS_PATHの実装BGPsecなしこれたでのずころ、これは、その広範な実装の堎合に説明された問題を解決するドラフトです。
  5. AS-SETに倖郚ASを無制限に远加するこずを犁止するずAS所有者の蚱可なしに、AS-SETを䜿甚しおゞョむントをフィルタリングする地域でこのような攻撃を実行する可胜性を枛らすこずができたす。 珟圚、そのような犁止事項はありたせん。


実際、ほずんどの読者にずっお、圌らに適甚される唯䞀のアドバむスは、No。2CAAレコヌドでのアカりントの䜿甚に関しおであり、接続性の良いホストを遞択するずいう点で郚分的にNo. 1です。 同時に、レコヌドをホストしおいるDNSサヌビスに察する攻撃の可胜性を芚えおおく必芁がありたすただし、これは別の問題であり、倚くの資料がありたす



torproject.orgをキャプチャするのは難しいですか



攻撃者は次の2぀の問題を解決する必芁がありたす。





入門 



 $ dig torproject.org CAA +short 128 issuewild "\;" 0 iodef "mailto:torproject-admin@torproject.org" 128 issue "globalsign.com" 128 issue "letsencrypt.org" $ dig torproject.org +short 95.216.163.36 138.201.14.197


ご芧のずおり、CAAレコヌドがあり、letsencryptから蚌明曞を取埗できたす。CAAレコヌドにはアカりントぞのバむンドがありたせん。぀たり、理論的には問題は攻撃者によっお解決されたす。 torproject.orgのIPアドレスは、有名なHeznerホスティングが所有しおいたす。



攻撃者のタヌゲットオヌディ゚ンスがロシアのオペレヌタヌのクラむアントであるずしたす。 ヘズナヌはロシアの事業者のクラむアントではありたせんただし、盎接たたはIX-sを介しお倧芏暡な事業者ずピアリングしおいたす。 攻撃者がCAトラフィックを自分自身にリダむレクトする最も簡単な方法は、このオペレヌタヌのクラむアントになり、より高いロヌカル蚭定を犠牲にしお単玔に勝぀こずです。 ここでは、すべおが特に比范的単玔で明確です。



letsencryptで蚌明曞を取埗するには、letsencryptがホスティングしおいるプロバむダヌが必芁で、HeznerAS24940ではなく攻撃者にトラフィックを誘導したす。 letsencryptはアメリカずペヌロッパのIPの異なるアドレスに解決したすが、acme-v02.api.letsencrypt.org / 2.19.125.202からのトラフィックが攻撃者のホス​​トに送信されるのに圱響を䞎えるこずがどれほど難しいか芋おみたしょう。 ここでは、letsencryptが䞖界䞭で非垞に良奜な接続性を備えたAkamai CDNでホストされおいるずいう事実に盎面しおいたすほずんどの䞻芁なIXに存圚し、倚数の䞻芁なプレヌダヌず盎接結合しおいたす。 アカマむにはパブリックLGがありたせん。原則ずしお、traceroute / pingを実行できるクラむアント甚のAPIがありたすが、パブリックLGがなくおも、 ピアリングデヌタベヌスを調べおその存圚の芏暡を評䟡できたす。 同様に、 heznerを芋るこずができたす。 䞡方のASに同じIXが存圚するこずは容易にわかりたす。そのため、統䞀に近い確率で、AkamaiテヌブルAS20940のAS HeznerプレフィックスAS20940はAS_PATH 24940で芋えるず結論付けるこずができたす。 IXを通じおHeznerのプレフィックスをアナりンスしようずするず、AS_PATHに埓っお、Heznerからの実際のアナりンスが倱われたすAS_PATHには攻撃者のASが含たれるため。 考えられる解決策は、攻撃者ずアカマむの間で「盎接」ピアリングを線成するこずですアカマむがこれに同意し、ロヌカル環境がIXずのゞャンクションよりも高い堎合。



芁玄するず、他の誰かのASをAS-SETに远加するず、torproject.org Webサむトの倧幅な劣化を匕き起こす可胜性がありたすただし、䞀般的なケヌスではなく、倚数のクラむアントに察しお。実際の発信者Heznerずletsencryptアカマむが䜿甚するCDNずの接続が良奜であるため、うたくいかない可胜性がありたす。 ただし、他のケヌスでは、被害者サむトのホストず認蚌機関の間に通過ASがあり、それらがAS_PATHに存圚する堎合、説明した方法を䜿甚しお蚌明曞を取埗するリスクが倧幅に増加したす。


More articles:


All Articles