Назад | Перейти на главную страницу

Почему мы не видим больше атак с маршрутизацией?

Итак, кто помнит всю фиаско «Пакистан убивает YouTube» в феврале прошлого года? Вот статья на эту тему, чтобы освежить вашу память:

Небезопасная маршрутизация перенаправляет YouTube в Пакистан

Суть истории в том, что Пакистан намеревался заблокировать YouTube для своей национальной сети. Они пытались добиться этого, рекламируя информацию о маршрутизации с более высоким приоритетом, чем собственная информация YouTube, и которая отображала IP-адреса YouTube в их сети. Эта маршрутная реклама распространилась в Интернете, заставляя каждый сервер в мире думать, что путь к YouTube лежит через Пакистан.

Мой вопрос: если что-то подобное может произойти случайно из-за некомпетентности, может ли злонамеренная сторона сделать это намеренно? Какие меры предосторожности существуют для предотвращения подобных атак? Если Пакистан может сделать это с YouTube случайно, почему Иран не может сделать это с Twitter специально?

В то время как злонамеренная сторона могла это сделать, у них должен был быть рабочий сеанс BGP, который передавал нефильтрованные маршруты главному интернет-провайдеру. Тем не менее, Renesys утверждает, что определенное (крошечное) количество аналогичных действий действительно имеет место (см. Вот) злонамеренные или случайные.

Причина, по которой Иран не может сделать это специально для твиттера, по сути, заключается в том, что интернет-провайдеры, подключенные к BGP, почти наверняка фильтруют маршруты из Ирана, особенно для политически чувствительных автономных систем. Тем не менее, Иран может легко заблокировать твиттер таким образом.

В настоящее время мало что мешает мошеннической рекламе, кроме как попытаться нести ответственность и фильтровать ваши объявления BGP, исходящие в ваши восходящие потоки, и надеяться, что они делают то же самое.

Таблица интернет-маршрутизации настолько велика (~ 290000 маршрутов на данный момент), что, как правило, сложно создать фильтры для блокировки каждого отдельного маршрута (либо: устройство не может иметь список доступа с большим количеством маршрутов). , или, если это случится, ваша производительность упадет настолько сильно из-за загрузки ЦП, что вы вернетесь к отсутствию фильтрации).

Хотя некоторые интернет-провайдеры действительно выполняют фильтрацию того, что они получают от клиентов (а другие могут требовать от клиентов регистрации своих маршрутов в RADB, глобальном реестре маршрутизации), это отлично работает для вас и меня, скажем, от 1 до 25 маршрутов. В случае крупных клиентов (кабельные компании, государственные интернет-провайдеры и т. Д.) Становится немного сложно создать и поддерживать список доступа для этих людей, которые будут иметь 500, 600, а иногда даже 2000 маршрутов, поэтому вы выбираете не фильтровать, и это становится вопросом доверия и предположений:

«У вас достаточно большая сеть, так что вы, должно быть, что-то делали правильно в прошлом, и мы все извлекли уроки из фиаско AS7007 / SprintLink, верно? Так что, пожалуйста, не присылайте мне злые маршруты».

Если оставить в стороне длинную и юмористическую историю, это коммерческий Интернет в юности, где у людей разные планы, поэтому без некоторых дополнительных достижений в мощности плоскости управления от поставщиков сетевого оборудования, на данный момент мало что можно сделать без снижения производительности безопасности компромисс во внимание:

  • Что делать с перехватом маршрута YouTube, если и когда это происходит из-за кратковременных неудобств? Или наказать всех своих клиентов, чтобы кошка продолжала играть?

Мы не видим это очень часто, потому что еще в 97-м это случилось в США, но только намного хуже. Вот история, хотя вам нужно немного узнать о том, как работает BGP, чтобы действительно понять, что произошло.

http://merit.edu/mail.archives/nanog/1997-04/msg00380.html

Как сетевой инженер в 1999-01 я установил несколько сеансов пиринга BGP. Для этого вам, как небольшой сети, был задан ряд вопросов:

  1. Какое у вас пространство IP?
  2. Вам нужно объявить / 24s для вашего пространства? Если да, то какие?
  3. Вы зарегистрировали этот IP в radb?
  4. Какой у вас ASN?
  5. У вас есть другие ASN?
  6. Все ли зарегистрированы в radb? и так далее.

Они использовались для фильтрации маршрутов, которые я объявлял своим апстримам. Я бы также отфильтровал марсианские IP-адреса, неназначенные IP-адреса, любой маршрут с более значительными битами, чем / 24, и несколько других вещей безопасности. Это становится труднее сделать на уровне NSP, где вы на самом деле пирингуете, а не используете множественную адресацию и получаете полные каналы BGP от наших восходящих потоков, как это делали мы.

Это хороший ресурс для создания шаблона Cisco BGP с некоторыми из основных фильтров, которые должны иметь все пользователи BGP. http://www.cymru.com/Documents/secure-bgp-template.html

+1 для Циан. Но просто добавлю по теме фильтрации.

Все ответственные поставщики должны и размещают входящие фильтры в своих пиринговых сеансах, чтобы гарантировать, что они получают и перераспределяют сообщения о маршрутах только в пределах заданного диапазона (длины префикса) для каждого однорангового узла.

Это идет большинство пути предотвращения распространения таких ошибок и злонамеренных действий.