Deturnarea IP

În contextul securității cibernetice , hijacking-ul IP (alias hijacking IP , numit uneori și hijacking BGP , prefix hijacking sau hijacking de rute ) este achiziția nelegitimă a grupurilor de adrese IP prin corupția tabelelor de rutare .

Datorită naturii dinamice a internetului , fiecărui router trebuie să i se furnizeze în mod regulat tabele de rutare actualizate. La nivel global, adresele IP individuale sunt grupate în prefixe. Aceste prefixe vor fi create sau deținute de un sistem autonom (AS), iar tabelele de rutare dintre AS-uri vor fi menținute folosind Border Gateway Protocol (BGP). Un grup de rețele care operează sub o singură politică de rutare externă este cunoscut sub numele de sistem autonom. Cu titlu de exemplu, Sprint , Verizon și AT&T pot fi definite ca AS. Fiecare AS are propriul număr de identificare AS unic. BGP este protocolul standard de rutare utilizat pentru schimbul de informații despre rutare IP între sisteme autonome.

Fiecare AS folosește BGP pentru a semnaliza prefixele către care poate comunica. De exemplu, dacă prefixul de rețea 192.0.2.0/24 se află în AS 64496, atunci acel AS va semnala furnizorilor și / sau colegilor săi posibilitatea de a trimite trafic destinat 192.0.2.0/24.

Deturnarea IP poate avea loc în mod intenționat sau accidental în mai multe moduri:

Un AS anunță originea unui prefix care de fapt nu a apărut.
Un AS anunță un prefix mai specific decât ar putea fi anunțat de AS originar real.
Un AS anunță că poate direcționa traficul către AS deturnat printr-un traseu mai scurt decât cel deja disponibil, indiferent dacă ruta există de fapt.

O consecință comună a acestor probleme este întreruperea rutării normale a rețelei: pachetele ajung să fie redirecționate către partea greșită a rețelei. În acest fel, fie intră într-o buclă infinită (numai pentru a fi aruncată), fie ajung la dispoziția SA compromisor.

În mod obișnuit, ISP-urile filtrează traficul BGP, permițând reclamelor BGP din rețelele din aval să conțină doar spații IP valide. În practică, incidentele din trecut arată că acest lucru nu este întotdeauna cazul.

Infrastructura cu cheie publică de resurse (RPKI) este concepută pentru a autentifica originile rutei folosind lanțuri de certificate criptografice pentru a dovedi proprietatea blocului de adrese, dar nu este încă adoptată pe scară largă. Odată adoptată, deturnarea IP (atât accidentală, cât și intenționată) ar trebui să fie detectabilă și, prin urmare, evitabilă.

Deturnarea IP este uneori folosită de utilizatorii rău intenționați pentru a obține adrese IP pe care să le folosească pentru spam sau atacuri distribuite de refuz de serviciu .

Cazuri cunoscute

Aprilie 1997: „ Incidentul AS 7007 ” Primul exemplu distinctiv ^[1]
24 decembrie 2004: TTNet în Turcia deturnă traficul de internet ^[2]
7 mai 2005: întreruperea serviciului Google în mai 2005 ^[3]
22 ianuarie 2006: Con-Edison deturnă o mare parte din Internet ^[4]
24 februarie 2008: O încercare a Pakistanului de a bloca accesul YouTube în țară face YouTube complet inaccesibil. ^[5]
11 noiembrie 2008: ISP-ul brazilian CTBC - Compania de Telecomunicații din Brazilia Central își filtrează graficul intern în graficul global BGP. ^[6] ^[7] A durat mai mult de 5 minute. Deși a fost detectat de serverul de rutare RIPE și nu a fost propagat, a afectat practic doar clienții ISP și câțiva alții.
8 aprilie 2010: un ISP chinez deturnează Internetul ^[8] - China Telecom a creat 37.000 de prefixe care nu le aparțin în 15 minute, provocând întreruperi ale serviciilor globale.
Februarie 2014: ISP canadian folosit pentru a redirecționa date de la ISP. ^[9] - În 22 evenimente între februarie și mai, un hacker a redirecționat traficul timp de aproximativ 30 de secunde pe sesiune. Operațiunile miniere de Bitcoin și alte cripto-monede au fost vizate și moneda a fost furată.
Iulie 2018: BGP Stream detectează o posibilă deturnare în detrimentul AS62014, cunoscută sub numele de Telegram Messenger LLP. Originea unei posibile încălcări pare să provină de la ASN 58224 (Iran Telecommunication Company PJS)

Notă

^ Merit.edu Arhivat 27 februarie 2009 la Internet Archive .
^ Renesys.com Arhivat 28 februarie 2008 la Internet Archive .
^ Analiza originilor prefixate BGP în timpul întreruperii Google din mai 2005
^ Renesys.com
^ Ripe.net
^ http://www.renesys.com/blog/2008/11/brazil-leak-if-a-tree-falls-in.shtml
^ Copie arhivată , la ddos.arbornetworks.com . Adus la 21 iunie 2016 (Arhivat din original la 19 aprilie 2012) .
^ Bgpmon.net
^ wired.com

Elemente conexe

linkuri externe

BGPmon.net : Un sistem specific pentru BGP pentru a detecta deturnarea, scurgerea rutei și instabilitatea.
Ciclop : Un instrument de audit BGP (prefix hijack, scurgere a rutei) dezvoltat de UCLA
NetViews : un vizualizator în timp real al topologiilor BGP și al detecției IP Hijacking dezvoltat de Universitatea din Memphis.
AS-CRED : un serviciu bazat pe încredere și reputație, cu alerte în timp real (deturnare de prefix, anunț de prefix instabil), pentru rutare inter-domeniu dezvoltat de Universitatea din Pennsylvania.

Portal de securitate cibernetică : accesați intrările Wikipedia care se ocupă de securitatea cibernetică

[1] Merit.edu Arhivat 27 februarie 2009 la Internet Archive .

[2] Renesys.com Arhivat 28 februarie 2008 la Internet Archive .

[3] Analiza originilor prefixate BGP în timpul întreruperii Google din mai 2005

[4] Renesys.com

[5] Ripe.net

[6] ttp://www.renesys.com/blog/2008/11/brazil-leak-if-a-tree-falls-in.shtml

[7] Copie arhivată , la ddos.arbornetworks.com . Adus la 21 iunie 2016 (Arhivat din original la 19 aprilie 2012) .

[8] Bgpmon.net

[9] wired.com

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]