什么是BGP路由劫持?BGP劫持什么意思?
BGP的全称是边界网关协议,是用于全球互联网网络之间路由传输互联网流量的事实上的系统。整个系统在设计上非常脆弱,原因是任何参与的网络只要“撒谎”、发布BGP路由通告,声称其网络上有“Facebook服务器”,那么所有互联网实体都会将其视为合法目标,将所有的Facebook流量发送到劫持者的服务器。BGP劫持
因为协议的特殊性,在计算路由路线时,通常在会合路由表中的所有ip前缀进行匹配,如果满足变长掩码的需求,就会把通过该路由将数据转发,如果存在相同的IP前缀,则找到一个ip块更小的路由,既掩码最长的那一个。攻击者通常会攻击边界路由器,使将错误的或者未经使用的ip前缀散发出去,将错误的路由信息广播至上级和其他对等体的路由表中,从而达到获取本不应该接受到的路由的数据消息。
就BGP本身而言,这种攻击很难从协议上进行更改,因为设计中虽然是建立在TCP之上,但是协议本身并没有验证数据源可靠与否的设计。唯一一个难点在于,边界路由的连接必须在物理上进行端口设置,而且BGP互换报文的TTL只有1,也就是必须在1秒之内建立连接才能进行下一步操作,比如,边界路由器RA和边界路由RB如果要互设BGP,那么必须在路由器的console中设置BGP会通过哪一个物理端口。因此,这种攻击服务器中如果有人为改动的话,是很难防范的。
在过去,HTTPS被广泛用于加密流量之前,BGP劫持让攻击者得以实施中间人(MitM)攻击,从而拦截和篡改互联网流量。
如今BGP劫持仍然很危险,因为它让劫持者可以记录流量,以便以后试图分析和解密流量,保护流量的加密技术因加密领域的进步而被削弱了。
自上世纪90年代中期以来,BGP劫持一直是互联网骨干网上的一大问题;多年来,通信领域的从业人员一直在竭力提高BGP协议的安全性,因此出现了ROV、RPKI以及最近的MANRS。然而,采用这些新协议方面的进度一直很缓慢,BGP劫持仍时有发生。
2014年记录到的BGP劫持曾经拦截了比特币矿机到采矿器服务器的连接,将流量转移到了攻击者自己的矿池,就简简单单看着流量就收集了在当时价值8万美刀的比特币。
页:
[1]