Основной протокол динамической маршрутизации в интернете BGP (Border Gateway Protocol), к сожалению, уязвим перед атаками с изменением маршрутизации, когда некий узел начинает выдавать себя за другой. Классическая история произошла в 2008 году, когда после блокировки YouTube на территории Пакистана местный провайдер Pakistan Telecom начал выдавать себя за подсеть 208.65.153.0/24, которая на самом деле принадлежит YouTube. В результате многие маршрутизаторы изменили свои таблицы маршрутизации и направили трафик, предназначенный для сайта YouTube, в сеть Pakistan Telecom.

Специалисты из компании Renesys обращают внимание, что в последнее время перенаправление по BGP все чаще используется злоумышленниками для прослушки чужого трафика, то есть для атаки MiTM («человек посередине»). Для жертвы это совершенно незаметно: трафик проходит через узел злоумышленника — и направляется в пункт назначения по слегка измененному маршруту. Если нападающий находится физически между журтвой и пунктом назначения трафика, то жертва даже не заметит увеличения задержки в пакетах.

На карте указано местонахождение жертв атак с перенаправлением интернет-трафика по BGP, которые Renesys зафиксировала в текущем году.

Отмечено 150 городов, где есть хотя бы одна жертва. Среди пострадавших — самые разные компании, в том числе VoIP-провайдеры, правительства стран и финансовые организации.

Компания Renesys отмечает удобный способ прослушки такого рода: если можно взять произвольный трафик с другого полушария, пропустить через свою сеть, изменить его по желанию — и отправить обратно, то зачем врезаться в оптоволокно?

Renesys приводит несколько характерных MiTM-атаки с перенаправлением интернет-трафика по BGP. Например, в феврале 2013 года практически ежедневно трафик из различных сетей в мире перенаправлялся в сеть белорусского провайдера GlobalOneBel. Направление атаки менялось почти ежедневно, а среди пострадавших стран — США, Южная Корея, Германия, Чехия, Литва, Ливия и Иран.

Специалистам удалось сохранить информацию о конкретной маршрутизации пакетов во время этих атак. Например, на карте показана схема перенаправления трафика из Мексики в Вашингтон через Москву и Минск. В этом случае белорусский провайдер «Белтелеком» специально изменил таблицы маршрутизации, чтобы получить нужный трафик, пропустить через себя — и отдать в пункт назначения.


27 февраля 2013: Атака из сети белорусского провайдера «Белтелеком»
IP Ответ (мс) Заметки
201.151.31.149 15.482 pc-gdl2.alestra.net.mx (Guadalajara, MX)
201.163.102.1 17.702 pc-mty2.alestra.net.mx (Monterrey, MX)
201.151.27.230 13.851 igmty2.alestra.net.mx (Monterrey, MX)
63.218.121.49 17.064 ge3-1.cr02.lar01.pccwbtn.net (Laredo, TX)
63.218.44.78 64.012 TenGE11-1.br03.ash01.pccwbtn.net (Ashburn, VA)
64.209.109.221 84.529 GBLX-US-REGIONAL (Washington, DC)
67.17.72.21 157.641 lag1.ar9.LON3.gblx.net (London, UK)
208.178.194.170 143.344 cjs-company-transtelecom.ethernet8-4.ar9.lon3.gblx.net (London, UK)
217.150.62.234 212.869 mskn01.transtelecom.net (Moscow, RU)
217.150.62.233 228.461 BelTelecom-gw.transtelecom.net (Minsk, Belarus)
87.245.233.198 225.516 ae6-3.RT.IRX.FKT.DE.retn.net (Frankfurt, DE)
* no response
* no response
129.250.3.180 230.887 ae-3.r23.nycmny01.us.bb.gin.ntt.net (New York, NY)
129.250.4.69 232.959 ae-1.r05.nycmny01.us.bb.gin.ntt.net (New York, NY)
129.250.8.158 248.685 ae-0.centurylink.nycmny01.us.bb.gin.ntt.net (New York, NY)
* no response
63.234.113.110 238.111 63-234-113-110.dia.static.qwest.net (Washington, DC)

Жертва, которая находится в Вашингтоне, может даже запустить traceroute и увидеть нормальный маршрут к сайту, но на обратном пути пакеты проходят через Минск, где за действиями пользователя в интернете могут внимательно следить.

Атаки из Беларуси прекратились в мае 2013 года. Специалисты Renesys отмечают, что после этого высокую активность начал проявлять исландский провайдер Opin Kerfi, действуя примерно по такому же сценарию.

Renesys допускает, что изменение маршрутизации трафика могло произойти в результате какого-то бага, но скорее можно говорить о том, что таргетированные MiTM-атаки с перенаправлением интернет-трафика по BGP превратились из теоретической возможности в реальную угрозу.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии