什么是BGP劫持？

bgp劫持是指攻擊者惡意改變互聯(lián)網(wǎng)流量的路由。攻擊者通過錯(cuò)誤地宣布他們實(shí)際上并不擁有、控制或路由的IP地址組(稱為IP前綴)的所有權(quán)來實(shí)現(xiàn)這一點(diǎn)。

bgp劫持很像是有人在高速公路上改變所有的標(biāo)志，將汽車指向錯(cuò)誤的出口。

整個(gè)互聯(lián)網(wǎng)是由很多的網(wǎng)絡(luò)組成，這些網(wǎng)絡(luò)被稱為是“自治系統(tǒng)(AS)”，因?yàn)檫吔缇W(wǎng)關(guān)協(xié)議（BGP）是建立在假設(shè)互聯(lián)網(wǎng)絡(luò)真正告訴他們擁有哪些IP地址的基礎(chǔ)上的，所以BGP劫持幾乎是不可能停止的 - 想象一下，如果沒有人在看高速公路標(biāo)志，那么判斷這些標(biāo)志是否被惡意更改的唯一方法就是汽車最終會(huì)走到錯(cuò)誤的地方才會(huì)知道是標(biāo)志錯(cuò)誤了。然而，要發(fā)生劫持事件，攻擊者需要控制或破壞連接一個(gè)自治系統(tǒng)(AS)和另一個(gè)自治系統(tǒng)(AS)的啟用BGP的路由器，這樣就不是每個(gè)人都可以進(jìn)行BGP劫持。

什么是BGP？

BGP代表邊界網(wǎng)關(guān)協(xié)議，它是Internet的路由協(xié)議。換句話說，它提供了方向，以便路由盡可能高效地從一個(gè)IP地址傳輸?shù)搅硪粋�(gè)IP地址。IP地址是網(wǎng)站的實(shí)際Web地址。當(dāng)用戶鍵入網(wǎng)站名稱并且瀏覽器找到并加載它時(shí)，請求和響應(yīng)在用戶的IP地址和網(wǎng)站的IP地址之間來回傳遞。DNS（域名系統(tǒng)）服務(wù)器提供IP地址，但BGP提供了最快的方式來訪問該IP地址。粗略地說，如果DNS是互聯(lián)網(wǎng)的地址簿，那么BGP就是互聯(lián)網(wǎng)的路線圖。

每個(gè)BGP路由器存儲(chǔ)一個(gè)路由表，其中包含自治系統(tǒng)之間的最佳路由。由于每個(gè)AS （通常是Internet服務(wù)提供商（ISP））廣播他們擁有的新IP前綴，因此幾乎不斷更新這些內(nèi)容。BGP總是傾向于從AS到AS的最短和最直接的路徑，以便通過網(wǎng)絡(luò)中盡可能少的跳躍來到達(dá)IP地址。

自治系統(tǒng)（AS）的定義

自治系統(tǒng)是由單個(gè)組織管理的大型網(wǎng)絡(luò)或網(wǎng)絡(luò)組。AS可能有許多子網(wǎng)，但都共享相同的路由策略。通常，AS是ISP或具有自己的網(wǎng)絡(luò)的非常大的組織，以及從該網(wǎng)絡(luò)到ISP的多個(gè)上游連接（這稱為“多宿主網(wǎng)絡(luò)”）。每個(gè)AS都分配有自己的自治系統(tǒng)編號(hào)（ASN），以便輕松識(shí)別它們。

為什么BGP很重要？

BGP使得互聯(lián)網(wǎng)的大規(guī)模增長成為可能�；ヂ�(lián)網(wǎng)由多個(gè)互連的大型網(wǎng)絡(luò)組成。由于它是分散的，因此沒有管理機(jī)構(gòu)為數(shù)據(jù)包傳送到其預(yù)期的IP地址目的地鋪設(shè)最佳路由。BGP履行這一職責(zé)。如果不是BGP，由于路由效率低，網(wǎng)絡(luò)流量可能需要花費(fèi)大量時(shí)間才能到達(dá)目的地，或者根本不會(huì)到達(dá)預(yù)定目的地。

BGP如何被劫持？

當(dāng)AS宣布它實(shí)際上不控制的IP前綴的路由時(shí)，該公告（如果未被過濾）可以傳播并被添加到因特網(wǎng)上的BGP路由器中的路由表。從那時(shí)起，直到有人注意到并糾正路由，這些IP的流量將被路由到該AS。

BGP始終支持所需IP地址的最快最詳細(xì)的的路徑。為了使BGP劫持成功，路由公告必須：

1）提供一個(gè)更具體的路線，宣布一個(gè)較小的范圍的IP地址比其他AS先前宣布。

2）為某些IP地址塊提供更短的路由。此外，不只是任何人都可以宣布到更大的互聯(lián)網(wǎng)的BGP路由。為了發(fā)生BGP劫持，必須由AS的運(yùn)營商或已經(jīng)破壞AS的威脅行為者發(fā)布通知（第二種情況更為罕見）。

提供到特定IP地址段的較短路由。此外，不是所有人都可以宣布BGP路由到更大的互聯(lián)網(wǎng)。為了使BGP劫持事件發(fā)生，必須由AS的運(yùn)營商或或已經(jīng)破壞AS的威脅行為者發(fā)布通知(第二種情況比較少見)作出聲明。

似乎令人驚訝的是，大型網(wǎng)絡(luò)或網(wǎng)絡(luò)組的運(yùn)營商（其中許多是ISP）會(huì)肆無忌憚地進(jìn)行此類惡意活動(dòng)。但考慮到現(xiàn)在全球有超過80,000個(gè)自治系統(tǒng)，有些人不值得信任也就不足為奇了。此外，BGP劫持并不總是顯而易見或易于檢測。不良行為者可能會(huì)偽裝他們在其他AS之后的活動(dòng)，或者可能會(huì)宣布未使用的IP段，這些ip段不太可能被注意監(jiān)控到。

BGP被劫持后會(huì)發(fā)生什么？

由于BGP劫持，互聯(lián)網(wǎng)流量可能出錯(cuò)，被監(jiān)控或攔截，被“黑洞”，或者作為中間人攻擊的一部分被導(dǎo)向虛假網(wǎng)站。此外，垃圾郵件發(fā)送者可以使用BGP劫持或?qū)嵤〣GP劫持的AS網(wǎng)絡(luò)，以欺騙合法IP以進(jìn)行垃圾郵件。從用戶的角度來看，頁面加載時(shí)間將會(huì)增加，因?yàn)檎埱蠛晚憫?yīng)將不會(huì)遵循最有效的網(wǎng)絡(luò)路由，甚至可能不必要地遍歷全世界。

在最佳情況下，流量只會(huì)占用不必要的長路徑，從而增加延遲。在最糟糕的情況下，攻擊者可能正在進(jìn)行中間人攻擊，或者將用戶重定向到虛假網(wǎng)站以竊取數(shù)據(jù)。

BGP在現(xiàn)實(shí)網(wǎng)絡(luò)劫持案例

有許多關(guān)于故意BGP劫持的真實(shí)例子。例如，在2018年4月，俄羅斯提供商宣布了一些實(shí)際屬于Route53 Amazon DNS服務(wù)器的IP前綴（IP地址組）。簡而言之，最終結(jié)果是嘗試登錄加密貨幣站點(diǎn)的用戶被重定向到由黑客控制的虛假版本的網(wǎng)站。因此，黑客能夠竊取大約152,000美元的加密貨幣。（為了更具體：通過BGP劫持，黑客劫持了亞馬遜DNS查詢，以便DNS查詢進(jìn)入他們控制的服務(wù)器，返回錯(cuò)誤的IP地址，并將HTTP請求定向到虛假網(wǎng)站。

無意中發(fā)生BGP劫持事件也很普遍，它們可能對整個(gè)全球互聯(lián)網(wǎng)產(chǎn)生負(fù)面影響。2008年，巴基斯坦政府所有的巴基斯坦電信試圖通過更新其網(wǎng)站的BGP路線來審查巴基斯坦境內(nèi)的Youtube�？此埔馔�，新航線被宣布給巴基斯坦電信的上游供應(yīng)商，并從那里播出到整個(gè)互聯(lián)網(wǎng)。突然之間，Youtube的所有網(wǎng)絡(luò)請求都被導(dǎo)向了巴基斯坦電信，導(dǎo)致幾乎整個(gè)互聯(lián)網(wǎng)網(wǎng)站長達(dá)數(shù)小時(shí)的中斷，并使ISP服務(wù)商無法接受。idcBEST.com

用戶和網(wǎng)絡(luò)如何防御BGP劫持？

除了持續(xù)監(jiān)控互聯(lián)網(wǎng)流量如何路由之外，用戶和網(wǎng)絡(luò)可以做很少的事情來防止BGP劫持。

IP段前綴過濾

大多數(shù)網(wǎng)絡(luò)應(yīng)該只在必要時(shí)接受IP段前綴聲明，并且只應(yīng)將其IP前綴聲明到某些網(wǎng)絡(luò)，而不是整個(gè)Internet。這樣做有助于防止意外的路由劫持，并可能使AS不接受偽造的IP前綴聲明; 但是，在實(shí)踐中，這很難實(shí)施。

BGP劫持檢測

增加的延遲，降低的網(wǎng)絡(luò)性能和錯(cuò)誤的互聯(lián)網(wǎng)流量都是BGP劫持的可能跡象。許多大型網(wǎng)絡(luò)將監(jiān)控BGP更新，以確保其客戶不會(huì)遇到延遲問題，并且一些安全研究人員實(shí)際上會(huì)監(jiān)控互聯(lián)網(wǎng)流量并發(fā)布他們的發(fā)現(xiàn)。

使BGP更安全

BGP旨在使Internet工作，它肯定會(huì)這樣做。但BGP的設(shè)計(jì)并未考慮安全性。整個(gè)互聯(lián)網(wǎng)（如BGPsec）的安全路由解決方案正在開發(fā)中，但尚未采用它們。目前，BGP具有內(nèi)在的脆弱性，并將繼續(xù)存在。（來源網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系刪除）

本文鏈接：http://51huadong.com/cloundnews/11004842.html