На конференции DefCon Тони Капела (Tony Kapela) и Алекс Пилосов (Alex Pilosov) представили доклад (https://www.defcon.org/images/defcon-16/dc16-presentations/d...) о проблемах безопасности протокола BGP, которые можно использовать для нарушения связности пограничных маршрутизаторов в сети и организации атак по перехвату трафика в глобальном масштабе (например, переправить трафик на подставной шлюз, на котором модифицировать определенные IP пакеты и отправлять далее ничего не подозревающему получателю пакета).

Уязвимость использует слабость архитектуры BGP, проявляющуюся в излишне доверительных отношениях между участниками межсетевого взаимодействия. Рассчитывая наиболее оптимальный маршрут, BGP маршрутизатор целиком доверяет информации о пути, полученной от других маршрутизаторов. Внешний BGP маршрутизатор, подконтрольный злоумышленнику, может отправить фиктивные сведения о длине маршрута до определенной автономной системы и инициировать транзит трафика чер...

URL: http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html
Новость: http://www.opennet.me/opennews/art.shtml?num=17582

• Проблемы в BGP названы одной из самых опасных уязвимостей Интернета,trdm, 22:12 , 27-Авг-08
  • Проблемы в BGP названы одной из самых опасных уязвимостей Ин...,User294, 16:50 , 01-Сен-08
• Проблемы в BGP названы одной из самых опасных уязвимостей Интернета,chesnok, 22:28 , 27-Авг-08
• Проблемы в BGP названы одной из самых опасных уязвимостей Интернета,Andrew Kolchoogin, 08:23 , 28-Авг-08
  • Проблемы в BGP названы одной из самых опасных уязвимостей Ин...,Ilijaz, 11:16 , 28-Авг-08
    • Проблемы в BGP названы одной из самых опасных уязвимостей Ин...,Хм..., 12:18 , 28-Авг-08
    • Проблемы в BGP названы одной из самых опасных уязвимостей Ин...,Хм..., 12:22 , 28-Авг-08
      • Проблемы в BGP названы одной из самых опасных уязвимостей Ин...,Ilijaz, 12:43 , 28-Авг-08
        • Проблемы в BGP названы одной из самых опасных уязвимостей Ин...,Andrew Kolchoogin, 12:54 , 28-Авг-08
        • Проблемы в BGP названы одной из самых опасных уязвимостей Ин...,Хм..., 14:48 , 28-Авг-08
        • Проблемы в BGP названы одной из самых опасных уязвимостей Ин...,Хм..., 14:51 , 28-Авг-08
    • Проблемы в BGP названы одной из самых опасных уязвимостей Ин...,Andrew Kolchoogin, 12:51 , 28-Авг-08
    • Проблемы в BGP названы одной из самых опасных уязвимостей Ин...,ifp5, 21:14 , 28-Авг-08
    • Проблемы в BGP названы одной из самых опасных уязвимостей Ин...,Andy, 11:34 , 29-Авг-08
• OpenNews: Проблемы в BGP названы одной из самых опасных уязв...,cae, 12:01 , 28-Авг-08
  • OpenNews: Проблемы в BGP названы одной из самых опасных уязв...,AdVv, 20:32 , 28-Авг-08
• Проблемы в BGP названы одной из самых опасных уязвимостей Интернета,georg, 23:03 , 28-Авг-08
  • Проблемы в BGP названы одной из самых опасных уязвимостей Ин...,Хм..., 06:51 , 29-Авг-08
    • Проблемы в BGP названы одной из самых опасных уязвимостей Ин...,georg, 10:34 , 29-Авг-08
• Проблемы в BGP названы одной из самых опасных уязвимостей Интернета,АПилосов, 18:16 , 29-Авг-08
• Проблемы в BGP названы одной из самых опасных уязвимостей Интернета,Аноним, 06:39 , 31-Авг-08

"Еще в 1998 году Peiter заявил Конгрессу и спецслужбам, что..."
все правильно. спецслужбы тихим сапом намотали на ус и пользуются...

А через несколько годов, когда на IPv6 подсядут как следует и всерьез, какой-то дятл с помпой расскажет о его проблемах безопасности, коих у него дофига и больше :).Хотя их все обсуждали уже несколько лет назад, воз и ныне там а вот попиариться можно качественно и с помпой :)

customer filter

Мнда. Для этого злоумышленнику придется заставить всех транзитников поменять в RIPE DB (или в другой соответствующей DB) Routing Policy, дабы фильтры BGP-анонсов не отправили анонс "атакуемой сети" (C) от "роутера злоумышленника" (C) туда, где ему и положено быть -- в /dev/null :)

Впрочем, если злоумышленник -- Федеральная Служба Безопасности, то он да, он может... Только вот не будет: "товарищ полковник все слушает по специально приходящему к нему кабелю..."

Вы настолько глупы или не работали с БГП и магистралами?

ТТК например не фильтрует анонсы от своих кастомеров.... Думаем....

Если твой роут обджект не соответствует твоей политике то гнать тебя надо подальше от магистральных маршрутизаторов!

По поводу ТТК фильтрует еще как фильтрует :)
Если нет то может продемонстрируете?

>По поводу ТТК фильтрует еще как фильтрует :)
>Если нет то может продемонстрируете?

Ну при получение PA новые адреса заработали без звонка в ТТК )

> Ну при получение PA новые адреса заработали без звонка в ТТК )

И что? Оно на то и PA, что фильтры в ТТК будут пропускать анонсы этих адресов от автономки, их выдававшей, и ото всех ее прямых даунлинков.

Вот с PI и НОВЫМИ allocation'ами ситуация несколько более сложная, но, как правило, у "больших" фильтры раз в сутки перестраиваются автоматически с помощью специальных программ (поищите в Интернете bgpq и посмотрите, что это такое).

Большой человек видел только ТТК :)
Большому человеку нада хорошо почитать www.ripe.net там очень много интересного ...

Вполне может быть что у ттк автоматом листы обновились еще до того как ты начал чтото анонсить. bgpq как часный случай такого инструмента :)

В отличие от Вас, я неглуп. :) И, в отличие, опять-таки, от Вас, я работал и с BGP, и с магистральными маршрутизаторами. :)

Да, безусловно, есть отморозки. В Турции, например, обитают. Летом 2004 года на три с половиной часа поставили раком весь Интернет. Но остальные после этого случая фильтруют. И еще как фильтруют!

Не потому, что турки не фильтруют. Они правильно ничего не фильтруют. У них routing policy -- "accept any" ото ВСЕХ. ВКЛЮЧАЯ даунлинков.

Но это отморозки. Остальные почти все нормальные.

От кастомеров КТТК как раз фильтрует, правда по AS-PATH, а не по префиксам.

С чего вы взяли? Буквально неделю назад подключались к ним в тестовом режиме - все как и положено отфильтровали по RIPE

Открытие! Эксперты! Я валяюсь!
Об этой "дыре" знают все, кто хоть раз прочёл Халаби.
Желание проанонсить в мир от себя full-view появляется у первого же "опытного" админа, первый раз настраивающего BGP. Сессии с такими невменяемыми провайдеры гасят быстро. Сразу по рукам и по морде. По наглой рыжей морде ;-)
Понятно, что происходит это не сразу, и есть магистралы (РТ, например), которые не удосуживаются фильтрацией анонсов. Но если клиенту ехать, а не шашечки, то за чужой анонс могут и отключить. Даже без просмотров договоров, пусть потом судится, целостность сети дороже. Да и админ, который умеет BGP, обычно за своей репутацией на рынке труда сильно следит, и сам незаинтересован в.
Ну а есть те магистрали, кто фильтрует. Почти автоматом. Тем вообще эта "дыра" по барабану.

>Об этой "дыре" знают все, кто хоть раз прочёл Халаби.

Можно поподробнее что и где почитать ?

Подскажите, а что есть кроме bgpq для автоматического построения фильтров? И кроме IRR-Tollset?

>Подскажите, а что есть кроме bgpq для автоматического построения фильтров? И кроме
>IRR-Tollset?

А тебе что этого мало? bgpq практически все умеет :)

Мне не мало, мне хочется узнать, а есть ли ещё что-нибудь?

Мля, никто в тему не вник.

Комментарии:

а) Читайте презентацию или статью в Wired. Мы (не королевское мы, а авторы етой презентации) не говорили что открыли новую дырку - мы указали как просто скрыто експлуатировать ее для мониторинга любого трафика.

б) Нащет ттк: Ессно *все* фильтруют. Как минимум по as-path. Что на самом деле довольно минимально и отчень плохо - т.е. можно очень много поломать, тк можешь анонсировать *все* что угодно. Но для вышеуказаного експлойта ето не подойдет. Если фильтруют по IRR - то очень просто, регистрируешь свой раут в одной из баз IRR которые всеми используются и не фильтруются (напр ARIN или ALTDB), и все твои апстримы берут твой роут.

в) Нащет по наглой рыжей морде: Поверьте, никто не заметил. На NANOG мы анонсировали 1/8 и 0/8 и подобные вещи, и хоть бы что :)

-александр пилосов

Да на этом форуме тоже идет обсуждение этой темы, интересно!