Как фильтрация full-view может предотвратить захват трафика

Шесть лет назад специалисты по кибербезопасности и NOC-инженеры активно обсуждали в сети громкую кибератаку на сетевой префикс, который принадлежал Amazon. Тот случай продемонстрировал уязвимость протокола BGP и его важность для всей инфраструктуры интернета. Сложившаяся ситуация подняла вопросы о безопасности криптовалютных транзакций, которые активно развивались в то время, особенно при взаимодействии с финансовыми платформами. Сетевые проблемы, которые могут быть вызваны взломом протокола BGP, до сих пор актуальны. Сам по себе протокол не обладает внутренним механизмом обеспечения защиты сохранности данных, что регулярно используют злоумышленники в своих целях.

Основные термины, используемые в статье 

Прежде чем перейти к основной части, предлагаем читателям ознакомиться со списком терминов, которые использованы в материале. Так будет проще понять контекст, если встретится незнакомое слово.

BGP-протокол  — один из основных протоколов интернета, который используется для обмена маршрутами между роутерами.

Full-view — карта маршрутов, которую маршрутизатор получает от провайдера.

Аплинк — интернет-провайдер или любой другой поставщик интернет-услуг, через которого пользователь подключается к интернету.

AS (Autonomous System) — набор IP-сетей и маршрутизаторов с едиными правилами передачи данных между узлами.

Префикс —  это числовое значение, которое указывает на количество бит в сетевой части адреса. Например, у вас есть адрес 123.234.162.0, а префикс — это последние две цифры за слешем — 123.234.162.0/24.

DNS — телефонная книга интернета, которая содержит имена сайтов (например, google.com) и IP-адреса, к которым эти доменные имена прикреплены (172.217.22.14). Компьютеры используют их для связи.

Что такое Full-View и для чего он нужен

Full-view — это таблица со списком маршрутов, который провайдер получает от своих аплинков (поставщиков интернет-трафика). Она содержит информацию обо всех префиксах IP-адресов в интернете, а также путях, выбранных для передачи трафика.

Что произошло

24 апреля 2018 года произошел серьезный инцидент, связанный с интернет-маршрутизацией. Хакеры использовали уязвимость протокола BGP для захвата сетевого префикса, принадлежащего Amazon, — 205.251.192.0/24, который отвечал за работу некоторых DNS-серверов Amazon Web Services (AWS). С помощью BGP hijacking злоумышленники перенаправили трафик пользователей популярного криптовалютного кошелька MyEtherWallet (MEW) на поддельный сайт. Пользователи вводили свои приватные ключи на фальшивом ресурсе, что приводило к краже их средств. В результате атаки было похищено около 150 тысяч долларов в криптовалюте.

Почему это произошло

Основной причиной инцидента стало отсутствие механизмов проверки подлинности маршрутов в протоколе BGP. Атакующие, используя автономную систему AS10297, объявили о наличии у них сетевого префикса 205.251.192.0/24, который принадлежал Amazon. По аналогии можно представить ситуацию, когда мошенники заявляют о том, что какой-то конкретный дом теперь находится по другому адресу, и заставляют других поверить в это.

Так как многие провайдеры, используют full-view от своих аплинков без соответствующей фильтрации, они оказались уязвимыми для распространения недействительных маршрутов. Провайдеры поверили, что трафик для Amazon должен идти через AS10297.

После того как ложная информация была распространена, трафик, который должен был идти к Amazon, начал перенаправляться через сеть злоумышленников. Это позволило им перехватывать, анализировать и изменять данные, предназначенные для Amazon.

Злоумышленники использовали особенность маршрутизации, чтобы перехватывать трафик. Сетевой префикс 205.251.192.0/24 считается специфичнее, чем 205.251.192.0/23, а системы маршрутизации устроены таким образом, что в подобных ситуациях будут отдавать приоритет более специфичным префиксам. 

Как предотвратить BGP hijacking

BGP hijacking – не новая атака и знакома многим специалистам, однако она регулярно приводит к инцидентам, так как BGP-протокол не имеет встроенной аутентификации маршрутов.

Как и в случае с другими киберинцидентами, для обеспечения безопасности сети необходима комплексная защита на всех уровнях сетевой инфраструктуры. Один из эффективных способов борьбы с неправомерным захватом трафика — использование RPKI (Resource Public Key Infrastructure). Это криптографическая система уровня безопасности в протоколе BGP. Она идентифицирует маршруты и способна гарантировать, что префиксы объявляются только их законными владельцами. В протоколе BGP понятия «владелец» не существует, что позволяет анонсировать лучший маршрут случайно или злонамеренно. RPKI основан на существующем стандарте PKI — RFC6480. 

Как работает RPKI

RPKI связывает IP-префиксы с цифровыми сертификатами, которые подтверждают, что только авторизованные автономные системы могут объявлять данные префиксы. Если маршрут не соответствует записи в RPKI, он будет отклонен. Это помогает предотвратить такие атаки, как BGP hijacking, ограничивая возможность злоумышленников объявлять ложные префиксы и перенаправлять трафик по ложным маршрутам.

Что предлагает сервис защиты DDoS-Guard

Система фильтрации сетей DDoS‑Guard работает в режиме Always-On, что позволяет эффективно блокировать все известные виды атак с первого аномального пакета или потока. Мы фильтруем маршруты по RPKI, чтобы сделать интернет безопаснее и минимизировать возможность атак типа BGP hijacking. В личном кабинете представлены подробные отчеты и графики по прошедшим атакам, а также доступен внутренний магазин с дополнительными услугами и инструментами защиты.

За годы существования BGP-протокола в нем выявлено множество уязвимостей. В 2024 году группа ученых нашла новую, вместе с ней появился и ранее неизвестный вид атаки — Kirin. Справиться своими силами с действиями злоумышленников самостоятельно практически невозможно. Отдавайте предпочтение профессиональным защитным решениям, которые смогут обеспечить качественный сервис и безопасность вашей сетевой инфраструктуры.