快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

BGP泄露以及加密货币的那些事儿

在过去的几个小时内,十几个消息报导已经损坏了攻击者怎么样行使BGP漏洞来贪图(也许是治理)窃取加密货币。

1.jpg

什么是BGP

互联由链路组成。譬如我们的DNS域名解析1.1.1.1,我们告诉全国所有在1.1.1.0到1.1.1.255范围内的IP都可以通过任何Cloudflare PoP(point-of-presence,收集服务接入点)走访。

对于没有直接链接到我们路由器的人,他们通过中转提供商接收路由,他们将数据包发送到这些地址,因为它们连接到Cloudflare以及其他Internet。

这是互联正常运作的方式。

有些机构(区域互联网注册治理机构或RIRs)负责调配IP地址,以免使用相同地址而导致冲突。他们有:IANA,RIPE,ARIN,LACNIC,APNIC以及AFRINIC。

什么是BGP泄露?

2.png

BGP泄露的广义定义是由非空间持有者对外广播的IP空间。之中转服务提供商接收到Cloudflare的1.1.1.0/24广播并将其公布给互联网时,我们允许他们如许做。他们还使用只有Cloudflare可以提供给他的RIR(地区互联网地址注册机构)进行安全校验。

绝管检查所有广播公告可能会无比麻烦。尤为面对互联网上700000+的路由,和线供应商之间流量交换的场景下。

从本质上讲,路由泄漏是内陆化的。你内陆化连接越多,接受泄漏路线的危害就越小。

为了被接收一个合法的路由,路由必须是:

较小的前缀(10.0.0.1/32 = 1 个IP与10.0.0.0/24 = 256 个IP)

比具有相同长度的前缀具有更好的metrics值(更短的路径)

BGP泄露的缘故起因一般为由于设置错误:路由器突然广播它学到的IP。或者以更小的前缀在内部的流量项目用于突然被发布到外网了。

但也有多是被人恶意行使发布的。前缀可以重新路由以便被动地阐发数据。或者有人也能够确立一个中继服务来非法应对。这类情形从前也屡有实例。

25号发生了什么?

Cloudflare珍爱的一些网络来自环球数百台路由器BGP信息的服务器,在大概UTC时间11:05:00 到 UTC时间12:55:00之间,收到下列公告:

BGP4MP|04/24/18 11:05:42|A|205.251.199.0/24|10297

BGP4MP|04/24/18 11:05:42|A|205.251.197.0/24|10297

BGP4MP|04/24/18 11:05:42|A|205.251.195.0/24|10297

BGP4MP|04/24/18 11:05:42|A|205.251.193.0/24|10297

BGP4MP|04/24/18 11:05:42|A|205.251.192.0/24|10297

BGP4MP|04/24/1811:05:54|A|205.251.197.0/24|4826,6939,10297

这些是更详细的公告中提到的IP范围:

  • 205.251.192.0/23
  • 205.251.194.0/23
  • 205.251.196.0/23
  • 205.251.198.0/23
  • 该IP空间调配给亚马逊(AS16509)。然则公告ASN显示却来自eNet公司(AS10297)并将其转交给Hurricane Electric(AS6939)。

    这些IP用于亚马逊AWS 的Route53 DNS服务器。当你查询的是他的客户地区时,这些服务器将会应对。

    在两个小时内,IP范围内的服务器泄露,只对“myetherwallet.com”的查询做出应对。有些人可能注意到SERVFAIL。

    当查询任何由Route53解析的域名都会先去查询已经通过BGP泄漏接管的授权服务器。这个中毒的DNS解析器的路由器已经接受了这个路由。

    这其中就包括Cloudflare DNS解析器1.1.1.1。我们在芝加哥,悉尼,墨尔本,珀斯,布里斯班,宿雾,曼谷,奥克兰,黑客网,马斯喀特,吉布提以及马尼拉都得服务都受到影响。其他地方的,1.1.1.1服务正常。

    今天早上的BGP挟制事故影响了亚马逊DNS。俄亥俄州哥伦布市的eNet(AS10297)今天公布了从UTC 时间11:05到13:03的下列亚洲线路的更多细节:

    205.251.192.0/24

    205.251.193.0/24

    205.251.195.0/24

    205.251.197.0/24

    205.251.199.0/24

    3.png

    InternetIntelligence(@InternetIntel)2018年4月24日

    更正:今天早上的BGP挟制是针对AWS DNS而不是Google DNS。

    InternetIntelligence(@InternetIntel)2018年4月24日

    例如,下列查询将返归合法的Amazon IP:

    $ dig + short myetherwallet.com @ 205.251.195.239

    54.192.146.xx

    但在挟制期间,它返归了与俄罗斯DNS供应商(AS48693以及AS41995)相干的IP。你不需要接受被挟制的路由,只需你使用了已经中毒的DNS解析服务器就会中标。

    4.png

    要是你使用了HTTPS,假网站将显示由未知权威机构署名的TLS证书(证书中列出的域名是正确的,然则是自署名的)。要是你选择继续并接受错误的证书。那么你发送的所有内容都将被加密,然则解密内容的密钥却在攻击者手里

    要是你已经登录过,你阅读器会通过cookie发送登录信息。否则,要是你在登录页面上输入用户名以及暗码,就会发送用户名以及暗码,虽然内容是加密的,然则攻击者用手中的密钥就可以解密获得这些嘻嘻你。

    一旦攻击者获患了登录信息(账号暗码或者token),它就会在网站上合法使用它们转移以及窃取以太坊。

    过程图示

    正常情形

    5.png

    BGP路由泄露后

    6.png

    受影响的区域

    如前所述,AS10279宣告了这条路由。然则只有一些区域受到影响。HurricaneElectric在澳大利亚拥有强盛的影响力,主若是因为上彀比较便宜。芝加哥受到影响,因为AS10279的在直接的有一个物理点。

    下图显示受影响地区以及未受影响地区(Y轴做了回一化)的流量。流量大幅下降是因为授权服务器drop了所有的要求(它只响应一个网站而所有其他亚马逊域被忽略)。

    7.png

    eNet(CenturyLink,Cogent以及NTT)使用的其他交易似乎并未接受此路线:一个缘故起因多是他们有过滤器,还有就是Amazon是他们的客户。

    eNet提供IP服务,所以他们的一个客户可能已经宣告了它。

    谁的锅?

    由于参与者众多,人人都难究其责。触及者:

    宣告它并不拥有的子网的ISP

    中转提供商在转播之前未检查通告。

    接受该路由的ISP

    DNS解析服务器以及权限缺乏维护。

    俄罗斯钓鱼网站提供商

    未执行合法TLS证书的网站

    即使提示TLS证书无效,还继续点击的用户

    就像区块链同样,收集更改一般为可见的以及存档的。 RIPE珍爱了一个用于此用途的数据库。

    怎么样避免此类事故发生?

    这是一个难以归答的问题。有关于维护BGP的建议:

    一、有些症结字可以添加到RIR数据库中,因此可以生成允许的来源列表:

    $ whois -h whois.radb.net ' -M 205.251.192.0/21' |egrep '^route:|^origin:|source:' | paste - - - | sort

    route:     205.251.192.0/23   origin:     AS16509    source:     RADB

    route:     205.251.192.0/23   origin:     AS16509    source:     REACH

    2、使用RIR确立RPKI/ROA记录作为与路径路径相干的真实来源,绝管不是每一小我私人都创建这些记录或验证它们。 IP以及BGP是几十年前创建的,关于完备性以及真实性(较少路由)有着不同的请求。

    可以在收集堆栈的上层实现一些操作。

    三、关于DNS上,你可以使用DNSSEC作为你的记录署名。假冒的DNS返归的IP不会被署名,因为它们没有私钥。

    要是你将Cloudflare用作DNS,则可以在面板中只要简单点击几个按钮来启用DNSSEC。

    四、关HTTPS方面,你的阅读器将检查网站提供的TLS证书。要是启用了HSTS,阅读器将一直需要有用的证书。为域生成合法TLS证书的唯一要领是中毒证书颁发机构的非DNSSEC DNS解析器的缓存。

    DANE提供了一种使用DNS将证书固定到域名的要领。

    通过HTTPS的DNS还可以验证你是否正确地与正确的解析器通讯,以防DNS泄漏发生在DNS截些服务器而不是DNS权限。

    没有完善而独特的解决方案。这些维护措施越多,恶意举动者就越难执行这类攻击。

    * 本文虫虫译自cloudflare官方博客,原作者Louis Poinsignon,转载注明来自FreeBuf.com

    您可能还会对下面的文章感兴趣: