BlackHat议题分析:浅析BGP劫持利用

BGP劫持在2008年的defcon大会上就曾经有涉及,然而在2015年的blackhat上又被选为议题,可见问题的严重性,冰冻三尺,非一日之寒,BGP劫持问题有待世界各地的组织携手解决。

0x00 什么是BGP

BGP用于在不同的自治系统(AS)之间交换路由信息。当两个AS需要交换路由信息时,每个AS都必须指定一个运行BGP的节点,来代表AS与其他的AS交换路由信息。这个节点可以是一个主机。但通常是路由器来执行BGP。

由于可能与不同的AS相连,在一个AS内部可能存在多个运行BGP的边界路由器。同一个自治系统(AS)中的两个或多个对等实体之间运行的BGP 被称为 IBGP(Internal/Interior BGP)。这些子网络互相连接,通过BGP协议告诉对方自己子网络里都包括哪些IP地址段,自己的AS编号(AS Number)以及一些其他的信息。

这里又要扯到互联网的IP地址分配方式。互联网的IP地址分配是中心化的,ICANN这个机构把IP地址大段分给Regional Internet Registries(RIR),区域互联网注册管理机构。RIR再把IP地址段细分后分给ISP们。

大部分情况下,AS Number和分给该AS什么IP段是没有任何关系的。

BGP协议里虽然有一些简单的安全认证的部分,但是对于两个已经成功建立BGP连接的AS来说,基本会无条件的相信对方AS所传来的信息,包括对方声称所拥有的IP地址范围。

对于ISP分配给大公司客户的地址段,ISP往往会对BGP做一些有限的过滤。但是对于大型ISP来说,因为对方所拥有的IP地址段可能过于分散,所以一般是按最大范围设置BGP prefix 地址过滤。一般ISP分配到的IP地址段都是连续的,但是基本也都有可操作的空间,可以把数百到几万个不属于自己的IP合法加到自己的BGP信息里。

0x01 BGP劫持概览

我们把BGP劫持分为两类

1、Prefix劫持

prefix劫持中,当受害者被正当分配IP prefix时 劫持的AS申请同样的prefix,假冒的BGP声明来自劫持的AS,消息通过路由系统散播,其他的AS就用本地的策略选择正当AS路线还是假冒的BGP路线。

2、subprefix劫持

使用subprefix劫持,攻击者可以截获受害IP的全部流量,劫持的AS创建一个受害IP prefix的subprefix,所以prefix就被受害者的IP prefix覆盖了。

2008年2月24日,巴基斯坦电信公司攻击使Youtube不能访问就是此类攻击。

互联网的路径设计基于值得信任的网络提供者彼此交流,这使无意的路径泄漏变得难以解决。然而(BGP)边界网关劫持并不被人重视,尽管都知道它可以导致拒绝服务,中间人攻击,窃取未加密的会话,但是随着强大的TLS加密方法普及,攻击者接触到重要数据变得越来越不可能,所以劫持就是个好办法。

BGP劫持由于(ISP)互联网服务提供商在转发之前没有过滤来自对等节点的prefix声明。一旦一个攻击者获得了对等节点的权限,他就可以让其他的对等节点广播任意prefix,劫持前结点和上游ISP

0x02全球化的和本地的劫持

劫持和泄漏通常被认为是由黑客,政府雇佣的人员发起的特定活动所以不常发生,在我看来它们确实罕见,由于人们错误操作使路径泄漏随处可见,然而为什么黑客们忽略了它们能偷走prefixs的可能性。

大的ISP有措施防止劫持,但从事件来看也不是那么管用,小的ISP不关心prefix过滤的问题。正因为如此ISP总能满足网络的应用,即使边界路由很脆弱。对一个有技术的黑客来说,黑进一个ISP,随意修改声明不是很难。然而在我看来,这几乎不会无端发生。

举个例子:

1, AS-A向它的上游AS-C声明了X.Y.Z.0/22 2, AS-M向它的上游AS-B声明了X.Y.Z.0/23 3, ISP默认路径都是上游提供,然后用本地的网络替代它,在这样情景中本地路径将高于其他网络。这时路径/23就会被路径/22代替。 4, 所有通信包都经由AS-B发往AS-M

传输途中的中间设备都是选择路径最短的那个,然而AS间距离可以被黑客修改,攻击者劫持了所有目标AS的流量。为了让回来的数据包也经过你的路由器,你需要记录trace route到目标网络的时候都会经过哪些AS。使用AS-PATH prepend list包括这些AS Number ,设置static route到traceroute出现的第一个ASN。

0x03劫持CA(certificate authority)证书

通过TLS CA 为用户获得TLS证书的过程如下:

1,先在CA网页申请一个帐号

2,认证登录请求CSR(certificate signing request)创建并载入,尽管这很重要,一些CA甚至允许跳过这步直接从CA中取私钥

3,CA提供了很多选择认证用户所有权

查询whois记录 载入特定html在特定url通过认证 使用者在dns表中建立自定义token

4,当确认所有权后,使用者付款,CA发放TLS认证,然后就能用这个CA证书向你网页的用户证明身份。

如果我们选择了正确的CA,BGP劫持打断CA间的通话也不会被发现。

受害者的服务器和客户都在美国,但是prefix都被劫持在了中国,然后我们可以假装受害者(在这个CA没有可靠认证时),或者冒充一个WHOIS 认证服务器得到目标域的正当TLS认证。这个过程最多5到10分钟,过后攻击者停止声明受害者的prefix,只有在此时间段内才能发现异常。尽管这个CA离受害者相当远,但是证书是全球范围的,所以此举在世界各地都可行。

实现这样的攻击你需要的只有两个:

1,一个可控制的边界路由 2,你的BGP结点的信息 :它的客户,提供者,结点信息,公共服务类似Qrator Radar或者 BGP监听。花一个小时确认这些基本信息,ASpath 追踪路线,等等

0x04如何预防攻击

有很多的监控系统(BGPmon,Qrator Radar)会通知受害者prefix被劫持,但很重要的一点是这和CA没有什么关系。

RFC 7469 (http的公钥扩展)考虑到了这个问题以https声明,是个很好的概念,但是:

1、像BGPsec一样它目前只是概念, 2、这又是个替代方案,把问题关键点从CA转移到了客户

其他措施包括浏览器平台 (包括firefox的认证巡逻),要彻底解决这个问题,我们必须打破TLS PKI或者互联网的路由选择。但两者都难以有太大的改变,新的PKI概念例如基于DNS的实名认证同样给我们提供了解决的思路。

这无关软件中的漏洞,是概念的缺陷,互联网的路由选择不该基于信任,我们在越来越认识到它错误的同时,也要为安全的互联网寻找思路,而不是急着去利用它们。

(更多参考资料,请阅读原文

*本文由特约作者:月尽西楼投稿,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-08-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

新漏洞允许黑客访问处于睡眠模式的电脑

互联网安全公司F-Secure发现了一个新漏洞,几乎影响到每台电脑。新发现的漏洞可能允许黑客在电脑进入睡眠状态时访问加密的硬盘。F-Secure在博客文章中分享...

1143
来自专栏java一日一条

如何给你的女神修Mac电脑

话不多说,直接进入正题,如果你或者你的女神使用 Mac 遇到以下这些问题的话,你可以来看看怎么解决。

1112
来自专栏FreeBuf

安全从业人员常用工具指引

简介 一直以来嫌麻烦没注册freebuf,总是以游客的身份在看一些东西,今天特此注册了一下,首先要表扬一下freebuf,安全验证比较给力,其次感谢平台收集并整...

5747
来自专栏安恒信息

新的蠕虫病毒能感染Linux和PHP的x86架构计算机

据美国媒体报道,一个新的蠕虫病毒将目标指向那些运行了Linux和PHP的x86架构计算机,其变种还会对运行在其他芯片架构上的设备(诸如家用路由器...

3476
来自专栏魏艾斯博客www.vpsss.net

Siteground注册购买图文教程

Siteground是美国有名的主机商家,经过魏艾斯博客和朋友们几个月的使用,感觉Siteground在稳定性、速度、操作上比较的方便易用,所以写下本文把这个好...

4612
来自专栏FreeBuf

揭秘:安卓木马是如何盗取用户手机银行的

手机银行是一种非常便捷的方式让用户可以随时随地的完成交易。KPMG预测手机银行用户在2019年会增长到1.8亿。但是,随着手机银行涉及的金钱数额越来越大,攻击者...

4479
来自专栏信安之路

macOS 恶意软件分析过程

Hacker 取得了我们系统权限后通常会做那些事情?植入 shell、恶意软件、留持久化的后门。在当下的 APT 事件中,远控木马扮演着一个重要的角色,这些木马...

1150
来自专栏北京马哥教育

【重大事件】知名终端模拟软件XSHELL多版本存在后门,或上传用户服务器账号密码!

简介 ▼▼▼ Xshell是一款强大,著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIA...

3965
来自专栏信安之路

优秀的 WIFI 渗透工具汇总

今天给大家收集和整理了一些常用的 WiFi 渗透工具,工具对于我们这些人来说是最熟悉的东西之一了,选择一个好的工具会让你事半功倍。(工具顺序不分名次)

4961
来自专栏拂晓风起

杀人游戏 捉鬼游戏 发牌器(Android安卓手机,苹果手机,智能手机通用)

1345

扫码关注云+社区

领取腾讯云代金券