关注我们
QRcode 邮件联系 新浪微博
首页 > 网络安全 » 正文

BGP泄露和加密货币的那些事儿

     条点评
后台-系统设置-扩展变量-手机广告位-内容正文顶部

在过去的几个小时内,十几个新闻报道已经破坏了攻击者如何利用BGP漏洞来企图(也许是管理)窃取加密货币。

什么是BGP?

互联网由链路组成。比如我们的DNS域名解析1.1.1.1,我们告诉世界所有在1.1.1.0到1.1.1.255范围内的IP都可以通过任何Cloudflare PoP(point-of-presence,网络服务接入点)访问。

对于没有直接链接到我们路由器的人,他们通过中转提供商接收路由,他们将数据包发送到这些地址,因为它们连接到Cloudflare和其他Internet。

这是互联网正常运作的方式。

有些机构(地区互联网注册管理机构或RIRs)负责分配IP地址,以避免使用相同地址而导致冲突。他们有:IANA,RIPE,ARIN,LACNIC,APNIC和AFRINIC。

什么是BGP泄露?

BGP泄露的广义定义是由非空间持有者对外广播的IP空间。当中转服务提供商接收到Cloudflare的1.1.1.0/24广播并将其公布给互联网时,我们允许他们这样做。他们还使用只有Cloudflare可以提供给他的RIR(区域互联网地址注册机构)进行安全校验。

尽管检查所有广播公告可能会非常麻烦。尤其面对互联网上700000+的路由,以及线供应商之间流量交换的场景下。

从本质上讲,路由泄漏是本地化的。你本地化连接越多,接受泄漏路线的风险就越小。

为了被接收一个合法的路由,路由必须是:

较小的前缀(10.0.0.1/32 = 1 个IP与10.0.0.0/24 = 256 个IP)

比具有相同长度的前缀具有更好的metrics值(更短的路径)

BGP泄露的原因通常是由于配置错误:路由器突然广播它学到的IP。或者以更小的前缀在内部的流量项目用于突然被发布到外网了。

但也有可能是被人恶意利用发布的。前缀可以重新路由以便被动地分析数据。或者有人也可以建立一个中继服务来非法应答。这种情况以前也屡有实例。

25号发生了什么?

Cloudflare维护的一些收集来自全球数百台路由器BGP信息的服务器,在大概UTC时间11:05:00 到 UTC时间12:55:00之间,收到以下公告:

BGP4MP|04/24/18 11:05:42|A|205.251.199.0/24|10297

BGP4MP|04/24/18 11:05:42|A|205.251.197.0/24|10297

BGP4MP|04/24/18 11:05:42|A|205.251.195.0/24|10297

BGP4MP|04/24/18 11:05:42|A|205.251.193.0/24|10297

BGP4MP|04/24/18 11:05:42|A|205.251.192.0/24|10297

BGP4MP|04/24/1811:05:54|A|205.251.197.0/24|4826,6939,10297

这些是更具体的公告中提到的IP范围:

205.251.192.0/23 205.251.194.0/23 205.251.196.0/23 205.251.198.0/23

该IP空间分配给亚马逊(AS16509)。但是公告ASN显示却来自eNet公司(AS10297)并将其转交给Hurricane Electric(AS6939)。

这些IP用于亚马逊AWS 的Route53 DNS服务器。当你查询的是他的客户区域时,这些服务器将会应答。

在两个小时内,IP范围内的服务器泄露,只对“myetherwallet.com”的查询做出应答。有些人可能注意到SERVFAIL。

当查询任何由Route53解析的域名都会先去查询已经通过BGP泄漏接管的授权服务器。这个中毒的DNS解析器的路由器已经接受了这个路由。

这其中就包括Cloudflare DNS解析器1.1.1.1。我们在芝加哥,悉尼,墨尔本,珀斯,布里斯班,宿雾,曼谷,奥克兰,马斯喀特,吉布提和马尼拉都得服务都受到影响。其他地方的,1.1.1.1服务正常。

今天早上的BGP劫持事件影响了亚马逊DNS。俄亥俄州哥伦布市的eNet(AS10297)今天公布了从UTC 时间11:05到13:03的以下亚洲线路的更多细节:

205.251.192.0/24

205.251.193.0/24

205.251.195.0/24

205.251.197.0/24

205.251.199.0/24

InternetIntelligence(@InternetIntel)2018年4月24日

更正:今天早上的BGP劫持是针对AWS DNS而不是Google DNS。

InternetIntelligence(@InternetIntel)2018年4月24日

例如,以下查询将返回合法的Amazon IP:

$ dig + short myetherwallet.com @ 205.251.195.239

54.192.146.xx

但在劫持期间,它返回了与俄罗斯DNS供应商(AS48693和AS41995)相关的IP。你不需要接受被劫持的路由,只要你使用了已经中毒的DNS解析服务器就会中标。

如果你使用了HTTPS,假网站将显示由未知权威机构签名的TLS证书(证书中列出的域名是正确的,但是是自签名的)。如果你选择继续并接受错误的证书。那么你发送的所有内容都将被加密,但是解密内容的密钥却在攻击者手里。

如果你已经登录过,你浏览器会通过cookie发送登录信息。否则,如果你在登录页面上输入用户名和密码,就会发送用户名和密码,虽然内容是加密的,但是攻击者用手中的密钥就可以解密获得这些嘻嘻你。

一旦攻击者获得了登录信息(账号密码或者token),它就会在网站上合法使用它们转移和窃取以太坊。

过程图示

正常情况

BGP路由泄露后

受影响的地区

如前所述,AS10279宣布了这条路由。但是只有一些地区受到影响。HurricaneElectric在澳大利亚拥有强大的影响力,主要是因为上网比较便宜。芝加哥受到影响,因为AS10279的在直接的有一个物理点。

下图显示受影响区域和未受影响区域(Y轴做了归一化)的流量。流量大幅下降是因为授权服务器drop了所有的请求(它只响应一个网站而所有其他亚马逊域被忽略)。

eNet(CenturyLink,Cogent和NTT)使用的其他交易似乎并未接受此路线:一个原因可能是他们有过滤器,还有就是Amazon是他们的客户。

eNet提供IP服务,所以他们的一个客户可能已经宣布了它。

谁的锅?

由于参与者众多,大家都难究其责。涉及者:

宣布它并不拥有的子网的ISP。

中转提供商在转播之前未检查通告。

接受该路由的ISP。

DNS解析服务器和权限缺乏保护。

俄罗斯钓鱼网站提供商。

未执行合法TLS证书的网站。

即使提示TLS证书无效,还继续点击的用户。

就像区块链一样,网络更改通常是可见的和存档的。 RIPE维护了一个用于此用途的数据库。

如何避免此类事件发生?

这是一个难以回答的问题。有关于保护BGP的建议:

1、有些关键字可以添加到RIR数据库中,因此可以生成允许的来源列表:

$ whois -h whois.radb.net ' -M 205.251.192.0/21' |egrep '^route:|^origin:|source:' | paste - - - | sort

route:     205.251.192.0/23   origin:     AS16509    source:     RADB

route:     205.251.192.0/23   origin:     AS16509    source:     REACH

2、使用RIR建立RPKI/ROA记录作为与路径路径相关的真实来源,尽管不是每个人都创建这些记录或验证它们。 IP和BGP是几十年前创建的,关于完整性和真实性(较少路由)有着不同的要求。

可以在网络堆栈的上层完成一些操作。

3、关于DNS上,你可以使用DNSSEC作为你的记录签名。假冒的DNS返回的IP不会被签名,因为它们没有私钥。

如果你将Cloudflare用作DNS,则可以在面板中只需简单点击几个按钮来启用DNSSEC。

4、关HTTPS方面,你的浏览器将检查网站提供的TLS证书。如果启用了HSTS,浏览器将始终需要有效的证书。为域生成合法TLS证书的唯一方法是中毒证书颁发机构的非DNSSEC DNS解析器的缓存。

DANE提供了一种使用DNS将证书固定到域名的方法。

通过HTTPS的DNS还可以验证你是否正确地与正确的解析器通信,以防DNS泄漏发生在DNS截些服务器而不是DNS权限。

没有完美而独特的解决方案。这些保护措施越多,恶意行为者就越难执行这种攻击。

* 本文虫虫译自cloudflare官方博客,原作者Louis Poinsignon,转载注明来自FreeBuf.com

后台-系统设置-扩展变量-手机广告位-内容正文底部
本文标签:
APT团伙(APT
海莲花APT组织最新攻击样本分析
  APT团伙(APT APT团伙(APT  海莲花APT组织使用最新MacOS后门程序发动攻击 海莲花APT组织使用最新MacOS后门程序发动  Google Hacking:你的信息刺探利器 Google Hacking:你的信息刺探利器  无文件攻击实例:基于注册表的Poweliks病毒分析 无文件攻击实例:基于注册表的Poweliks病毒  海莲花APT团伙利用CVE 海莲花APT团伙利用CVE  DNS安全威胁及未来发展趋势的研究 DNS安全威胁及未来发展趋势的研究  马老师聊内网安全:浅谈软件供应链攻击与内网防御 马老师聊内网安全:浅谈软件供应链攻击与内  绕过学校宽带计费系统思路分享 绕过学校宽带计费系统思路分享

已有条评论,欢迎点评!