專家告訴你!如何避免黑客BGP劫持?

2021-08-21 15:20:33 字數 3094 閱讀 1363

bgp字首劫持是針對internet組織的持久威脅,原因是域間路由系統缺乏授權和身份驗證機制。

僅在2023年,數千起路由事件導致代價高昂的中斷和資訊攔截,而問題的確切程度未知。儘管在過去20年中已經進行了大量研究以保護網路免受bgp劫持(檢測,反應性緩解,主動防禦)的影響,但除了rpki之外,大多數提議的解決方案還沒有找到適合工業的方式。雖然它的部署仍然非常有限。因此,網路仍然容易受到劫持事件的影響,這些事件通常需要數小時(甚至數天)才能得到解決。

在這篇文章中,我們介紹了artemis(自動和實時detection和mitigation系統),這是乙個可以被運營商用來保護自己的網路免受bgp字首劫持事件的防禦系統。使用真實實驗,我們已經證明artemis可以在幾秒鐘內檢測到字首劫持事件並在一分鐘內中和它們;比目前的做法快幾個數量級。

關鍵點:

artemis是一種針對bgp字首劫持的防禦系統,包括監控,檢測和緩解服務,並在內部執行。它將劫持檢測和緩解時間從數小時/天減少到幾秒或幾分鐘。系統可配置為手動和自動緩解。

artemis概述

artemis基於as本身執行的全面,準確和快速檢測,可以靈活,快速地緩解劫持事件。它由as用於保護其自己的字首,並且作為在網路運營中心(noc)中的vm/容器上執行的軟體在內部執行。運營商只需要配置artemis,提供有關已宣布的網路字首及其鄰居的資訊(配置檔案;其生成可以使用來自irr,rpkidb和本地路由器的資訊自動生成)。

該系統由三個主要模組/服務組成:

監視,從公共監視器(例如,riperis和routeview)和本地路由器接收資訊。

檢測,通過將監視資訊與配置檔案(「基礎事實」)進行比較來識別劫持事件。

減緩,經由在內部自定義(或任選外包)機制,以所檢測到的事件劫持自動或手動反應。

圖1-artemis系統概述

artemis可以檢測到簡單的劫持(例如,涉及假源或受保護網路的上游as)和高階劫持(例如,子字首,中間人或路徑操縱攻擊)。圖2描繪了artemis如何在後一種情況下操作的示例(使用偽鏈結進行路徑操作)。

監控artemis通過利用普遍公開的bgp監控服務(例如riperis和routeviews(以及他們最近獲得的實時流功能))持續監控網際網路控制平面。

riperis使用socket.io介面進行監視

routeviews和riperis監視器,使用bgpstreamapi和本地bgp路由器通過exabgp和ibgp。

在我們的工作中,我們表明現有的公共監控基礎設施可以實現對所有有影響力的劫持事件的實時檢測。實際上,雖然劫持者可以採用多種手段實現隱身,即bgp監視器看不到劫持,但這只能以有限的影響(不到as級汙染的1-2%)為代價來實現。

將更多監視器轉換為實時流式傳輸將進一步提高全域性可見性並縮短檢測時間。

發現

檢測通過交叉檢查監控模組/服務接收的bgp更新,針對本地配置檔案(例如,源/鄰居asn和已公布的字首)和知識庫(包含例如觀察到的as級鏈路和相關元資料)由artemis自動建立並儲存在本地。

artemis檢測方法是:

全面的檢測控制平面上可見的所有可能的攻擊型別。準確,為基本劫持型別生成零誤報(fp)/否定(fn)(例如,虛假起源/上游公告,或任何型別的子字首劫持),以及非常低的可調fp-fn權衡其他(例如,路徑操縱攻擊)。具體而言,基於使用peering測試平台的實際實驗,我們已經證明實時監測和檢測的階段只需幾秒鐘,這與現有檢測系統有所不同(見圖3)。

圖3-artemis檢測延遲(箱線圖;y軸);字母(x軸)表示用作受害者和劫持者的不同pop

減輕利用可靠的檢測資訊,artemis可以自動緩解劫持事件。

檢測後可立即觸發緩解;如果需要,也可以手動緩解(例如,等待操作員批准)。此外,緩解可以是靈活的,例如,可根據字首,劫持型別,觀察到的影響等進行配置。

目前,artemis提供兩種主要的緩解方法。第一種方法基於「自己動手」的方法,網路通過字首解聚反應,以便將流量吸引回自己的路由器。此技術對所有未經過濾的字首都有效,特定於/24。

對於/24字首的攻擊,artemis可以啟用類似於當前提供的ddos保護即服務的緩解解決方案。特別是,受影響的as可以請求其他(協作)網路從其自己的場所(多個源as)宣布被劫持的字首,然後將它們吸引的流量隧道傳送回受害者(例如,通過受害者的上游提供商)。

正如我們在圖4中所示,基於我們的peering實驗,劫持的監測-檢測-緩解週期最多需要1分鐘。因此,脫離目前的人工干預方法,將重點放在網路本身,大大減少了防禦對策的反應時間。

圖4-peering試驗台的真實實驗;檢測和緩解週期

最先進的

網路運營商目前使用兩種主要的防禦型別處理bgp字首劫持:主動(如rpki)和被動(如第三方檢測服務),提出運營商需要手動驗證和解決的警報(例如,通過字首解除聚合)或聯絡其他網路進行過濾)。

一方面,rpki和bgpsec等技術只有在全域性部署時才能完全有效(並且仍然可能無法阻止所有潛在的攻擊);實際上,由於相關的技術和財務成本/風險,以及有限採用和部署之間的迴圈依賴性,運營商不願意部署它們(目前只有不到10%的字首由roa承保)(見圖5)。

​  圖5-不使用rpki的原因

另一方面,當前的第三方服務存在多個問題,例如:

全面性有限,因為它們只檢測到簡單的攻擊。

fp和fn方面的準確度有限。

延遲解決劫持問題。

妥協隱私和共享私人資訊的需要(例如網路的路由策略)。

因此,在這種制度下,字首劫持仍會影響網路的關鍵時間段,最長可達數天(見圖6),對受害者網路的成本和聲譽造成嚴重後果。

專家告訴你!如何避免黑客BGP劫持?

bgp字首劫持是針對internet組織的持久威脅,原因是域間路由系統缺乏授權和身份驗證機制。僅在2017年,數千起路由事件導致代價高昂的中斷和資訊攔截,而問題的確切程度未知。儘管在過去20年中已經進行了大量研究以保護網路免受bgp劫持 檢測,反應性緩解,主動防禦 的影響,但除了rpki之外,大多數...

10點告訴你做神秘顧客如何避免進店被識別

進店雖然是一定要從正門進入,不要太正規,盡量隨意一些,大方一些,比如,走路快一點,不要看銷售顧問人員,直接去車輛旁邊的意思,如果有2個人一起,盡量2個人有說有笑有溝通。一定要把自己當成是個客戶,真正想買車的客戶,根據自己的興趣和疑問和銷售顧問正常溝通就可以了,重要的是搞 哪個真正的客戶不想優惠呢,搞...

專家剖析黑客如何通過Google發動攻擊

1.利用google 搜尋論壇漏洞 動網論壇是常用的論壇程式,很多中小型企業都採用該程式作為自己的論壇。而也正因為其使用者廣泛,所以樹大招風,很多黑客都通過動網論壇程式的漏洞來實現對 伺服器的入侵。尋找動網論壇的方法之一,就是通過google 搜尋引擎來搜尋關鍵字 powered by dvbbs ...