a brief analysis of bgp hijacking
TRANSCRIPT
به نام خدا
دانشگاه صنعتی اصفهان
دانشکده مهندسی برق و کامپیوتر
در امنیت اطالعات BGPهای سرقت بررسی ریسک
ITگزارش پروژه درس اخالق حرفه ای در
9022973 - آرمان صفی خانی
درس:استاد
دکتر محمدحسین منشئی
1395بهار
فهرست مطالب
صفحه عنوان
1 .................................................................................................................................................. دهیچک
3 .......................................................................................................................... مقدمه اول صلف
BGP ................................................................................................... 5 پروتکل یمعرف دوم فصل
BGP ...................................................................................................................................................... 7 در ریمس انتخاب
7 ................................................................................................................................ یابیریمس یگذار استیس یها حداقل
BGP ............................................................................................................... 9 سرقت سوم فصل
BGP ..................................................................................................................................................... 10 سرقت روش
BGP ........................................................................................................................................................ 11 سرقت زیآنال
12 ............................................................................................................................................... کیتراف کردن رصد زیآنال
13 ............................................................................................................. کردن رصد و BGP سرقت از نمونه چند یبررس
15 ................................................................................................................................. نامهیگواه سرقت :یمورد ی مطالعه
BGP ............................................................................................... 17 سرقت با مقابله چهارم فصل
17 ..................................................................................................................................................... ریمس منشأ یساز منیا
19 ..................................................................................................................................................... ریمس غیتبل یساز منیا
20 ............................................................................................................. یریگ جهینت پنجم فصل
21 .................................................................................................................................................. منابع
چکیدهBGP1 با . تقریاست و نقشی اساسی در مسیریابی در اینترنت دارد 2مابین سیستم های خودمختار پروتوکل مسیریابی
حتی BGPنند؛ ر استفاده کهای اینترنت باید از این پروتکل برای یافتن مسیر بهینه بین یکدیگ3ی سرویس دهندههمهاهمیت BGPمی گویند. گستردگی استفاده از iBGP4های خودمختار نیز به کار گرفته می شود که به آن داخل سیستم
آن را دوچندان می کند؛ بنابرین اطمینان از اینکه اطالعات دقیقا به مقصد مورد نظر می رسند و از مسیر مورد نظر عبور ت، زیرا در صورت تغییر مسیر و یا مقصد، ممکن است اطالعات مورد سوء استفاده قرار گیرند.می کنند بسیار مهم اس
به شرایطی اطالق می شود که اطالعات به جای آنکه از مسیر درست و تعیین شده عبور کنند، از مسیر BGPسرقت ر بین آن قرار دارد عبور می کند.سوءاستفاده کننده دمعموال یک دیگری که
افتد. انگیزه های متفاوتیمکرر اتفاق میبه صورت امروزه در اینترنت BGPد محکمی وجود دارند که سرقت شواهدر 5اختالل در سرویس یا، رصد ترافیک و ممکن است وجود داشته باشد، مانند سرقت اطالعات BGPبرای سرقت
گزارش بر این است که چگونگی به چالش تالش این . در اینترنت( BGPسطوح بزرگ )به خاطر گستردگی استفاده از مقابله با این خطرات را را توضیح دهد، خطرات این ناامنی ها را بررسی کرده و در آخر راه های BGPکشیدن امنیت
بیان کند.
1 Border Gateway Protocol 2 Autonomous Systems (AS) 3 Internet Service Provider (ISP) 4 Internal Gateway Protocol 5 DoS (Denial-of-Service)
3
اولفصل
مقدمه
ند شبکه مختار متشکل از یک یا چای از سیستم های خودمختار تشکیل شده است، یک سیستم خوداینترنت، از مجموعه
و زیر نظر یک نهاد مدیریتی )مانند دانشگاه یا یک سازمان که تحت یک سیاست مسیریابی فعالیت می کننداست
تعیین 2لیکه توسط سازمانی بین المل 1ی منحصر به فردتجاری( مدیریت می شوند. به هر سیستم خودمختار، یک شناسه
( برای مسیریابی RIPو OSPF)مانند IGPهای خود مختار، از پروتکل های ود. سیستمتخصیص داده می ش، می گردد
نند.های خودمختار استفاده می کها به دیگر سیستمبرای مسیریابی بسته EGPهای کلد و پروتی خوها درون شبکهبسته
یا Border Gateway Protocolقرار می گیرد، EGP3های ی پروتکلرهرین پروتوکل استفاده شده که در زمت مهم
ها های خودمختاری که به آنهای دیگر سیستم، حاوی لیست مسیریابBGPاست. جدول مسیریابی BGPبه اختصار
ن مسیر ی دسترسی به آهایی که از طریق هر مسیریاب قابل دسترسی است و هزینههمچنین آدرس دسترسی دارد است،
ذخیره می شوند، بنابرین هر 4به صورت پیشوندیهای قابل دسترسی،آدرس د.ذخیره می شو BGPدر جدول مسیریابی
هایرسانی جدول روزبه کند.ها اعالم میرا به دیگر مسیریاب قابل دسترس خودهای رسای از آدمسیریاب، بازه
BGP (BGP-4 )ی ؛ در آخرین نسخهشوندشبکه ارسال میفقط در صورت تشخیص تغییر در BGPمسیریابی در
ات های ذکر شده، خصوصی. ویژگیهای دلخواه اضافه شده استبر اساس سیاستهای مسیریابی کان تغییر هزینهام
1 Autonomous System Number (ASN) 2 Internet Assigned Numbers Authority (IANA) 3 Exterior Gateway Protocol 4 Prefix
4
ی گستردهه استفادهبه ارمغان می آورند ک BGPپذیری و انعطاف پذیری را برای منحصر به فردی مانند کنترل باال، بسط
هاست.حاصل همین ویژگی BGP از
BGP. سرقت 2و نشت مسیر BGP1مواجه است، سرقت دو مشکل بزرگی گسترده، با ه رغم استفادهب BGPمتأسفانه
عی ی واقدارنده غیر ازکه توسط طرفی ها ای از آدرسبه یک آدرس یا محدودهمسیری "اینگونه تعریف شده است:
( صورت گرفته ASNودمختار )ی منحصر به فرد سیستم خی جعل شناسه؛ که ممکن است به وسیلهآن آدرس ختم شود
"را اعالم کرده باشد. نادرستباشد و یا یک سیستم خودمختار مسیر
ه به های نامربوط است کنشت مسیر، به وسیله ی اعالم کردن آدرس ": را نیز اینگونه تعریف می کنندنشت مسیر
"ی بیشتر از مسیر بهینه منجر می شود.های اشتباه و یا با هزینهمسیر
هستند، اما نشت مسیر غیرعمدی است و به خاطر بسیار شبیهدر ساختار و پیامدها BGPسرقت ند نشت مسیر وهرچ
گیرد.برای مقاصد مخرب و عمدی صورت می BGP، در حالیکه سرقت آیدوجود میهبعدم پیکربندی مناسب
1 BGP Hijacking 2 Route Leak
دومفصل
BGPمعرفی پروتکل
است. BGP، ردوبدل کردن اطالعات دسترسی در شبکه با دیگر سامانه های BGP ییک سامانه اصلی یوظیفه
های خودمختاری است که دسترسی )مسیر( از آنها می گذرد و به سیستم خودمختار این اطالعات در واقع لیست سیستم
ی کند، به نحوی که فرض می شود ارسال، تنها از ارسال بر مبنای مقصد پشتیبانی مBGPمقصد می رسد. مسیریابی در
هر بسته وجود دارد صورت می گیرد. بنابرین تعیین Headerکه در IPی تشخیص آدرس ها صرفا به وسیلهبسته
دیر سامانه ی یک مسیر توسط مهای مسیریابی، صرفاً بنابر آدرس مقصد هر بسته قابل انجام است، هرچند هزینهسیاست
BGP .قابل تغییر است
ند، به سه دسته های خودمختار و ترافیک شبکه رفتار می کهای خودمختار بسته بر اینکه چگونه با دیگر سیستمسیستم
تقسیم می شوند:
یک : سیستم خودمختاری که فقط با2یا مشتری 1سیستم خودمختار آخرAS دیگر ارتباط دارد، در
ردوبدل می کنند. های خودمختار، فقط ترافیک محلی راواقع این نوع سیستم
سیستم خودمختاری که با بیش از یک 4یا همتا 3ایسیستم خودمختار چندخانه :AS دیگر ارتباط
را از خود عبور نمی دهد.5ترانزیتیدارد، اما ترافیک
1 Stub AS 2 Customer 3 Multihomed AS 4 Peer 5 Transit traffic
6
سیستم خودمختاری که با بیش از یک :2ین کنندهیا تأم 1سیستم خودمختار ترانزیتیAS دیگر ارتباط
ی شده که هم ترافیک محلی و هم ترافیک ترانزیتی را عبور دهد.دارد و طوری طراح
ی آدرس به طوریکه برای اعالم یک محدودهگنجانده شده است، CIDR، پشتیبانی از BGPی در آخرین نسخه
IP از پیشوند آدرس استفاده می شود. هر آدرس ،IP بیتی تقسیم می 8قسمت 4بیت است که به 32( 4)نسخه ی
)/( ، تعداد نوشته می شود و سپس با یک خط مورب IP، ابتدا پیشوند آدرس CIDRاستاندارد نشانه گذاری شود. در
ه ب ی آدرس را مشخص می کنند.؛ تعداد بیت های کم ارزش، محدودهمی شوند نوشته می شود 3بیت هایی که پوشیده
(، IPآدرس 1024) 192.168.103.255تا 192.168.100.0عنوان مثال برای نمایش یک محدوده آدرس از
.بیت کم ارزش برای مشخص کردن محدوده( استفاده می شود 8) 22192.168.100.0/از نماد
BGP برای ردوبدل کردن اطالعات، از پروتکلTCP ی انتقال در شبکه استفاده می کند؛ با این روش به عنوان الیه
179 4رگاههای داده نیست. دأیید دریافت و شماره گذاری بستهدیگر نیازی به تکنیک هایی از قبیل ارسال دوباره، ت
ای جدول نیازی به بروزرسانی دوره BGPبرای این منظور در نظر گرفته شده است. به دلیل حجم باالی اطالعات،
مسیر 5یغبلت های همسایه ارسال می شود.مسیریابی ندارد، همچنین هنگام تغییر، فقط قسمت تغییر داده شده به مسیریاب
های خودمختار گیرد که حاوی مسیر کامل سیستمانجام می UPDATEهای خاصی به نام ی پیغامبه وسیله BGPدر
شده مسیر دریافت است؛ مسیریابی که قصد تبلیغ آدرس پیشوندی مقصدو ،AS-PATHی ، به عنوان مولفهگذرنده
ه اضاف آنا تغییر دهد و یا یک سیستم خودمختار دیگر به ر AS-PATHی ی را دارد، ممکن است بنابر نیاز، مولفهقبل
برای اعالم اینکه مسیر قبلی دیگر وجود ندارد، سه گزینه وجود دارد: BGPکند. در
ارسال شده، پیشوند آدرسی که دیگر قابل دسترسی نیست در فیلد مشخصی به نام UPDATEدر پیغام -1
WITHDRAWN ROUTES .قرار داده شود
زین، اما با همان پیشوند آدرس ارسال گردد.مسیری جایگ -2
ردوبدل BGPی قطع شود؛ که درواقع تمامی مسیرهایی که دو سامانه BGPبین دو سامانه TCPاتصال -3
کرده بودند پاک می شوند.
(، گنجانده می شود.ASN، شماره منحصر بفرد سیستم خودمختار )BGPهای در تمامی پیغام
1 Transit AS 2 Provider 3 Mask 4 Port 5 Advertise
7
BGPانتخاب مسیر در
، ارزیابی مسیرهای مختلف از مبدأ خود به یک آدرس پیشوندی؛ انتخاب BGPی های اصلی یک سامانهوظیفه ازیکی
ی ت. مسئلهود اسهای خایههای مسیریابی خود و سپس تبلیغ کردن آن به تمام همسبهترین مسیر، اعمال کردن سیاست
( فقط RIPه شوند؛ در پروتکل های بردار فاصله )مانند با یکدیگر مقایسنجاست که چگونه مسیرهای مختلف ای اصلی
روتکلی اما در پی دو مسیر خیلی راحت است. های سرراه، بنابرین مقایسهیک معیار سنجش وجود دارد: تعداد مسیریاب
دو سیستم خودمختار کاری دشوار ، توافق بر سر یک معیار سنجش واحد برای سنجیدن مسیرهای میانBGPمانند
کند.هایی متفاوت با سیستم خودمختار دیگر انتخاب میزیرا هر سیستم خودمختار، معیاراست،
های مختلف )به صورت پیشوندی( تهیه ای از تمامی مسیرهای ممکن به مقصد، جدول مسیریابیBGPی یک سامانه
اشد؛ هرچند وجود داشته ب رود که به ازای یک مقصد مشخص، فقط یک مسیر ممکنمی کند. در بیشتر مواقع، انتظار می
در غیر اینصورت، تمامی مسیرهای ممکن باید در نظر گرفته شوند و در زمانی که مسیر اصلی به مشکلی برخورد کرد
همیشه فقط مسیر لبته ایا از بین رفت، بازیابی مسیر از بین رفته با سرعت بیشتری انجام شده و مسیر جدید تبلیغ شود،
رآیند انتخاب مسیر شوند. فشود، مسیرهای جایگزین و کمکی تبلیغ نمیخودمختار تبلیغ میهای اصلی به دیگر سیستم
نام برد: از معیارهای زیرتوان به هر مسیر، سیاست گذاری کرد. به عنوان مثال می "ارجحیت"را می توان با اضافه کردن
معموال بهتر هستند.های خودمختار: مسیرهایی با تعداد سیستم خودمختار کمتر، تعداد سیستم
های دلخواه خود، مسیری را بر گذاری خاص: هر سیستم خودمختار ممکن است بنا به سیاستسیاست
ترجیح دهد.مسیر دیگر
در مسیر. خاص یو یا نداشتن سیستم خودمختار حضور داشتن
ن مقصد است، تر به هماای از مسیری طوالنیمسیری که خود زیرمجموعهی مسیر دیگر بودن: زیرمجموعه
ارجحیت بیشتری دارد.
های پایدار و قابل اطمینان، نسبت به مسیرهای ناپیدار ارجحیت بیشتری دارند. کیفیت اتصال: مسیر
هرچند این پارامتر باید بسیار با دقت انتخاب شود، چرا که تعیین مسیر بر اساس پارامترهای متغیر ممکن
دنبال داشته باشد.بهثباتی مسیریابی را شود و بیمسیر غیرضروری است باعث تغییر
حداقل های سیاست گذاری مسیریابی
های سیاست تواندر عوض می ،شوندنمیتعریف BGPکل یابی به صورت مستقیم در خود پروتهای مسیرسیاست
ی های مسیریابسعی در تعیین استاندارد برای سیاست BGP. هرچند دتعیین کر مورد نظر خود را )و حتی پیچیده( دلخواه
:[15]های زیر وجود داشته باشدپیشنهاد شده است که حداقل امکان اعمال سیاستا ندارد، ام
1- BGP های خودمختار همسایه را به سیستم خودمختار فعلی بدهد. باید کنترل اعالم مسیرها به سیستم
ی سیستم خودمختار تبلیغی پیشوند آدرس مسیر باشد و هم به وسیلهاین کنترل باید هم به وسیله
مختاری که مسیر به آن ختم می شود.ی مسیر و یا سیستم خودکننده
8
امکان انتخاب مسیر بهتر از میان مسیرهای ممکن )در صورتی که بیش از یک مسیر برای یک مقصد وجود -2
ی انتساب دادن ارجحیت به هر مسیر.دارد( به وسیله
3- BGP دد را داشته باشمی شو امل یک سیستم خودمختار خاصباید امکان نادیده گرفتن مسیری که ش.
است. BGPهای منحصر بفرد و کلیدی پروتکل گذاری برای انتخاب مسیر، یکی از ویژگیسیاست
9
فصل سوم
BGPسرقت
، همان سرقت آدرس BGPر اینترنت مشاهده شده است؛ درواقع سرقت د BGPتا به حال موارد زیادی از سرقت
آن قرار دارد. دسترسی به های اعالم شده از آن اوست و یا حداقل در مسیر کند آدرسعا میاست، چرا که سارق، اد
( و یا به صورت نامحسوس، DoSتواند ترافیک سرقت شده را از بین ببرد )به قصد حمالت سیستم خودمختار سارق، می
به BGPشده است که سرقت ، همچنین مشاهدهها ارجاع دهداطالعات را رصد کند و سپس به صاحب اصلی آدرس
تر مهم BGPی خطرات سرقت شاید رصد کردن ترافیک از همه. قصد ایجاد اطالعات هرز نیز به کار گرفته شده است
است به که ممکن میان این مسیر وجود دارد "سارق"باشد، چرا که اتصال بین مبدأ و مقصد از بین نمی رود، تنها یک
شودکه تشخیص آن کار آسانی نیست و حتی ممکن است برای مدت طوالنی بدون منجر 1"مرد میانی"ی یک حمله
به عنوان مثال، ترافیکی که قرار است از کشوری در .و رصد شود ترافیک به سرقت برودآنکه کسی متوجه شود،
یر پیدا حتی تغیشود )و می خاورمیانه به کشوری در اروپا برود، ابتدا به ایاالت متحده آمریکا رفته، در آنجا رصد
عمدی گردد. تنها تفاوت نشت مسیر با رصد کردن، در عمدی و غیرمیکند( و سپس به مقصد اصلی در اروپا ارسال می
ها و عدم رعایت اصول ایمنی است، اما برایدر پیکربندی مسیریاب "اشتباه"بودن این دو است، نشت مسیر به خاطر
های خودمختاری که در سلسه مطالعات نشان می دهد که سیستم میزند. رصد کردن، سارق دست به اقداماتی عمدی
( از ترافیک اینترنت %79تا %52مراتب مسیریابی، جایگاه باالتری نسبت به بقیه دارند، می توانند مقادیر قابل توجهی )
1 Man-In-The-Middle
10
جاع دهند و بنابرین توانند ترافیک را پس از سرقت، به مقصد ار، می11-های خودمختار الیهرا سرقت کنند، سیستم
[1]، قابل رصد شدن هستند.1-های خودمختار الیهتقریباً تمامی ترافیک اینترنت در سیستم
BGP [1]روش سرقت
ارسال با استفاده کنند، به عنوان مثال BGPهای خودمختار، می توانند از تبلیغ مسیرهای نادرست برای سرقت سیستم
های خودمختار را های خودمختار همسایه، دیگر سیستمجعلی به سیستم AS-PATHی با مولفه UPDATEی هاپیام
متقاعد می کنند که ترافیک مربوط به آدرس دزدیده شده را به خود ارجاع دهند.
است، به عنوان AS-PATHی ( در مولفهASNی سیستم خودمختار )ترین راه تبلیغ مسیر جعلی، قرار دادن شناسهساده
شوند چنین مسیری، به دلیل اینکه پیشتر مسیری برای پی است. البته با تبلیغ ASNهمان x، که AS-PATH=[x]مثال :
ه یک بهای خودمختار وجود داشته است، مسیری اضافی تولید می کند و سیستم خودمختار را آدرس در دیگر سیستم
ختار سیستم خودم از طریقآدرس مورد نظر، هم می کند، بدین معنی که پیشوندتبدیل "2سیستم خودمختار چند منشأ"
خودمختار اصلی قابل دسترسی است؛ که در واقع شانس سارق را برای دزدین ترافیک کم سیستم از طریقسارق و هم
ممکن ( هستند که CDN3وا )سیستم های تحویل محتهای خودمختار چند منشأ، های بارز سیستماز نمونه )یکیمی کند.
-ASسارق می تواند با تبلیغ مختلف، مسیر معتبر داشته باشند( ASچندین بهاست برای یک پیشوند آدرس،
PATH=[x, O] که ،O صاحب واقعی آدرس است، از اینکار جلوگیری کند.
ن است از دو ممک، برای پیشوند آدرسی که از قبل مسیر درستی برای آن وجود دارد لیعالوه بر تبلیغ کردن مسیر جع
روش زیر نیز برای سرقت ترافیک استفاده شود:
تری را نسبت به پیشوند آدرسی که سیستم خود سیستم خودمختار سارق می تواند پیشوند آدرس خاص
تواند دوباره ترافیک را به صاحب اصلی آدرس مختار اصلی اعالم می کند، تبلیغ کند؛ هر چند سارق نمی
ارجاع دهد و بنابرین، سرقت به قصد رصد امکان پذیر نیست.
تری را نسبت به پیشوند آدرسی که سیستم خود تواند پیشوند آدرس عامسیستم خودمختار سارق می
لی پذیرد که صاحب اصمختار اصلی اعالم می کند، تبلیغ کند؛ با این کار سرقت تنها در صورتی انجام می
آدرس، دست از تبلیغ مسیر خود بردارد و مسیر تبلیغی خود را باطل کند، باز هم سرقت به قصد رصد
امکان پذیر نیست.
1 Tier-1 2 Multiple Origin Autonomous System (MOSA) 3 Content Delivery Network
11
BGP [1]آنالیز سرقت
فاصله 1گره N-1، به تعداد Yاز Xد و قربانی باش، سیستم خودمختار Y، سیستم خودمختار سارق و Xفرض کنیم
، مسیر Yمی شود. در این قسمت، بررسی می کنیم آیا N، برابر با AS-PATHی بنابرین طول مولفهداشته باشد،
هم به ، هم به مسیر قبلی و Yرا به مسیر فعلی خود ترجیح می دهد یا خیر، واضح است که انتخاب Xی تبلیغ شده
هایی ررا به مسی "ن کنندهتأمی"و "متاه"، "مشتری"همچنین مسیرهای کند بستگی دارد.به آن اعالم می Xکه مسیری
سیستم "، "مشتریسیستم خودمختار "ی که از آن می گذرند، به ترتیب از نوع که سیستم خودمختار اطالق می کنیم
یر . چون هم مسیر جعلی و هم مسباشد "ن کنندهمیتأترانزیت یا سیستم خودمختار "و "یا همتا خودمختار چندخانه ای
هر کدام از این سه نوع مسیر باشد، مجموعاً نه حالت برای بررسی خواهیم داشت.قبلی، می تواند
برای اینکه این مسیر را قبول کند یا خیر، به سیاست Yمی رسد، تصمیم Yبه Xفرض کنیم مسیر تبلیغ شده توسط
ل دارند که رنت، تمایهای خودمختار در اینتاش بستگی دارد. مطالعات نشان داده است که اکثریت سیستممسیریابی
نه همه یی ارجحیت بیشتری برای مسیرهای مشتری بر مسیرهای همتا و مسیرهای تأمین کننده قائل شوند. مقایسه
حالت می پردازیم: ششی این گزارش خارج است، در اینجا فقط به بررسی حالت مسیر ها از حوصله
، مسیری از اگر مسیر جعلی ین کننده است./همتا/تأمتریمسیر فعلی یک مسیر مشتری است و مسیر جعلی ، مسیر مش
، مسیر فعلی را ترجیح می دهد و مسیر جعلی Yین کننده است، با توجه به فرض باال، سیستم خودمختار منوع همتا یا تأ
، چون ارجحیت مسیر فعلی با مسیر جعلی مساوی است، باشدرا نادیده می گیرد. اما اگر مسیر جعلی از نوع مشتری
طول مسیر مالک است، بنابرین اگر طول مسیر جعلی از طول مسیر فعلی کوتاه تر باشد، مسیر جعلی قبول می شود و
قابل پیش بینی Y، اما در صورتی که طول هر دو مسیر یکسان باشد، رفتار سرقت خواهد شد Xترافیک به سمت
نیست و ممکن است مسیر فعلی را برگزیند یا مسیرجعلی.
دریافت Yاگر مسیر جعلی که . ی یک مسیر همتا است و مسیر جعلی، مسیر مشتری/همتا/تأمین کننده استمسیر فعل
گیرد و بنابرین سرقت اتفاق نمی افتد. اگر مسیر جعلی، مسیر آن را نادیده می Yمی کند، مسیر تأمین کننده باشد،
Yآخر اگر مسیر جعلی مسیر همتا باشد، چون آن را می پذیرد و بنابرین سرقت شروع می شود و در Yمشتری باشد،
اگر طول ؛ همچنینتر باشد پذیرفته می شودآن کوتاهبه هر دوی مسیر ها ارجحیت یکسانی می دهد، مسیری که طول
1 دولجنتایج این مقایسه در در پذیرش یا رد مسیر جعلی، قابل پیش بینی نیست. Yو مسیر یکسان باشد، رفتار هر د
[1]قابل مشاهده است:
مسیر تأمین کننده سیر همتام مسیر مشتری طول مسیر فعلی فعلی نوع مسیر
n No No No > مشتری
= n Yes/No No No
1 Hop
12
> n Yes No No
همتا< n Yes No No
= n Yes Yes/No No
> n Yes Yes No
تأمین کننده< n Yes Yes No
= n Yes Yes Yes/No
> n Yes Yes Yes
1 جدول
[1]آنالیز رصد کردن ترافیک
لی مسیر اصر سارق می بایست ابتدا ترافیک را از (، سیستم خودمختاpبرای رصد کردن ترافیک یک پیشوند آدرس )
ارجاع دهد. اینکار را می توان با ارسال ترافیک از طریق pآن را به صاحب اصلی ، پس از رصد کردن،سرقت کند
فرآیند رصد 1 شکل برقرار بوده، انجام داد. pسارق و صاحب اصلی ASین مسیر قانونی و صحیحی که از قبل ب
توسط سیستم pارسال شده است( و سرقت آدرس Y ، مشتری سیستم خودمختارC2)که از کردن ترافیک
(، را p، صاحب اصلی آدرس C1لی ))سارق( و سپس ارجاع دادن ترافیک رصد شده، به مقصد اص Xخودمختار
، که یک مسیر قانونی و صحیح است، نباید تحت Wبه Xهرچند برای این منظور، مسیر کنونی [1]نشان می دهد.
بداند. C1را، مسیر pهمچنان مسیر صحیح به آدرس باید AS W تأثیر تبلیغ مسیر جعلی قرار بگیرد، بنابرین
13
( رفته و سپس به صاحب AS Wهمتای آن ) ASو سپس به AS Yبه C2قبل از رصد کردن )الف(، ترافیک از 1 شکلمی AS Xسرقت می شود و به C2بعد از رصد کردن )ب( ترافیک ارسالی از ، ارجاع داده می شود.p ،C1اصلی پیشوند
ارجاع می دهد. C1، ترافیک را به AS Wنونی خود با ترافیک را رصد می کند و سپس از طریق اتصال قبلی و قا AS Xرود،
آن تر و تشخیصشود، سرقت و سپس رصد کردن ترافیک، از سرقت تنها خطرناکبینی میهمانطور که پیش
واقع از بین می رود، تشخیص اینچنین ، ترافیک به مقصد نمی رسد و درتنها سرقت تر است، چرا که درسخت
در صورتی که ترافیک پس از رصد کردن به صاحب اصلی آدرس ارجاع داده شود، ای کار سختی نیست، اماحمله
مشکلی در ارتباط پیش نمی آید و همه چیز تقریباً عادی به نظر می رسد و تشخیص رصد کردن ترافیک را مشکل
می کند.
ترافیک و رصد کردن BGPبررسی چند نمونه از سرقت
های آدرسی که متعلق به خودش نبود را شتباهاً پیشوندا 7007، سیستم خودمختار 1997در سال
ی های همسایه ASهای تبلیغ شده در تر از پیشوندهای آدرس تبلیغ شده خاصتبلیغ کرد، پیشوند
AS 7007 بیتی(، بنابرین مسیر اشتباه به 24بود )پیشوندAS 7007 توسط دیگرAS ها پذیرفته شد
این نشت مسیر باعث قطع اینترنت تقریبا کل ایاالت متحده شد، اد کرد؛ ای برای ترافیک ایجچالهو سیاه
[9].ساعت 3بیشتر از برای دقیقه و بعضی 20های آن کشور برای بعضی از قسمت
14
2004در سال ،TTNet هزار تبلیغ مسیر 100در کشور ترکیه، بیش از ( 91121)سیستم خودمختار
های تبلیغ شده مربوط به . مسیرزیتی خود ارسال کردهای خودمختار تراننادرست را به تمام سیستم
های اینترنت بود. هرچند گفته می شود این حادثه عمدی نبوده، اما ی بسیار بزرگی از آدرسمحدوده
[7] های اینترنتی قطع کرد.دسترسی تعداد زیادی از کاربران اینترنت را به تعداد زیادی از سایت
2005در سال، Cognet پیشوندهایی را که متعلق به گوگل بود، به صورت )174ودمختار )سیستم خ ،
های خودمختار، این تبلیغ را پذیرفتند و باز هم آن را پخش درصد دیگر سیستم 49جعلی تبلیغ کرد؛
[10]دقیقه از دسترس تمام جهان خارج شد. 60تا 15ی این حادثه، گوگل به مدت کردند. در نتیجه
2006در سال ،Con-Ed کرد و "سرقت"، پیشوندهای مهم اینترنت را )27506)سیستم خودمختار
[8]ها شد. از دسترس خارج شدن بسیاری از صاحبان پیشوندباعث
2008در سال ،Pakistan Telecom ( در تالشی برای مسدود کردن 17557)سیستم خود مختار
Youtube رس خارج کرد. سیستم خودمختار ستساعت از د 2، این وب سایت را به صورت جهانی برای
، که در هنگ کنگ مستقر است، مسیر جعلی تبلیغ شده توسط Pakistan Telecomی تأمین کننده
Pakistan Telecom را اشتباهاً به دیگرAS ها ارسال می کند و بنابرین وب سایتYoutube به
[4] ساعت از دسترس خارج می شود. 2صورت جهانی و برای
( برزیلی )16735، سیستم خودمختار )2008در سالCompanhia de Telecomunicacoes do
Brasil Central های اینترنت را تبلیغ کرد اما توسط دقیقه، پیشوندهای بسیار زیادی از آدرس 5( برای
یک سرور پایش مسیر شناسایی شد و گسترش تبلیغ مسیرهای جعلی متوقف شد، تأثیر این حادثه
[5]شرکت برزیلی را تحت تأثیر قرار داد.ی محلی د و فقط شبکهبسیار اندک بو
2010در سال ،China Telecom هزار پیشوند آدرس را به 50(، بیش از 23724)سیستم خودمختار
دقیقه، 15های اینترنت است(. برای از کل آدرس %15صورت جعلی تبلیغ کرد )این مقدار، حدود
های سرقت شده مربوط به دولت شود تعداد زیادی از آدرسگفته میترافیک بسیار زیادی سرقت شد.
[6] ایاالت متحده بوده است.
2014در سال ، Sprint که یک شرکت معتبر مخابراتی )تلفن همراه( در ایاالت متحده است، ترافیک ،
همتای های خودمختارسیستم%65در کشور مقدونیه را به سرقت برد. نزدیک به Telesmartمتعلق به
Sprint تبلیغ جعلی را پذیرفتند و ترافیک را به جای ارسال به ،Telesmart به ،Sprint .ارجاع دادند
که این استی جالب توجه در این سرقت نکتهساعت به طول انجامید. 26این سرقت برای بیش از
Sprint ترافیک را دوباره بهTelesmart و یا حداقل 1انیی مرد میگرداند، بنابرین احتمال حملهباز می
[18]رصد اطالعات در این حادثه زیاد است.
های فوریه تا می، ترافیک چندین شرکت بزرگ از جمله آمازون، و از ماه 2014در سالDigital
Ocean وOHV توسط هویتی ناشناس به سرقت رفت. بخش امنیتی شرکتDell ،SecureWorks ،
1 Man-in-the-middle attack
15
هدف سارق، سرقت مختلف را ثبت کرد.1یسرویس دهنده 19از ی آسیب دیده شبکه 51در مجموع
[19]هزار دالر را به سرقت ببرد. 83، بوده و در مجموع توانسته بود 2کوینواحد پول دیجیتال، بیت
2015در سال ،Telecom Malaysia هزار پیشوند آدرس که 179(، 4788)سیستم خودمختار
های ندی آن، پیشوختار ترانزیتی خود تبلیغ کرد که در نتیجهمتعلق به خودش نبود را به سیستم خودم
دقیقه، ترافیک سرقت شده )شامل بخش 3تا 2نیز تبلیغ شدند. پس از های دیگر جعلی به مشتری
قادر به Telecom Malaysiaسرازیر شد. Telecom Malaysia( به Facebookزیادی از ترافیک
های ابرین باعث کندی سرعت اینترنت و از دست دادن بستهتحمل این حجم از ترافیک نبود و بن
[3]ساعت شد. 2اطالعات برای
ی این که تمامها معرفی شود. هرچند ترین سرقتها بسیار زیاد است، در اینجا سعی شد مهمی این گونه سرقتنمونه
گیرند.می های مخرب انجامها با انگیزهعمدی نیستند، اما تعداد زیادی از سرقت هاحادثه
[2]مطالعه ی موردی: سرقت گواهینامه
ی ( از یک صادرکنندهgoogle.comای خاص )مانند 3برای دامنه X.509ی ی یک گواهینامهفرآیند تهیه
، عموماً به شرح زیر است:4گواهینامه
شود.ی گواهینامه ایجاد میسایت صادرکنندهحساب کاربری در وب -1
( ایجاد شده و بارگذاری می شود.CSR5درخواست امضای گواهینامه ) -2
های متفاوتی را برای تأیید هویت صاحب دامنه در اختیار متقاضی می گذارد:صادرکننده راه -3
متقاضی مشخصاتWHOIS .درخواست اطالعات صاحب دامنه( را تغییر دهد(
ی خود قرار دهد.ی وب خاص را در آدرس خاصی از دامنهمتقاضی یک صفحه
اطالعات متقاضی درDNS یک رکورد ی خود،دامنهDNS TXT .اضافه کند
ی گواهینامه را می پردازد و صادرکننده، پس از آنکه هویت صاحب دامنه تأیید شد، متقاضی هزینه -4
توان گواهینامه را برای او ارسال می کند؛ این گواهینامه برای چند ماه یا چند سال معتبر است و می
یت متقاضی به کار رود.سابرای تأیید هویت وب
، ارتباط صادرکننده را با قربانی قطع BGPکنیم، می توانیم با سرقت انتخابخوبی ی گواهینامه را به اگر صادرکننده
را دراختیار WHOISسایتی که سرویس تواند وبکرده و خود را جای قربانی معرفی کنیم؛ در اینجا قربانی می
ی دامنه)که برای تأیید هویت صاحب دامنه به آن مراجعه می شرکت ثبت کننده صادرکننده قرار می دهد باشد یا
1 Internet Service Provider (ISP) 2 Bitcoin 3 Domain 4 Certificate Authority (CA) 5 Certificate Sign Request
16
ه به سرور خود، می توان اطالعات صحیح را به صادرکنند آنسرقت ترافیک تبلیغ پیشوند آدرس قربانی و شود(. با
ر )و ی بین المللی و معتباتوان گواهینامهارسال کرد و بنابرین هویت صاحب دامنه را تأیید نمود. در این صورت، می
10تا 5تمام این روند را می توان در حدود ای که متعلق به شخص دیگری است، ایجاد نمود.البته جعلی( برای دامنه
دقیقا فرصت دارد این 10تا 5دقیقه انجام داد و پس از آن، تبلیغ مسیر جعلی را متوقف نمود، بنابرین قربانی فقط
استفاده کرد. "مرد میانی"توان برای حمالت ی جعلی می. از گواهینامهسرقت را شناسایی کند
17
چهارمفصل
BGPمقابله با سرقت
های صورت گرفته برای مقابله با تالش معرفی آشنا شدیم. در این فصل به BGPهای پذیریدر سه فصل پیش با آسیب
ها می پردازیم.پذیریاین آسیب
نشأ مسیرایمن سازی م
های دریافتی و درواقع اصالت سیستم خودمختار بررسی دارد این است که نه اصالت پیام BGPمشکل بزرگی که
از چندین محقق متشکل گروهی SIDR1 ی سیستم خودمختار برای تبلیغ یک پیشوند آدرس خاص.می شود و نه اجازه
دارند. دو آسیب BGPهای پروتکل ب پذیریفعالیت می کنند و سعی در کاهش آسی IETF2است که زیر نظر
اند از:روه در تالش است برطرف کند عبارتای که این گپذیری
ی ادعای مالکیت یک پیشوند آدرس را دارد؟آیا سیستم خودمختار اجازه
ی آیا مولفهAS-PATH که در مسیر تعریف شده است با مسیر واقعی تطابق دارد؟
این است. "3ی منابعگواهینامه"، از طریق به کارگیری BGPعتماد در مسیریابی برای بدست آوردن ا SIDRروش
های بهبود داده شده اند و همچنین حاوی فیلد PKIXطبق استاندارد هستند که X.509های ها، گواهینامهگواهینامه
و شماره IPv6های رس، آدIPv4های ها ذخیره می شوند )مانند آدرسدر آن IPاضافی هستند که لیستی از منابع
از "حق استفاده"نامه، گواهیی کنند که دارندهها، تضمین می(. این گواهینامهASNمنحصر بفرد سیستم خودمختار یا
1 Secure Inter-Domain Routing (SIDR) 2 Internet Engineering Task Force 3 Resource Certificate
18
سلسه ، از ساختار X.509های معمولی های منابع نیز مانند گواهینامهدرج شده در گواهینامه را دارد. گواهینامه IPمنابع
ی ی مورد اعتماد همهبه طوریکه ریشه( استفاده می کنند؛ RPKIاخت کلید عمومی خود )مراتبی برای زیرس
.است IANA1ها، سازمان بین المللی صادرکننده
صادرکننده ( مشخص استفاده می کنند.EE) End Entityیی با ها، از گواهینامهRPKI گواهینامه در گانصادرکنند
کاربری، اعتبار شخص )حقیقی( که برایش گواهینامه صادر کرده را -تک EEهای ینامهمی تواند با استفاده از گواه
و مدت زمان اعتبار صادر می با مشخص کردن منابع EEی برای منابع تخصیص داده شده، یک گواهینامه باطل کند.
.(2افه کردن گواهینامه به لیست لغو گواهینامهپیش از موعد ابطال کرد )با اض توانمیرا هاگواهینامهشود. همچنین
دهد که میکه به سیستم خودمختار این اختیار را ایجاد می شود، ROA3برای ایمن کردن منشأ مسیر، مجوزی به نام
، یک سند دیجیتالی امضا شده است که حاوی ROAثبت شده، تبلیغ کند. ROAمسیری با منشأ پیشوند آدرسی که در
سیستم خودمختار EEی همچنین گواهینامه ی منحصر به فرد سیستم خودمختار است.وند آدرس ها و شمارهلیست پیش
شود.برای امکان تأیید اعتبار اضافه می ROAنیز به
نامعتبر ROAمستقیماً منوط به شناسایی همگام سازی شود، شناسایی مسیر جعلی ROAوقتی تمامی سیستم مسیریابی با
ROAفقط بخشی از سیستم مسیریابی با تر، که. هرچند در سناریویی محتملدر آن مسیر است ROA یا عدم وجود
ی مسیر جعلی باشد؛ که به سه حالت برای اعتبارسنجی مسیر نمی تواند مشخص کننده ROAهمگام است، عدم وجود
منجر خواهد شد:
است. "معتبر"معتبر بود، بنابرین مسیر آن EEی خود کامال تطابق داشت و گواهینامه ROAاگر مسیر با -1
( متفاوت است و ASی منحصر بفرد )شماره ASNتطابق دارد اما ROAوقتی آدرس پیشوندی مسیر با -2
ROA دانست. "نامعتبر"توان معتبر دیگری نیست که اعتبار سیستم خودمختار را تأیید کند، مسیر را می
دیگری نیست که با آن ROAتر است و است، خاص هثبت شد ROAوقتی پیشوند آدرس از آنچه در -3
دانست. "نامعتبر"توان پیشوند تطابق داشته باشد، مسیر را می
BGPسازی آن جدا از و پیاده دوجود ندار BGPدر این است که نیازی به تغییر در پروتکل ROAمزیت استفاده از
صورت می گیرد.
1 Internet Assigned Numbers Authority 2 Certificate Revocation List 3 Route Origination Authorizaiton
19
ایمن سازی تبلیغ مسیر
، به در مسیر واقعی باشد ASر تبلیغ شده، دقیقا همان منشأ در مسی ASایمن سازی منشأ مسیر، اطمینانی از این بابت که
معتبر ارسال شده ASرا طوری دستکاری کند که گویی از تواند مسیر، میBGPیک مسیریاب مخربدهد. دست نمی
تواند جلوی های نادرست خیلی کاربردی است، اما درعمل نمیاست؛ هرچند ایمن سازی منشأ مسیر برای تشخیص تبلیغ
رد.انتشار مسیر جعلی را بگی
ی های همسایهASبرای مسیر دریافتی را به UPDATE، هر سیستم خودمختار که پیغام BGPدر عملکرد پروتکل
مخرب، می BGPیک مسیریاب پیغام اضافه کند. AS-PATHخود را به ASNکند، موظف است خود ارسال می
همسایه جلوگیری کند و یا بالعکس، ، از قبول شدن مسیری خاص در سیستم خودمختارAS-PATHتواند با تغییر در
مین اصالت حلی برای تضاحتمال قبول شدن مسیر خاصی را در سیستم خودمختار همسایه، باال ببرد. بنابرین باید راه
AS-PATH های ی تالشوجود داشته باشد، چیزی که در نتیجهSIDR به آن ،BGPSec گویند. میBGPSec هم
"1ابی مسیریگواهینامه"کند که اطالعاتی اضافی به آن اضافه شده است و به آن استفاده می RPKI زیرساختاز
ی یک توان نمایندهرا امضا کنند و هر امضا را می UPDATEهای پیغام توانند مولفهها، میشود. این گواهینامهگفته می
ASN .دانست
را قبل از ارسال دارند، در این UPDATEهای ، قابلیت امضا کردن پیامBGPهای ، مسیریابBGPSecدر چارچوب
سیستم خودمختاری که پیام به آن ASNی خود، شماره ASNی حالت، امضای اضافه شده، امضای قبلی پیام، شماره
کلید عمومی و امضای Hashی مسیریاب را شامل می شود. کلید عمومی گواهینامه Hashشود و همچنین ارسال می
، ASهای مختلف، هر ASاز UPDATEبا گذر پیام شوند.اضافه می UPDATEبه پیام یدیجد پیام، به عنوان فیلد
Hash زنجیره از امضاها وخود را به پیام اضافه می کند. این یکلید عمومی و امضاHash های کلید عمومی، هرAS
ی کند.، بررسASسازد تا صحت اعتبار مسیر را با چک کردن امضا و کلید عمومی هر را قادر می
نویس است، حتی در صورت تصویب و فقط درحد پیشهنوز به صورت یک استاندارد درنیامده BGPSecمتأسفانه
سازی پیاده به صورت انبوه BGPSecهای کنونی تغییر یابند و برد تا زیرساختبه صورت استاندارد، سالها زمان می
اهکار مناسبی برای یافتن سریع حمالت به و تغییر در مسیرها، ر BGP 2. در حال حاضر استفاده از ابزارهای پایششود
شود.و یا رصد کردن اطالعات تلقی می BGPقصد سرقت
1 Router Certificate 2 Monitoring
20
فصل پنجم
نتیجه گیری
BGPی برطرف کردن آنها است. های امنیتی آن و نحوه، آسیب پذیریBGPاین گزارش در مورد معرفی
یجاد ادر آن، مشکالت بسیار بزرگی را در مقیاس جهانی اساس مسیریابی در اینترنت است و کوچکترین مشکلی
سرقت . ، نشت مسیر و رصد اطالعات چگونه اتفاق می افتد BGPدر این گزارش نشان دادیم که سرقت . کندمی
BGP های زیادی از شویم نمونههم، بدون آنکه متوجه تی امروزهداشته و ح نیطوال ایو رصد اطالعات سابقه
صورت گرفته است، اما به BGPسازی هایی برای ایمنطالعات در حال رخ دادن است. تالشسرقت و رصد ا
ها زمان نیاز دارد.ها به سالاین تالش نشستن، به ثمر BGPی العادهدلیل گستردگی فوق
21
منابع
[1] Ballani, Hitesh, Paul Francis, and Xinyang Zhang. "A study of prefix hijacking and
interception in the Internet." ACM SIGCOMM Computer Communication Review.
Vol. 37. No. 4. ACM, 2007.
[2] Gavrichenkov, A. "Breaking HTTPS with BGP Hijacking." Black Hat.
Briefings (2015).
[3] Renesys Blog, Global Collateral Damage of TMnet leak,
http://research.dyn.com/2015/06/global-collateral-damage-of-tmnet-leak/, Dyn
Research, Renesys (2015)
[4] Renesys Blog, Pakistan Hijacks Youtube, http://research.dyn.com/2008/02/pakistan-
hijacks-youtube-1/, Dyn Research, Renesys (2008)
[5] Renesys Blog, Brazil Leak, http://research.dyn.com/2008/11/brazil-leak-if-a-tree-
falls-in/, Dyn Research, Renesys (2008)
[6] Renesys Blog, China's 18 Minutes Mytery, http://research.dyn.com/2010/11/chinas-
18-minute-mystery/, Dyn Research, Renesys (2010)
[7] Renesys Blog, Internet-Wide Catastrophe,
http://research.dyn.com/2005/12/internetwide-nearcatastrophela, Dyn Research,
Renesys (2005)
[8] Renesys Blog, Con-Ed Steals the 'Net', http://research.dyn.com/2006/01/coned-
steals-the-net, Dyn Research, Renesys (2006)
[9] Bono, Vincent J. "7007 explanation and apology.",
http://seclists.org/nanog/1997/Apr/444 (1997).
[10] Wan, Tao, and Paul C. Van Oorschot. "Analysis of BGP prefix origins during
Google's May 2005 outage." Parallel and Distributed Processing Symposium, 2006.
IPDPS 2006. 20th International. IEEE, 2006.
[11] Dickson, Brian. "Route Leaks--Definitions.", https://tools.ietf.org/html/draft-
dickson-sidr-route-leak-def-03 (2012).
[12] Hares, S., and Y. Rekhter. T. Li. A Border Gateway Protocol 4 (BGP-4). RFC 4271,
22
2006.
[13] Chandra, R., P. Traina, and T. Li. BGP communities attribute. RFC 1997, August,
1996.
[14] Lynn, Charlie, Stephen Kent, and Karen Seo. X. 509 extensions for IP Addresses
and AS identifiers. No. RFC 3779. 2004.
[15] Rekhter, Y., and P. Gross. "RFC 1772: Application of the Border Gateway Protocol
in the Internet, March 1995." Status: DRAFT STANDARD.
[16] Zach Julian, “An Overview of BGP Hijacking”,
“http://www.bishopfox.com/blog/2015/08/an-overview-of-bgp-hijacking”, (2015).
[17] Andy Greenberg, “Hacker Redirects Traffic From 19 Internet Providers to Steal
Bitcoins ”, “https://www.wired.com/2014/08/isp-bitcoin-theft”, (2014).
[17] Fuller, Vince, et al. "Classless inter-domain routing (CIDR): an address assignment
and aggregation strategy." (1993): 24.
[18] Renesys Blog, Sprint, Windstream: latest ISPS to hijack foreign networks,
http://research.dyn.com/2014/09/latest-isps-to-hijack/, Dyn Research, Renesys
(2014)
[19] Pat Litke and Joe Stewart, Dell SecureWorks Counter Threat Unit, "BGP Hijacking
for Cryptocurrency Profit", "https://www.secureworks.com/research/bgp-hijacking-
for-cryptocurrency-profit", 2014