Por que não vemos mais ataques de roteamento?

6

Então, quem se lembra de todo o desastre do "Paquistão mata o YouTube" de fevereiro do ano passado? Aqui está um artigo sobre o tema para refrescar sua memória:

Roteamento inseguro redireciona o YouTube para o Paquistão

A essência da história é que o Paquistão pretendia bloquear o YouTube para sua rede nacional. Eles tentaram fazer isso publicitando informações de roteamento com uma prioridade mais alta que as próprias informações do YouTube e mapearam os endereços IP do YouTube em suas redes. Este anúncio de rota propagou-se pela Internet, fazendo com que todos os servidores do mundo pensassem que a forma de chegar ao YouTube era através do Paquistão.

Minha pergunta é: se algo assim pode acontecer acidentalmente por incompetência, uma parte maliciosa poderia fazer isso deliberadamente? Quais são as salvaguardas para evitar um ataque como esse? Se o Paquistão pode fazer isso no YouTube por acidente, por que o Irã não pode fazer isso para o Twitter de propósito?

    
por The Digital Gabeg 23.07.2009 / 23:31

4 respostas

3

Atualmente, não há muito o que impedir anúncios publicitários, além de tentar ser responsável e filtrar seus anúncios de BGP para seus upstreams, e esperar que eles façam o mesmo.

A tabela de roteamento da Internet é tão grande (~ 290.000 rotas neste exato momento), que geralmente é difícil criar filtros para bloquear todas as rotas (ou: o dispositivo não é capaz de ter uma lista de acesso com uma grande número de rotas, ou se acontecer, seu desempenho seria degradado significativamente devido ao uso da CPU que você retornaria para nenhuma filtragem).

Embora alguns ISPs realizem filtragem do que recebem dos clientes (e outros podem exigir que os clientes registrem suas rotas no RADB, um registro de roteamento global), isso funciona perfeitamente para você e para mim com, digamos, de 1 a 25 rotas. Nos casos de grandes clientes (empresas de cabo, ISPs estatais, etc.) torna-se um pouco difícil construir e manter uma lista de acesso para essas pessoas que transportarão 500, 600 e às vezes até 2.000 rotas, então você não escolhe para filtrar e se torna uma questão de confiança e suposições:

"Você tem uma rede grande o suficiente, então você deve ter feito algo certo no passado, e todos nós aprendemos com o desastre do AS7007 / SprintLink, certo? Então, por favor, não me envie rotas ruins."

História prolixa e humorística à parte, trata-se de Internet comercial em sua adolescência, onde as pessoas têm agendas diferentes, então sem mais avanços em cavalos de controle de fabricantes de equipamentos de rede, não há muito o que fazer no momento sem confronto segurança-desempenho em conta:

  • Lidar com o seqüestro de rota do YouTube se e quando acontecer por um inconveniente momentâneo? Ou penalizar o desempenho de todos os seus clientes para garantir que o gato do teclado continue tocando?
por 24.07.2009 / 01:08
4

Embora uma parte mal-intencionada possa fazer isso, eles precisam ter uma sessão BGP em funcionamento que esteja passando rotas não filtradas para um provedor principal. Dito isto, Renesys diz que uma certa quantidade (pequena) de atividade similar ocorre (veja aqui ) seja malicioso ou acidental.

O motivo pelo qual o Irã não pode fazer isso para o Twitter de propósito é essencialmente que os provedores de Internet que examinam o BGP quase certamente filtram as rotas do Irã, especialmente para ASs que são politicamente sensíveis. Dito isso, o Irã poderia facilmente bloquear o Twitter internamente assim.

    
por 23.07.2009 / 23:38
2

Nós não vemos se muito frequentemente porque em 97 aconteceu nos EUA, mas apenas muito pior. Aqui está a história que você precisa saber um pouco sobre como o BGP funciona para realmente entender o que aconteceu.

link

Como engenheiro de rede em 1999-1901, configurei várias sessões de peering do BGP. Para fazer isso, você, como a rede menor, fez uma série de perguntas:

  1. Qual é o seu espaço IP?
  2. Você precisa anunciar / 24s para o seu espaço? Em caso afirmativo, quais?
  3. Você registrou este IP com o radb?
  4. Qual é o seu ASN?
  5. Você tem outros ASNs?
  6. São todos aqueles cadastrados no radb? e assim por diante.

Estes foram usados para filtrar as rotas que anunciei para as minhas upstreams. Eu também filtraria IPs marcianos, IPs não atribuídos, qualquer rota com bits mais significativos que / 24 e alguns outros itens de segurança. Isso fica mais difícil de ser feito no nível NSP, onde você realmente está olhando em vez de multihoming e obtendo feeds BGP completos de nossas upstreams como nós.

Este é um bom recurso para criar um modelo BGP da Cisco com alguns dos filtros básicos que todos os usuários do BGP devem ter. link

    
por 24.07.2009 / 00:38
1

+1 para Cian. Mas apenas para adicionar o tópico da filtragem.

Todos os provedores responsáveis devem colocar filtros de interferência em suas sessões de peering para garantir que eles recebam e redistribuam os annoucements de rota dentro de um determinado intervalo (tamanho do prefixo) para cada ponto.

Este é o mais do caminho para evitar que tais erros e mal-intencionados se propaguem.

    
por 24.07.2009 / 00:23

Tags