Voinko havaita BGP-kaappauksen kotiverkostani?

Ei suoraan. Kaappaus tapahtuu vastavirtaan; liikenne kulkee väärään kohteeseen, mutta huomaat vain, jos kohde käyttäytyy väärin (varmennevaroitukset, tuntemattomat palvelut). HTTPS tekee useimmat kaappaukset näkyväksi TLS-virheiden kautta; puhtaita IP-palveluita on vaikea havaita.

Estääkö RPKI kaikki BGP-kaappaukset?

Se estää alkuperäkaappaukset (väärä AS, joka on peräisin etuliitteestä). Se ei estä polun huijaushyökkäyksiä, joissa AS-polku on väärennetty. RPKI on käytännöllinen puolustus yleisimmälle hyökkäystyypille; BGPsec sulkee loput, mutta sitä ei oteta käyttöön.

Kuinka usein BGP-kaappausta tapahtuu?

Pieniä tapauksia tapahtuu päivittäin – useimmat ovat pikemminkin virheellisiä määrityksiä kuin hyökkäyksiä. Merkittävään liikenteeseen vaikuttavat suuronnettomuudet ovat harvinaisempia (kourallinen vuodessa). Havaintokyky on parantunut, joten vuonna 2010 huomaamatta jääneet tapahtumat julkistetaan vuonna 2024.

Voiko pieni Internet-palveluntarjoaja aiheuttaa maailmanlaajuisen katkon?

Kyllä, väärällä suodatuksella alkupään palveluntarjoajilla. Useimmat suuret lentoyhtiöt suodattavat nyt asiakkaiden ilmoitukset odotettujen reittien perusteella; väärin määritetty ylävirtaan, joka ei suodata, voi antaa pienten Internet-palveluntarjoajien virheiden levitä maailmanlaajuisesti. Paremmat suodatuskäytännöt ovat vähentäneet tätä riskiä, mutta eivät poistaneet sitä.

Katkeavatko kvanttitietokoneet BGP-allekirjoituksen?

RPKI käyttää RSA-allekirjoituksia, jotka ovat periaatteessa kvanttihaavoittuvia. Siirtyminen jälkeisiin kvanttiallekirjoituksiin on tulevaisuuden huolenaihe, mutta ei kiireellinen – riittävän suuria kvanttitietokoneita rikkomaan RPKI-avaimia ei ole vielä olemassa. RPKI:n käyttöönottoaikajana antaa runsaasti tilaa siirtymiselle, ennen kuin siitä tulee kiireellistä.

BGP-kaappauksen selitys: Kun Internetin reititys valehtelee

BGP-kaappaus on sitä, kun yksi verkko ilmoittaa virheellisesti omistavansa IP-osoitteet, joita se ei hallitse. Internetin reititysprotokolla uskoo niitä, liikenne virtaa väärään kohteeseen, ja seuraukset vaihtelevat vahingossa tapahtuneista katkoksista tahalliseen valvontaan. Korjaus - RPKI - on edennyt, mutta se ei ole valmis. Luokka on edelleen huipputason infrastruktuuriuhka.

Artikkelin koko runko on englanniksi alla.

BGP-kaappaus on hyökkäys (tai onnettomuus), jossa autonominen järjestelmä ilmoittaa omistavansa IP-etuliitteet, jotka eivät kuulu sille. BGP-reitittimet maailmanlaajuisesti hyväksyvät ilmoituksen (koska perinteisellä BGP:llä ei ole todennusta) ja alkavat reitittää näiden etuliitteiden liikennettä kaappaajalle. Vahinko voi sisältää palvelukatkoksia, liikenteen katkaisuja ja valtuustietojen varkauksia.

Kuinka se toimii

BGP on protokolla, joka välittää Internet-reittejä AS:iden välillä – katso BGP-artikkelimme. Yksinkertaistettu kulku:

kaappaajan AS ilmoittaa "Minulla on reitti etuliitteelle X".
BGP-reitittimet vastaanottavat ilmoituksen ja vertaavat sitä muihin tuntemiinsa reitteihin.
IJos kaappaajan ilmoitus on tarkempi, polku on tarkempi tai (reitti on pidempi etuliite) it.
Liikenne, joka on tarkoitettu etuliitteelle X, virtaa nyt kaappaajan AS:n läpi.
Kaappaaja voi mustata liikennettä (palvelunesto), valvoa sitä (valvonta), muokata sitä (mies-in-the-middle) tai siirtää sen läpinäkyvästi samalla, kun se kerää metaa2Z2XXPL2X

XXX. protokollatason ongelma: BGP hyväksyy perinteisesti sen, joka ilmoittaa äänekkäimmin. Ei ole olemassa vahvistusta siitä, että kuuluttaja todella omistaa etuliitettä.

BGP-kaappauksen tyypit

Alkuperäinen kaappaus. AS X ilmoittaa AS Y:n omistaman etuliiteen. Yleisin. Usein vahingossa tehtyjä virheellisiä määrityksiä.
Etuliitteen kaappaus. Ilmoitetaan jonkun muun etuliitteen tarkempi osajoukko. Voittaa reitityspäätökset, koska tarkemmat reitit ovat suositeltavia.
Path-kaappaus. Ilmoitetaan väärennetystä AS-polusta. Hienovaraisempi; vaikeampi havaita.
Blackholing. Ilmoitetaan etuliite, joka imee liikenteen ja pudottaa sen. Käytetään sekä haitallisesti (DoS) että puolustuksellisesti (DDoS-vähennys).
Sub-etuliitekaappaus MITM.:n avulla. Reitittää kaapatun liikenteen todelliseen määränpäähän tarkkailun/muokkauksen jälkeen. Haitallisin variantti.

Kuuluisia tapahtumia

Pakistan/YouTube (2008). Pakistan Telecom yritti estää YouTuben kotimaassa ilmoittamalla tarkemmasta YouTube-etuliitteestä paikallisesti. Ilmoitus vuoti alkupään toimittajalle ja levisi maailmanlaajuisesti. YouTube pimeni noin kahdeksi tunniksi maailmanlaajuisesti.
China Telecom (2010). Ilmoitti 15 % kaikista Internet-reiteistä 18 minuutin ajan. Suuri liikennehäiriö; mahdollinen tiedustelutietojen keruu.
Indosat (2014). 320 000 etuliitettä kaapattu useiden tuntien ajan.
Venäjän uudelleenreititys (2017). reititti lyhyesti länsimaisen palveluntarjoajan talous- ja teknologian suurille venäläisille Internet-palveluntarjoajille sites.
Erilaiset BGP-kaappaukset, jotka kohdistuvat kryptovaluuttaan. Koordinoidut kaappaukset, jotka ohjaavat liikennettä kryptolompakoiden tietojenkalastelusivuille, joskus kestävät vain minuutteja mutta kuluttavat huomattavia varoja.
XPLZker2 /23XSlay. BGP:n kautta kaapattu korealainen kryptopörssi, varastettu ~2 miljoonaa dollaria.
Twitter/X 2024. Venäläinen palveluntarjoaja kaappasi hetken, liikenne ohjattiin Venäjän läpi muutaman tunnin ajan.

A erottaa kovia hyökkäyksiä. Pakistanin YouTube-tapaus oli onnettomuus; Jotkut muut olivat lähes varmasti tahallisia tiedustelutietojen keräämistä.

RPKI: osittainen korjaus

RPKI (Resource Public Key Infrastructure) antaa osoitteiden haltijoille mahdollisuuden ilmoittaa kryptografisesti mitkä AS:t ovat valtuutettuja ilmoittamaan etuliitteensä. Reitittimet, jotka on määritetty validoimaan RPKI:n, hylkäävät ilmoitukset, jotka eivät vastaa kelvollista Route Origin Authorization (ROA) -käyttöoikeutta.

RPKI-käyttöönotto vuodesta 2026:

Tärkeimmät tason 1 operaattorit (Lumen, NTT, Telia) validoivat kaikki asiakkaansa Coagent-fassa. reitit.
~50 %:lla reititetyistä etuliitteistä on kelvolliset ROA:t.
Omaksuminen on kasvanut tasaisesti, mutta allekirjoittamaton puolikas pysyy paljaana.
RPKI saa kiinni alkuperäkaappaukset (yleisin hyökkäys); se ei havaitse polun huijaushyökkäyksiä, joissa AS-polku on väärennetty.

BGPsec: suurempi korjaus, jota ei tapahtunut

BGPsec (RFC 8205, 2017) oli ehdotettu laajennus, joka tuhoaa AS-polun. Adoptio on ollut käytännössä nolla, koska:

Performance — jokaisen reittipäivityksen allekirjoittaminen vaatii huomattavan CPU:n jokaisessa BGP-puhuvassa reitittimessä.
Muisti — lisätila reittiä kohden lisää merkittävästi reitittimen muistin tarvetta.
Yhteensopivuus — osittainen käyttöönotto ei hyödytä; tarvitsee lähes yleismaailmallista käyttöönottoa.

BGPsec on kryptografisesti täydellinen ratkaisu, jota operatiivisella yhteisöllä ei ole varaa ottaa käyttöön. RPKI on osittain, mutta käyttöön otettava ratkaisu, jota yhteisö ottaa vähitellen käyttöön.

Detection

Useita valvontapalveluita tarkkailevat odottamattomia ilmoituksia:

BGPMon (Cisco)
Hsur toolkit
RIPE Stat / RIS
Cloudflare Radar
IInternet Societyn MANRS-observatorio

Organisaatioille, jotka käyttävät omia etuliitteitä, automaattinen hälytys on "odottamaton". Jotkut etuliitteen haltijat toteuttavat myös itse BGP-alkuperän vahvistuksen ja hylkäävät epäilyttäviä ilmoituksia.

Mitä ihmiset voivat tehdä

BGP-kaappaus on enimmäkseen infrastruktuurikerroksen uhka. Yksittäiset käyttäjät eivät voi suoraan puolustautua sitä vastaan. Realistinen lievennys: päästä päähän -salaus (HTTPS, E2E-viestintä) tekee useimmat BGP-pohjaiset salakuuntelut tehottomaksi. Kaappaaja näkee salatun liikenteen ja oppii määränpäät, mutta ei sisältöä.

Korkeiden panosten liikenteessä, monireittiset lähestymistavat ja päästä päähän -todennus (mTLS, sertifikaatin kiinnitys, FIDO2) rajoittavat kaappauksen saavuttamista.

Usein kysytyt kysymykset

Voinko havaita BGP-kaappauksen kotiverkostani?: Ei suoraan. Kaappaus tapahtuu vastavirtaan; liikenne kulkee väärään kohteeseen, mutta huomaat vain, jos kohde käyttäytyy väärin (varmennevaroitukset, tuntemattomat palvelut). HTTPS tekee useimmat kaappaukset näkyväksi TLS-virheiden kautta; puhtaita IP-palveluita on vaikea havaita.
Estääkö RPKI kaikki BGP-kaappaukset?: Se estää alkuperäkaappaukset (väärä AS, joka on peräisin etuliitteestä). Se ei estä polun huijaushyökkäyksiä, joissa AS-polku on väärennetty. RPKI on käytännöllinen puolustus yleisimmälle hyökkäystyypille; BGPsec sulkee loput, mutta sitä ei oteta käyttöön.
Kuinka usein BGP-kaappausta tapahtuu?: Pieniä tapauksia tapahtuu päivittäin – useimmat ovat pikemminkin virheellisiä määrityksiä kuin hyökkäyksiä. Merkittävään liikenteeseen vaikuttavat suuronnettomuudet ovat harvinaisempia (kourallinen vuodessa). Havaintokyky on parantunut, joten vuonna 2010 huomaamatta jääneet tapahtumat julkistetaan vuonna 2024.
Voiko pieni Internet-palveluntarjoaja aiheuttaa maailmanlaajuisen katkon?: Kyllä, väärällä suodatuksella alkupään palveluntarjoajilla. Useimmat suuret lentoyhtiöt suodattavat nyt asiakkaiden ilmoitukset odotettujen reittien perusteella; väärin määritetty ylävirtaan, joka ei suodata, voi antaa pienten Internet-palveluntarjoajien virheiden levitä maailmanlaajuisesti. Paremmat suodatuskäytännöt ovat vähentäneet tätä riskiä, mutta eivät poistaneet sitä.
Katkeavatko kvanttitietokoneet BGP-allekirjoituksen?: RPKI käyttää RSA-allekirjoituksia, jotka ovat periaatteessa kvanttihaavoittuvia. Siirtyminen jälkeisiin kvanttiallekirjoituksiin on tulevaisuuden huolenaihe, mutta ei kiireellinen – riittävän suuria kvanttitietokoneita rikkomaan RPKI-avaimia ei ole vielä olemassa. RPKI:n käyttöönottoaikajana antaa runsaasti tilaa siirtymiselle, ennen kuin siitä tulee kiireellistä.