AS 100real ownerof 10.0.0.0/8AS 666hijackerannounces 10.0/8trafficfalse announcement wins routing

การจี้ BGP

11 นาทีอ่านเครือข่าย

การไฮแจ็ก BGP เกิดขึ้นเมื่อเครือข่ายหนึ่งประกาศความเป็นเจ้าของที่อยู่ IP ที่ไม่ได้ควบคุมอย่างไม่ถูกต้อง โปรโตคอลการกำหนดเส้นทางของอินเทอร์เน็ตเชื่อพวกเขา การรับส่งข้อมูลไหลไปยังปลายทางที่ไม่ถูกต้อง และผลที่ตามมามีตั้งแต่การหยุดทำงานโดยไม่ตั้งใจไปจนถึงการเฝ้าระวังโดยเจตนา การแก้ไข — RPKI — ดำเนินไปแล้วแต่ยังไม่เสร็จสมบูรณ์ หมวดหมู่นี้ยังคงเป็นภัยคุกคามด้านโครงสร้างพื้นฐานระดับสูงสุด

เนื้อหาบทความฉบับเต็มมีให้เป็นภาษาอังกฤษด้านล่าง

การจี้

BGP คือการโจมตี (หรืออุบัติเหตุ) ที่ระบบอัตโนมัติประกาศความเป็นเจ้าของคำนำหน้า IP ที่ไม่ได้อยู่ในระบบ เราเตอร์ BGP ทั่วโลกยอมรับประกาศดังกล่าว (เนื่องจาก BGP แบบเดิมไม่มีการตรวจสอบสิทธิ์) และเริ่มกำหนดเส้นทางการรับส่งข้อมูลสำหรับคำนำหน้าเหล่านั้นไปยังนักจี้ ความเสียหายอาจรวมถึงการหยุดให้บริการ การสกัดกั้นการรับส่งข้อมูล และการโจรกรรมข้อมูลประจำตัว

วิธีการทำงาน

BGP คือโปรโตคอลที่เผยแพร่เส้นทางอินเทอร์เน็ตระหว่าง ASes — ดูบทความ BGP ของเรา ขั้นตอนแบบง่าย:

  1. AS ของนักจี้ประกาศว่า "ฉันมีเส้นทางไปยังคำนำหน้า X" เราเตอร์
  2. BGP จะได้รับประกาศและเปรียบเทียบกับเส้นทางอื่นที่พวกเขารู้จัก
  3. หากการประกาศของนักจี้มีความเฉพาะเจาะจงมากขึ้น (คำนำหน้ายาวกว่า) หรือมีเส้นทาง AS ที่สั้นกว่า เราเตอร์จะเลือกใช้ it.
  4. Traffic ที่ถูกกำหนดไว้สำหรับคำนำหน้า X ตอนนี้ไหลผ่าน AS.
  5. ของนักจี้แล้ว นักจี้สามารถแบล็คโฮลการรับส่งข้อมูล (การปฏิเสธการให้บริการ) ตรวจสอบ (การเฝ้าระวัง) แก้ไข (คนกลาง) หรือส่งต่ออย่างโปร่งใสในขณะที่รวบรวมข้อมูลเมตา

ปัญหาระดับโปรโตคอล: BGP ตามธรรมเนียมแล้วยอมรับใครก็ตามที่ประกาศดังที่สุด ไม่มีการตรวจสอบความถูกต้องว่าผู้ประกาศเป็นเจ้าของคำนำหน้าจริงๆ

ประเภทของการจี้ BGP

  • Origin hijack AS X ประกาศคำนำหน้าที่เป็นของ AS Y โดยทั่วไป มักมีการกำหนดค่าผิดพลาดโดยไม่ตั้งใจ
  • Prefix hijack. การประกาศชุดย่อยที่เฉพาะเจาะจงมากขึ้นของคำนำหน้าของบุคคลอื่น ชนะการตัดสินใจเกี่ยวกับเส้นทางเนื่องจากต้องการเส้นทางที่เฉพาะเจาะจงมากขึ้น
  • Path hijack. ประกาศเส้นทาง AS ปลอม บอบบาง; ตรวจจับได้ยากขึ้น
  • Blackholing. ประกาศคำนำหน้าเพื่อดูดซับการรับส่งข้อมูลและวางลง ใช้ทั้งแบบประสงค์ร้าย (DoS) และเชิงป้องกัน (การบรรเทา DDoS)
  • จี้คำนำหน้าย่อยด้วย MITM. การกำหนดเส้นทางการรับส่งข้อมูลที่ถูกแย่งชิงไปยังปลายทางที่แท้จริงหลังจากการสังเกต/แก้ไข รูปแบบที่สร้างความเสียหายมากที่สุด

เหตุการณ์ที่มีชื่อเสียง

  • Pakistan/YouTube (2008). Pakistan Telecom พยายามบล็อก YouTube ในประเทศโดยการประกาศคำนำหน้า YouTube ที่เฉพาะเจาะจงมากขึ้นในพื้นที่ ประกาศดังกล่าวรั่วไหลไปยังผู้ให้บริการต้นทางและเผยแพร่ไปทั่วโลก YouTube ดับไปประมาณ 2 ชั่วโมงทั่วโลก
  • China Telecom (2010). ประกาศ 15% ของเส้นทางอินเทอร์เน็ตทั้งหมดเป็นเวลา 18 นาที การหยุดชะงักของการจราจรครั้งใหญ่ การรวบรวมข่าวกรองที่เป็นไปได้
  • Indosat (2014). 320,000 คำนำหน้าถูกแย่งชิงเป็นเวลาหลายชั่วโมง
  • การเปลี่ยนเส้นทางของรัสเซีย (2017). ISP ของรัสเซียได้แย่งชิงเส้นทางสั้นๆ ไปยังเทคโนโลยีและการเงินของตะวันตกที่สำคัญ sites.
  • การแย่งชิง BGP ต่างๆ ที่กำหนดเป้าหมายไปที่สกุลเงินดิจิทัล การจี้แบบประสานงานเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังหน้าฟิชชิ่งกระเป๋าเงินดิจิตอลเข้ารหัส ซึ่งบางครั้งก็กินเวลาเพียงไม่กี่นาทีแต่เปลืองเงินจำนวนมาก
  • KlayMaker / KlaySwap (2022). ตลาดซื้อขายแลกเปลี่ยนสกุลเงินดิจิทัลของเกาหลีถูกแย่งชิงผ่าน BGP ~$2M ถูกขโมย
  • Twitter/X 2024. ถูกแย่งชิงโดยผู้ให้บริการชาวรัสเซียในช่วงสั้นๆ การจราจรที่เปลี่ยนเส้นทางผ่านรัสเซียเป็นเวลาสองสามชั่วโมง

อุบัติเหตุและการโจมตีโดยเจตนานั้นยากต่อการแยกแยะ เหตุการณ์ YouTube ของปากีสถานเป็นอุบัติเหตุ บางส่วนเกือบจะแน่นอนว่าเป็นการรวบรวมข่าวกรองโดยเจตนา

RPKI: การแก้ไขบางส่วน

RPKI (โครงสร้างพื้นฐานคีย์สาธารณะของทรัพยากร) ช่วยให้ผู้ถือที่อยู่สามารถประกาศแบบเข้ารหัสได้ว่า ASes ใดที่ได้รับอนุญาตให้ประกาศคำนำหน้าของตน เราเตอร์ที่กำหนดค่าเพื่อตรวจสอบ RPKI ปฏิเสธการประกาศที่ไม่ตรงกับ Route Origin Authorization (ROA) ที่ถูกต้อง การใช้งาน

RPKI ในปี 2026:

  • Major Tier-1 Carriers (Lumen, NTT, Telia, Cogent, Tata) ทั้งหมดตรวจสอบ RPKI บนการพบปะกับลูกค้า เส้นทาง
  • ~50% ของคำนำหน้าที่กำหนดเส้นทางมี ROAs ที่ถูกต้อง
  • Adoption มีการเติบโตอย่างต่อเนื่อง แต่ครึ่งหนึ่งที่ไม่ได้ลงนามยังคงถูกเปิดเผย
  • RPKI จับการแย่งชิงแหล่งกำเนิด (การโจมตีที่พบบ่อยที่สุด); ไม่สามารถตรวจจับการโจมตีด้วยการปลอมแปลงเส้นทางโดยที่เส้นทาง AS ถูกปลอมแปลง

BGPsec: การแก้ไขที่ใหญ่กว่าซึ่งไม่ได้เกิดขึ้น

BGPsec (RFC 8205, 2017) เป็นส่วนขยายที่นำเสนอซึ่งเข้ารหัสลับลงนามในเส้นทาง AS ซึ่งเอาชนะการโจมตีด้วยการปลอมแปลงเส้นทาง การนำไปใช้งานโดยพื้นฐานแล้วเป็นศูนย์เนื่องจาก:

  • Performance — การลงนามทุกการอัปเดตเส้นทางต้องใช้ CPU จำนวนมากบนเราเตอร์ที่พูด BGP ทุกตัว
  • Memory — สถานะเพิ่มเติมต่อเส้นทางจะเพิ่มความต้องการหน่วยความจำของเราเตอร์อย่างมาก
  • Compatibility — การปรับใช้บางส่วนไม่มีประโยชน์ ต้องการการใช้งานที่เกือบจะเป็นสากล

BGPsec เป็นโซลูชันที่สมบูรณ์ด้วยการเข้ารหัสซึ่งชุมชนการปฏิบัติงานไม่สามารถปรับใช้ได้ RPKI เป็นโซลูชันบางส่วนแต่ปรับใช้ได้ ซึ่งชุมชนนำไปใช้แบบค่อยเป็นค่อยไป

Detection

บริการตรวจสอบหลายอย่างคอยติดตามประกาศที่ไม่คาดคิด:

  • BGPMon (Cisco)
  • ชุดเครื่องมือ BGP ของ Hurricane Electric
  • RIPE Stat / RIS
  • Cloudflare Radar
  • หอดูดาว MANRS ของ Internet Society

สำหรับองค์กรที่ใช้คำนำหน้าของตนเอง การแจ้งเตือนอัตโนมัติเกี่ยวกับ "AS ที่ไม่คาดคิดที่สร้างคำนำหน้าของฉัน" เป็นการป้องกันในทางปฏิบัติ เจ้าของคำนำหน้าบางรายยังใช้การตรวจสอบต้นกำเนิด BGP ด้วยตนเองและปฏิเสธประกาศที่น่าสงสัย

สิ่งที่บุคคลสามารถทำได้ การจี้

BGP ส่วนใหญ่เป็นภัยคุกคามในชั้นโครงสร้างพื้นฐาน ผู้ใช้แต่ละรายไม่สามารถป้องกันได้โดยตรง การบรรเทาผลกระทบที่สมจริง: การเข้ารหัสจากต้นทางถึงปลายทาง (การส่งข้อความ HTTPS, E2E) ทำให้การดักฟังที่ใช้ BGP ส่วนใหญ่ไม่มีประสิทธิภาพ นักจี้จะเห็นการรับส่งข้อมูลที่เข้ารหัสและเรียนรู้ปลายทางแต่ไม่เห็นเนื้อหา

สำหรับการรับส่งข้อมูลที่มีเดิมพันสูง วิธีการหลายเส้นทางและการตรวจสอบสิทธิ์จากต้นทางถึงปลายทาง (mTLS, การปักหมุดใบรับรอง, FIDO2) จะจำกัดสิ่งที่การจี้สามารถทำได้

คำถามที่พบบ่อย

ฉันสามารถตรวจพบการจี้ BGP จากเครือข่ายในบ้านของฉันได้หรือไม่?
ไม่ใช่โดยตรง. การจี้อยู่ที่ต้นน้ำ การรับส่งข้อมูลของคุณไหลไปยังปลายทางที่ไม่ถูกต้อง แต่คุณจะสังเกตได้ก็ต่อเมื่อปลายทางทำงานผิดปกติ (คำเตือนใบรับรอง บริการที่ไม่คุ้นเคย) HTTPS ทำให้การจี้ส่วนใหญ่มองเห็นได้ผ่านข้อผิดพลาด TLS บริการ pure-IP นั้นตรวจพบได้ยากกว่า
RPKI ป้องกันการจี้ BGP ทั้งหมดหรือไม่
ป้องกันการจี้ต้นทาง (AS เท็จที่สร้างคำนำหน้า) ไม่ได้ป้องกันการโจมตีด้วยการปลอมแปลงเส้นทางเมื่อเส้นทาง AS ถูกปลอมแปลง RPKI เป็นการป้องกันเชิงปฏิบัติสำหรับประเภทการโจมตีที่พบบ่อยที่สุด BGPsec จะปิดส่วนที่เหลือแต่ไม่ได้ปรับใช้
การไฮแจ็ก BGP เกิดขึ้นบ่อยแค่ไหน?
เหตุการณ์เล็กๆ น้อยๆ เกิดขึ้นทุกวัน โดยส่วนใหญ่เป็นการกำหนดค่าที่ไม่ถูกต้องมากกว่าการโจมตี เหตุการณ์สำคัญที่ส่งผลกระทบต่อการจราจรหนาแน่นนั้นเกิดขึ้นได้ยาก (ปีละหยิบมือ) ความสามารถในการตรวจจับได้รับการปรับปรุง ดังนั้นเหตุการณ์ที่จะไม่มีใครสังเกตเห็นในปี 2010 ได้รับการเผยแพร่ในปี 2024
ISP ขนาดเล็กสามารถทำให้เกิดการหยุดทำงานทั่วโลกได้หรือไม่?
ใช่ ด้วยการกรองที่ไม่ถูกต้องที่ผู้ให้บริการอัปสตรีม ผู้ให้บริการรายใหญ่ส่วนใหญ่กรองประกาศของลูกค้าเทียบกับชุดเส้นทางที่คาดไว้ อัปสตรีมที่กำหนดค่าไม่ถูกต้องซึ่งไม่ได้กรองสามารถปล่อยให้ข้อผิดพลาดของ ISP เล็กๆ แพร่กระจายไปทั่วโลก แนวทางปฏิบัติในการกรองที่ดีขึ้นได้ลดลงแต่ไม่ได้ขจัดความเสี่ยงนี้
คอมพิวเตอร์ควอนตัมจะทำลายการลงนาม BGP หรือไม่
RPKI ใช้ลายเซ็น RSA ซึ่งมีช่องโหว่ทางควอนตัมโดยหลักการ การโยกย้ายไปยังลายเซ็นหลังควอนตัมเป็นปัญหาในอนาคตแต่ไม่ใช่เรื่องเร่งด่วน เนื่องจากยังไม่มีคอมพิวเตอร์ควอนตัมขนาดใหญ่พอที่จะทำลายคีย์ RPKI ไทม์ไลน์การปรับใช้ RPKI ให้พื้นที่มากมายในการโยกย้ายก่อนที่จะกลายเป็นเรื่องเร่งด่วน
คำอธิบายการไฮแจ็ก BGP: เมื่อการกำหนดเส้นทางของอินเทอร์เน็ตอยู่