Чи можу я виявити викрадення BGP у своїй домашній мережі?

Не прямо. Викрадення вище за течією; ваш трафік спрямовується до неправильного пункту призначення, але ви помітите, лише якщо пункт призначення поводиться неправильно (попередження про сертифікат, незнайомі служби). HTTPS робить більшість викрадень видимими через помилки TLS; послуги чистого IP виявити важче.

Чи запобігає RPKI всім захопленням BGP?

Це запобігає викраденню джерела (хибне AS, що створює префікс). Це не запобігає атакам підробки шляху, коли шлях AS фальсифікується. RPKI — практичний захист від найпоширенішого типу атак; BGPsec закриє решту, але не розгортається.

Як часто відбувається викрадення BGP?

Невеликі інциденти трапляються щодня — більшість із них є неправильними налаштуваннями, а не атаками. Великі інциденти, що впливають на значний трафік, трапляються рідше (декілька на рік). Можливості виявлення покращилися, тож інциденти, які залишилися б непоміченими у 2010 році, отримають розголос у 2024 році.

Чи може невеликий провайдер спричинити глобальний збій?

Так, із неправильною фільтрацією у провідних постачальників. Більшість великих перевізників тепер фільтрують повідомлення клієнтів за очікуваними наборами маршрутів; неправильно налаштований висхідний канал, який не фільтрує, може дозволити помилкам невеликого провайдера поширюватися глобально. Кращі методи фільтрації зменшили, але не усунули цей ризик.

Чи порушать квантові комп’ютери підписання BGP?

RPKI використовує сигнатури RSA, які в принципі є квантово вразливими. Перехід на постквантові сигнатури є проблемою майбутнього, але не терміновою — квантових комп’ютерів, достатньо великих, щоб зламати ключі RPKI, ще не існує. Графік розгортання RPKI дає достатньо місця для міграції, перш ніж це стане терміновим.

Пояснення викрадення BGP: коли маршрутизація Інтернету брехня

Викрадення BGP — це коли одна мережа помилково повідомляє про право власності на IP-адреси, які вона не контролює. Протокол маршрутизації в Інтернеті вірить їм, трафік направляється до неправильного пункту призначення, а наслідки варіюються від випадкових збоїв до навмисного стеження. Виправлення — RPKI — прогресує, але не завершено. Ця категорія залишається загрозою для інфраструктури верхнього рівня.

Повний текст статті подано англійською мовою нижче.

BGP hijacking — це атака (або нещасний випадок), коли автономна система оголошує про право власності на IP-префікси, які їй не належать. Маршрутизатори BGP у всьому світі приймають оголошення (оскільки традиційний BGP не має автентифікації) і починають маршрутизувати трафік для цих префіксів до зловмисника. Шкода може включати збої в роботі служби, перехоплення трафіку та крадіжку облікових даних.

Як це працює

BGP — це протокол, який поширює Інтернет-маршрути між автономними системами — див. нашу статтю BGP. Спрощений потік:

AS зловмисника оголошує «У мене є маршрут із префіксом X». Маршрутизатори
BGP отримують оголошення та порівнюють його з іншими маршрутами, які їм відомі.
I Якщо оголошення зловмисника більш конкретне (довший префікс) або має коротший шлях AS, маршрутизатори віддають перевагу it.
Трафік, призначений для префікса X, тепер проходить через AS зловмисника.
Зловмисник може перекривати трафік (відмова в обслуговуванні), контролювати його (спостереження), змінювати (людина посередині) або прозоро пропускати під час збору метаданих.

The Проблема на рівні протоколу: BGP традиційно приймає тих, хто оголошує голосніше. Немає підтвердження того, що диктор дійсно володіє префіксом.

Типи викрадення BGP

Hijack. AS X оголошує префікс, що належить AS Y. Найпоширеніший. Часто випадкові неправильні конфігурації.
Prefix hijack. Оголошення більш конкретного підмножини чужого префікса. Виграє рішення щодо маршрутизації, оскільки надається перевага більш конкретним маршрутам.
Path hijack. Оголошення фальсифікованого шляху AS. тонший; важче виявити.
Blackholing. Оголошення префікса для поглинання трафіку та відкидання його. Використовується як зловмисно (DoS), так і для захисту (пом’якшення DDoS).
Викрадення підпрефікса з MITM. Направлення захопленого трафіку до його справжнього призначення після спостереження/зміни. Найшкідливіший варіант.

Відомі випадки

Пакистан/YouTube (2008). Pakistan Telecom намагався заблокувати YouTube усередині країни, оголосивши локально більш конкретний префікс YouTube. Оголошення просочилося до постачальника вищих служб і поширилося по всьому світу. YouTube перестав працювати на ~2 години в усьому світі.
China Telecom (2010). Оголошено про 15% усіх інтернет-маршрутів протягом 18 хвилин. Великі перебої в русі; можливий збір розвідданих.
Indosat (2014). 320 000 префіксів, захоплених протягом кількох годин.
Російська зміна маршруту (2017). Російські провайдери ненадовго захопили маршрути до основних західних технічних і фінансових сайти.
Різноманітні викрадення BGP, націлені на криптовалюту. Скоординовані викрадення, які перенаправляють трафік на фішингові сторінки криптовалютного гаманця, інколи тривають лише хвилини, але виснажують значні кошти.
KlayMaker / KlaySwap (2022). Корейська Криптообмін зламано через BGP, викрадено ~2 млн доларів США.
Twitter/X 2024. Коротко захоплено російським провайдером, трафік направлявся через Росію протягом кількох годин.

Важко відрізнити аварії та навмисні атаки. Інцидент з YouTube у Пакистані став випадковістю; деякі інші майже напевно були навмисним збором розвідувальних даних.

RPKI: часткове виправлення

RPKI (інфраструктура відкритих ключів ресурсу) дозволяє власникам адрес криптографічно декларувати, які AS мають право оголошувати свої префікси. Маршрутизатори, налаштовані на перевірку оголошень про відхилення RPKI, які не відповідають дійсному авторизації джерела маршруту (ROA). Розгортання

RPKI станом на 2026 рік:

Основні оператори рівня 1 (Lumen, NTT, Telia, Cogent, Tata) перевіряють RPKI на своїх клієнтах маршрути.
~50% маршрутизованих префіксів мають дійсні ROA.
Застосування неухильно зростає, але непідписана половина залишається відкритою.
RPKI вловлює вихідні викрадення (найпоширеніша атака); воно не вловлює атаки підробки шляху, коли шлях AS фальсифікується.

BGPsec: більшим виправленням, яке не відбулося

BGPsec (RFC 8205, 2017) було запропоноване розширення, яке криптографічно підписує шлях AS, перемагаючи атаки підробки шляху. Прийняття було фактично нульовим, оскільки:

Performance — для підписання кожного оновлення маршруту потрібен значний процесор на кожному маршрутизаторі, що підтримує BGP.
Memory — додатковий стан на маршрут значно збільшує потребу в пам’яті маршрутизатора.
Compatibility — часткове розгортання не дає переваг; потребує майже повсюдного впровадження.

BGPsec — це криптографічно повне рішення, яке не може дозволити собі розгорнути оперативна спільнота. RPKI — це часткове, але можливе розгортання рішення, яке спільнота поступово приймає.

Detection

Кілька служб моніторингу спостерігають за неочікуваними оголошеннями:

BGPMon (Cisco)
BGP Hurricane Electric набір інструментів
RIPE Stat / RIS
Cloudflare Radar
IInternet Society's MANRS observatory

Для організацій, які працюють із власними префіксами, автоматичне сповіщення про «неочікувану AS, що походить від мого префікса» є практичним захистом. Деякі власники префіксів також самостійно впроваджують перевірку джерела BGP і відхиляють підозрілі оголошення.

Що можуть робити люди

Викрадення BGP — це здебільшого загроза рівня інфраструктури. Окремі користувачі не можуть безпосередньо захиститися від нього. Реалістичне пом’якшення: наскрізне шифрування (HTTPS, обмін повідомленнями E2E) робить більшість прослуховування на основі BGP неефективним. Зловмисник бачить зашифрований трафік і вивчає пункти призначення, але не вміст.

Для трафіку з високими ставками багатошляхові підходи та наскрізна автентифікація (mTLS, закріплення сертифіката, FIDO2) обмежують можливості викрадення.

Часті запитання

Чи можу я виявити викрадення BGP у своїй домашній мережі?: Не прямо. Викрадення вище за течією; ваш трафік спрямовується до неправильного пункту призначення, але ви помітите, лише якщо пункт призначення поводиться неправильно (попередження про сертифікат, незнайомі служби). HTTPS робить більшість викрадень видимими через помилки TLS; послуги чистого IP виявити важче.
Чи запобігає RPKI всім захопленням BGP?: Це запобігає викраденню джерела (хибне AS, що створює префікс). Це не запобігає атакам підробки шляху, коли шлях AS фальсифікується. RPKI — практичний захист від найпоширенішого типу атак; BGPsec закриє решту, але не розгортається.
Як часто відбувається викрадення BGP?: Невеликі інциденти трапляються щодня — більшість із них є неправильними налаштуваннями, а не атаками. Великі інциденти, що впливають на значний трафік, трапляються рідше (декілька на рік). Можливості виявлення покращилися, тож інциденти, які залишилися б непоміченими у 2010 році, отримають розголос у 2024 році.
Чи може невеликий провайдер спричинити глобальний збій?: Так, із неправильною фільтрацією у провідних постачальників. Більшість великих перевізників тепер фільтрують повідомлення клієнтів за очікуваними наборами маршрутів; неправильно налаштований висхідний канал, який не фільтрує, може дозволити помилкам невеликого провайдера поширюватися глобально. Кращі методи фільтрації зменшили, але не усунули цей ризик.
Чи порушать квантові комп’ютери підписання BGP?: RPKI використовує сигнатури RSA, які в принципі є квантово вразливими. Перехід на постквантові сигнатури є проблемою майбутнього, але не терміновою — квантових комп’ютерів, достатньо великих, щоб зламати ключі RPKI, ще не існує. Графік розгортання RPKI дає достатньо місця для міграції, перш ніж це стане терміновим.