BGP-перехват
BGP-перехват (англ. BGP hijacking) — это тип атаки на маршрутизацию в сети Интернет, при котором злоумышленник несанкционированно объявляет о принадлежности ему чужих IP-префиксов (диапазонов IP-адресов) через протокол BGP (Border Gateway Protocol). В результате трафик, предназначенный для легитимной сети, перенаправляется на серверы атакующего, что может приводить к перехвату данных, подмене информации, организации «человека посередине» (Man-in-the-Middle, MITM) или к полной недоступности целевого ресурса.
Принцип работы протокола BGP
BGP является основным протоколом динамической маршрутизации в глобальной сети Интернет. Он отвечает за обмен информацией о достижимости сетей между автономными системами (AS) — крупными административно независимыми блоками, такими как интернет-провайдеры, дата-центры и крупные корпорации. Каждая автономная система имеет уникальный номер (ASN). Маршрутизаторы BGP объявляют соседним AS префиксы IP-адресов, которые они могут обслуживать, и на основе этих объявлений строится карта путей передачи данных.
Протокол BGP изначально разрабатывался на основе доверия между операторами. Он не содержит встроенных механизмов проверки подлинности объявлений, что делает его уязвимым для атак, при которых злоумышленник объявляет маршрут, не соответствующий реальному владельцу IP-адресов.
Механизм BGP-перехвата
BGP-перехват возможен, когда злоумышленник, контролирующий свою автономную систему, объявляет соседям маршрут до IP-префикса, который ему не принадлежит. Если это объявление оказывается более специфичным (имеет более длинную маску подсети) или распространяется быстрее, чем легитимное объявление, маршрутизаторы по всему миру обновляют свои таблицы маршрутизации, направляя трафик на AS атакующего.
Основные сценарии атаки
- Перехват префикса (Prefix Hijacking): Злоумышленник объявляет точную копию легитимного префикса. Часть интернет-провайдеров может выбрать более короткий или «дешёвый» маршрут через AS атакующего, особенно если легитимный владелец находится далеко или имеет слабые связи.
- Перехват с уточнением (Sub-prefix Hijacking): Атакующий объявляет более узкий диапазон IP-адресов (например, /24 вместо /23). Согласно правилам BGP, более специфичный маршрут считается приоритетным, поэтому весь трафик на этот узкий диапазон гарантированно перенаправляется злоумышленнику.
- Перехват с подменой AS Path: Злоумышленник может фальсифицировать путь AS, чтобы сделать свой маршрут более привлекательным или скрыть своё истинное местоположение, выдавая себя за легитимного оператора.
История и известные инциденты
BGP-перехваты происходят с момента широкого распространения протокола BGP в 1990-х годах. Первые крупные инциденты были связаны с ошибками конфигурации, но со временем атаки стали носить злонамеренный характер.
- 2008 год (Пакистан): Крупный инцидент, когда пакистанский интернет-провайдер попытался заблокировать доступ к YouTube на территории страны, объявив маршрут к IP-адресам сервиса. Из-за ошибки конфигурации это объявление распространилось по всему миру, и YouTube стал недоступен для многих пользователей в течение нескольких часов.
- 2014 год (Honeypot): Злоумышленник перехватил трафик, предназначенный для серверов электронной почты и криптовалютных сервисов, используя BGP-перехват для кражи паролей и средств.
- 2018 год (Amazon DNS): Атака на DNS-серверы Amazon, в результате которой трафик к сервису MyEtherWallet был перенаправлен на мошеннический сайт, что привело к краже криптовалюты на сумму около 150 000 долларов США.
- 2022 год (Криптовалютные биржи): Серия атак, направленных на перехват трафика к криптовалютным биржам и кошелькам, с целью кражи цифровых активов.
- 2023 год (Россия): В 2023 году были зафиксированы инциденты, связанные с перехватом трафика российских операторов связи и государственных ресурсов. В частности, в апреле 2023 года произошёл массовый перехват префиксов, принадлежащих российским провайдерам, со стороны AS, зарегистрированной в Нидерландах, что привело к временным нарушениям связи.
Последствия
BGP-перехват может иметь серьёзные последствия для бизнеса, государственных структур и частных пользователей:
- Кража данных: Перехват трафика позволяет злоумышленникам получать доступ к незашифрованным данным, включая логины, пароли, финансовую информацию и личную переписку.
- Фишинг и мошенничество: Атакующие могут перенаправлять пользователей на поддельные версии сайтов (например, банков или онлайн-магазинов) для кражи учётных данных.
- Нарушение доступности (DDoS): BGP-перехват может использоваться для организации распределённых атак на отказ в обслуживании. Перенаправляя трафик на «чёрную дыру» (blackhole), злоумышленник может сделать сайт или сервис недоступным.
- Подрыв доверия: Даже кратковременный перехват может подорвать репутацию компании и доверие клиентов к её сервисам.
Методы защиты
Защита от BGP-перехвата является сложной задачей, требующей координации между операторами связи и владельцами ресурсов.
Технические меры
- RPKI (Resource Public Key Infrastructure): Это система криптографической проверки подлинности маршрутов. Владельцы IP-адресов создают цифровые подписи (ROA — Route Origin Authorization), которые подтверждают, какая AS имеет право объявлять конкретный префикс. Маршрутизаторы, поддерживающие RPKI, могут отклонять объявления, не соответствующие ROA. В России внедрение RPKI активно поддерживается Координационным центром национального домена сети Интернет и рядом крупных операторов.
- BGPsec (BGP Security): Расширение протокола BGP, которое добавляет криптографическую подпись к каждому шагу пути AS, предотвращая подделку маршрута. Однако BGPsec требует значительных вычислительных ресурсов и пока не получил широкого распространения.
- Фильтрация префиксов: Операторы могут вручную или автоматически настраивать фильтры, принимающие только объявления от известных и доверенных соседей. Это снижает риск, но не устраняет его полностью.
- Мониторинг: Использование систем мониторинга (например, BGPmon, RIPE RIS, BGPlay), которые отслеживают изменения в таблицах маршрутизации и оповещают владельцев ресурсов о подозрительных объявлениях.
Организационные меры
- Сотрудничество с провайдерами: Владельцы ресурсов должны заключать соглашения с вышестоящими провайдерами о фильтрации и проверке маршрутов.
- Регистрация в RIR: Корректная регистрация IP-адресов и ASN в региональных интернет-регистраторах (RIR), таких как RIPE NCC (для Европы и России), является основой для использования RPKI.
- Планы реагирования: Разработка процедур быстрого реагирования на инциденты BGP-перехвата, включая связь с операторами и использование резервных каналов связи.
Правовое регулирование в России
В Российской Федерации вопросы безопасности маршрутизации регулируются в рамках общих требований к обеспечению устойчивости и безопасности функционирования сети Интернет. Федеральный закон «О связи» и подзаконные акты, в частности, устанавливают обязанности операторов связи по обеспечению целостности сети и противодействию угрозам. Внедрение технологий, таких как RPKI, рассматривается как часть национальной программы по повышению кибербезопасности и суверенитета российского сегмента сети Интернет. Координационный центр национального домена сети Интернет (КЦ) активно проводит мероприятия по обучению операторов и продвижению безопасных практик маршрутизации.
Источники
- RFC 4271 — A Border Gateway Protocol 4 (BGP-4).
- RFC 8205 — BGPsec Protocol Specification.
- RFC 6811 — Prefix Origin Validation Based on RPKI.
- Материалы Координационного центра национального домена сети Интернет (КЦ).
- Отчёты RIPE NCC о безопасности маршрутизации.
- Публикации Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →