BGP 납치

BGP hijacking

BGP 하이잭킹(접두사 하이잭킹, 경로 하이잭킹 또는 IP 하이잭킹이라고도 함)은 BGP(Border Gateway Protocol)를 사용하여 유지 관리하는 인터넷 라우팅 테이블을 손상시킴으로써 IP 주소 그룹을 불법적으로 취득한 것이다.[1][2][3][4][5]

배경

인터넷은 그것의 고유한 IP 주소로 식별된 모든 연결된 호스트들이 세계 어디든 다른 어떤 곳과 대화할 수 있도록 하는 글로벌 네트워크다. 이것은 한 라우터에서 다른 라우터로 데이터를 전달하고, 희망적으로 전달될 때까지 각 패킷을 그것의 목적지 가까이 반복적으로 이동시킴으로써 달성된다. 이렇게 하려면 각 라우터에 정기적으로 최신 라우팅 테이블을 제공해야 한다. 글로벌 수준에서 개별 IP 주소는 접두사로 그룹화된다. 이러한 접두사는 자율 시스템(AS)에 의해 시작되거나 소유되며, ASes 간의 라우팅 테이블은 BGP(Border Gateway Protocol)를 사용하여 유지된다.

단일 외부 라우팅 정책 하에서 운영되는 네트워크 그룹을 자율 시스템이라고 한다. 예를 들어 스프린트, 버라이즌, AT&T는 각각 AS이다. 각 AS에는 고유한 AS 식별자 번호가 있다. BGP는 자율 시스템 간 IP 라우팅에 관한 정보를 교환하는 데 사용되는 표준 라우팅 프로토콜이다.

각 AS는 BGP를 사용하여 트래픽을 전달할 수 있는 접두사를 광고한다. 예를 들어, 네트워크 접두사 192.0.2.0/24가 AS 64496 안에 있는 경우, AS는 192.0.2.0/24로 예정된 트래픽을 전송할 수 있다는 것을 제공자 및/또는 피어에게 알린다.

BGP에 대해 보안 확장이 가능하고, 경로 검증을 위해 타사 경로 DB 자원이 존재하지만, 기본적으로 BGP 프로토콜은 피어가 보내는 모든 경로 공지사항을 신뢰하도록 설계되어 있으며, BGP 세션에 대해 엄격한 검사를 시행하는 ISP는 거의 없다.

메커니즘

IP 강탈은 다음과 같은 여러 가지 방법 중 하나로 고의 또는 사고로 발생할 수 있다.

  • AS는 그것이 실제로 발생되지 않은 접두사를 발생시킨다고 발표한다.
  • AS는 진정한 AS에 의해 발표될 수 있는 것보다 더 구체적인 접두사를 발표한다.
  • AS는 실제 항로의 존재 여부와 관계없이 이미 이용 가능한 것보다 짧은 항로를 통해 피랍된 AS로 교통을 라우팅할 수 있다고 발표한다.

이러한 방식에 공통적으로 나타나는 것은 네트워크의 정상적인 라우팅의 중단이다. 패킷은 결국 네트워크의 잘못된 부분으로 전달된 다음 끝없는 루프로 들어가거나(그리고 버려지거나), 불쾌감을 주는 AS의 자비로 발견된다.

일반적으로 ISP는 BGP 트래픽을 필터링하여 다운스트림 네트워크의 BGP 광고에 유효한 IP 공간만 포함하도록 허용한다. 하지만, 납치의 역사는 이것이 항상 그렇지는 않다는 것을 보여준다.

RPKI(Resource Public Key Infrastructure)는 주소 블록 범위 소유권을 증명하는 암호 인증서 체인을 통해 경로 기원을 인증하기 위해 설계되었지만, 아직 널리 배치되지는 않았다. 일단 배치되면, (사고나 의도 둘 다를 통해) 출발지에서 잘못된 이슈를 통한 IP 강탈은 탐지 및 필터링이 가능해야 한다.

악성 사용자가 스팸이나 분산 서비스 거부(DDoS) 공격에 사용할 IP 주소를 얻기 위해 IP 가로채기를 사용하는 경우도 있다.

라우터가 결함이 있는 BGP 라우팅 정보를 공포할 때, 그러한 조치가 의도적이든 우발적이든, 그것은 RFC 7908의 IETF(Internet Engineering Task Force)에 의해 "루트 누출"로 정의된다. 이러한 누설을 "경로공시의 의도된 범위를 벗어난 전파"라고 설명한다. 즉, 학습된 BGP 루트를 다른 AS로 보내는 자율 시스템(AS)의 발표는 이전 AS 경로를 따라 수신자, 송신자 및/또는 AS 중 하나의 의도된 정책을 위반하는 것이다." 이러한 누출은 오랜 기간 동안 "Border Gateway Protocol 라우팅 시스템의 시스템적 취약성…"[6] 때문에 가능하다.

BGP 가로채기 및 트랜짓-AS 문제

TCP 재설정 공격과 마찬가지로 세션 가로채기는 진행 중인 BGP 세션에 대한 침입을 포함한다. 즉, 공격자는 BGP 세션의 피어 중 하나로 성공적으로 위장하고 재설정 공격을 수행하는 데 필요한 동일한 정보를 요구한다. 차이점은 세션 가로채기 공격은 단순히 BGP 피어 간의 세션을 중단시키는 것 이상을 달성하도록 설계될 수 있다는 것이다. 예를 들어, 목적은 도청, 블랙홀링 또는 트래픽 분석을 용이하게 하기 위해 피어가 사용하는 경로를 변경하는 것일 수 있다.

기본적으로 EBGP 피어는 다른 피어가 수신한 모든 경로를 장치의 라우팅 테이블에 추가하려고 시도하며, 그 다음 이 경로의 거의 모든 경로를 다른 EBGP 피어에 알리려고 시도한다. 이는 다홈 조직이 실수로 한 AS에서 학습한 접두사를 다른 AS로 광고할 수 있기 때문에 최종 고객이 해당 접두사에 대한 새로운 최선의 경로가 될 수 있기 때문에 문제가 될 수 있다. 예를 들어, AT&T와 Verizon을 피어링하고 필터링을 사용하지 않는 Cisco 라우터를 사용하는 고객은 두 개의 주요 통신사를 자동으로 연결하려고 할 것이며, 이는 제공자들이 고속 전용 링크를 사용하는 대신 고객(아마 T1의 경우)을 통해 일부 또는 모든 트래픽 전송을 선호하게 할 수 있다. 이 문제는 이 두 제공자와 동종하는 다른 제공자에게 추가로 영향을 미칠 수 있으며, 또한 이러한 AS가 잘못 구성된 링크를 선호하게 할 수도 있다. 실제로, 이러한 ISP들은 최종 고객이 광고할 수 있는 것을 제한하는 경향이 있기 때문에, 이 문제는 대형 ISP에서는 거의 발생하지 않는다. 그러나 고객 광고를 필터링하지 않는 ISP는 잘못된 정보를 글로벌 라우팅 테이블로 광고할 수 있으며, 이 테이블은 대형 Tier-1 제공업체에도 영향을 미칠 수 있다.

BGP 강탈의 개념은 광고를 필터링하지 않는 ISP(의도적이든 그렇지 않든)를 찾거나 내부 또는 ISP 대 ISP BGP 세션이 중간 공격에 취약한 ISP를 찾는 것이다. 일단 위치가 정해지면 공격자는 자신이 원하는 접두사를 광고할 수 있으며, 이로 인해 일부 또는 모든 트래픽이 실제 소스에서 공격자로 전환된다. 이는 공격자가 침투한 ISP에 과부하를 가하거나, 접두사를 광고하고 있는 엔티티에 대해 DoS 또는 가장 공격을 수행하는 경우 중 하나일 수 있다. 공격자가 연결의 완전한 상실을 포함하여 심각한 중단을 일으키는 것은 드문 일이 아니다. 2008년 초, 적어도 8개의 미국 대학들이 관련자들에 의해 대부분 조용하게 유지된 공격으로 어느 날 아침 약 90분 동안 인도네시아로 그들의 교통을 전환시켰다.[citation needed] 또한 2008년 2월 PTA가 자국 내에서 사이트 접속을[7] 차단하기로 결정하면서 유튜브 주소 공간의 상당 부분이 파키스탄으로 리디렉션되었으나, 실수로 글로벌 BGP 테이블에 해당 루트를 블랙홀링했다.

필터링 및 MD5/TTTL 보호는 대부분의 BGP 구현(대부분의 공격 출처를 방지하는 것)에 대해 이미 사용 가능하지만, 문제는 ISP가 각 AS가 발생시킬 수 있는 허용 접두사 목록을 결정하는 공통적이거나 효율적인 방법이 없기 때문에 다른 ISP의 광고를 필터링하는 일은 거의 없다는 개념에서 비롯된다. 잘못된 정보를 광고할 수 있도록 허용한 벌칙은 다른/더 많은 ISP에 의한 단순한 필터링부터 인접 ISP에 의한 BGP 세션의 완전 종료까지 다양할 수 있으며(두 개의 ISP가 피어링을 중단하도록 야기함), 반복적인 문제는 모든 피어링 협정의 영구 종료로 끝나는 경우가 많다. 또한 주요 제공자가 더 작고 문제가 있는 제공자를 차단하거나 종료하도록 유발하더라도 글로벌 BGP 테이블은 모든 피어가 조치를 취하거나 잘못된 ISP가 문제를 근원적으로 해결할 때까지 사용 가능한 다른 경로를 통해 트래픽을 재구성하고 재라우팅하는 경우가 종종 있다는 점도 주목할 만하다.

이 개념의 유용한 오프슈트는 BGP Anycasting이라고 불리며, 루트 DNS 서버가 수백 개의 서버 IP 주소를 게시하지 않고 DoS 공격에 대한 중복성과 보호 계층을 제공하기 위해 자주 사용된다. 이 상황에서 차이점은 접두사를 광고하는 각 지점이 실제 데이터(이 경우 DNS)에 접근하고 최종 사용자 요청에 올바르게 응답한다는 것이다.

공공사건

  • 1997년 4월: "AS 7007 사건"[8]
  • 2004년 12월 24일: 터키의 TTNet은 인터넷을[9] 납치한다.
  • 2005년 5월 7일: 구글의 2005년 5월 중단[10]
  • 2006년 1월 22일: Con Edison Communications는 인터넷의[11] 큰 부분을 납치했다.
  • 2008년 2월 24일: 파키스탄의 자국 내 유튜브 접속 차단 시도는 유튜브를 완전히 무너뜨린다.[12]
  • 2008년 11월 11일: 브라질 ISP CTBC - Companyhia de Telecomunicaes do Brasil Central이 내부 테이블을 글로벌 BGP 테이블로 유출했다.[13] 그것은 5분 이상 지속되었다. 비록 RIPE 라우트 서버에 의해 탐지되었다가 전파되지 않아 사실상 자신의 ISP 고객들만이 영향을 미치고 그 외에는 거의 영향을 미치지 않았다.
  • 2010년 4월 8일: 중국 ISP가 인터넷을[14] 납치하다
  • 2013년 7월: 해킹팀산트렉스 IPv4 접두사 46.166.163.0/24가 영구적으로 접속 불가 상태가 되자 RAT(Remote Access Tool) 클라이언트가 갑자기 한 대의 제어 서버에 접속할 수 없게 되자 RAT(Remote Access Tool) 클라이언트에 대한 접근권을 되찾는 데 도움을 주었다. ROS와 해킹팀은 제어서버에 대한 접속을 회복하기 위해 이탈리아 네트워크 사업자 아루바 S.p.A. (AS31034)와 협력하여 BGP에 공지된 접두사를 입수했다.[15]
  • 2014년 2월: ISP에서 데이터를 리디렉션하는 데 캐나다 ISP 사용 - 2월과 5월 사이에 발생한 22건의 사건에서 해커가 각 세션당 약 30초 동안 트래픽을 리디렉션했다.[16] 비트코인을 비롯한 다른 암호 화폐 채굴 작업이 타깃이 되어 화폐를 도난당했다.
  • 2017년 1월: 이란 포르노 검열.[17]
  • 2017년 4월: 러시아 통신 회사 로스틸레콤(AS12389)은 수많은 다른 자치 시스템을 위한 37개의 접두사를[18] 만들었다. 납치된 접두사는 금융기관(가장 두드러지게 마스터카드와 비자), 다른 통신회사, 그리고 다양한 기관들의 것이었다.[19] 비록 납치가 7분 이상 지속되지 않았지만, 교통이 차단되었는지 또는 변경되었는지 여부는 여전히 확실하지 않다.
  • 2017년 12월: 일반적으로 구글, 애플, 페이스북, 마이크로소프트, 트위치, NTT 커뮤니케이션즈, 라이엇 게임즈 등이 발표하는 고교통 접두사 80개가 러시아 AS, DV-LINK-AS(AS39523)에 의해 발표되었다.[20][21]
  • 2018년 4월: 아마존 루트 53 전용의 아마존 웹 서비스 공간 내 약 1300개의 IP 주소가 오하이오 주 콜럼버스의 ISP인 eNet(또는 그 고객)에 의해 납치되었다. 허리케인 일렉트릭과 같은 몇몇 협력자들은 맹목적으로 그 발표를 퍼뜨렸다.[22]
  • 2018년 7월: 이란 통신사(AS58224)는 텔레그램 메신저 10개의 접두사를 발원했다.[23]
  • 2018년 11월: 미국에 본사를 둔 China Telecom 사이트는 구글 주소를 만들었다.[24]
  • 2019년 5월: 대만 네트워크 정보 센터(TWNIC)에서 운영하는 공용 DNS로의 트래픽이 브라질의 법인(AS268869)으로 재라우팅되었다.[25]
  • 2019년 6월: 유럽의 대형 모바일 트래픽이 차이나 텔레콤(AS4134)[26][27]을 통해 재유보됨. "이번 노선 유출은 [스위스] 세이프호스트(AS21217)가 다른 동종업계와 제공업체로부터 제공업체 차이나 텔레콤(AS 4134)에 학습한 IPv4 노선 4만개 이상을 발표하면서 시작됐다. … 차례로 차이나 텔레콤은 이러한 노선을 받아들여 전파했다…"[28]
  • 2021년 2월: 당초 Cablevision 멕시코(AS28548)가 80개국 763개 ASN에 대해 분쟁을 일으키며 282개의 접두사를 유출했다고 보고했는데, 멕시코에서 주된 영향이 있었다. Isolario MRT 덤프 데이터는 7200개의 IPv4 접두사가 발표되어 AS1874로 유출되어 100개 이상의 국가에서 1290개 이상의 ASN에 영향을 미쳤음을 시사했다.[29]
  • 2021년 4월: 인도에서 대규모 BGP 라우팅 유출: 보다폰 아이디어 Ltd(AS55410)를 통해 납치된 3만 개 이상의 BGP 접두사 때문에 인바운드 트래픽이 13배 급증함 접두사는 전 세계에서 왔지만 구글, 마이크로소프트, Akamai, Cloudflare를 포함한 대부분 미국이었다.[30]

참고 항목

참조

  1. ^ Zhang, Zheng; Zhang, Ying; Hu, Y. Charlie; Mao, Z. Morley. "Practical Defenses Against BGP Prefix Hijacking" (PDF). University of Michigan. Retrieved 2018-04-24.
  2. ^ Gavrichenkov, Artyom. "Breaking HTTPS with BGP Hijacking" (PDF). Black Hat. Retrieved 2018-04-24.
  3. ^ Birge-Lee, Henry; Sun, Yixin; Edmundson, Annie; Rexford, Jennifer; Mittal, Prateek. "Using BGP to Acquire Bogus TLS Certificates". Princeton University. Retrieved 2018-04-24.
  4. ^ Julian, Zach (2015-08-17). "An Overview of BGP Hijacking - Bishop Fox". Bishop Fox. Retrieved 2018-04-25.
  5. ^ Zetter, Kim (2008-08-26). "Revealed: The Internet's Biggest Security Hole". WIRED. Retrieved 2018-04-25.
  6. ^ "Problem Definition and Classification of BGP Route Leaks". June 2016. Retrieved 27 May 2021.
  7. ^ "Technology Pakistan lifts the ban on YouTube". BBC News. 2008-02-26. Retrieved 2016-11-07.
  8. ^ "Archived copy". Archived from the original on 2009-02-27. Retrieved 2008-02-26.{{cite web}}: CS1 maint: 타이틀로 보관된 사본(링크)
  9. ^ "Archived copy". Archived from the original on 2008-02-28. Retrieved 2008-02-26.{{cite web}}: CS1 maint: 타이틀로 보관된 사본(링크)
  10. ^ Tao Wan; Paul C. van Oorschot. "Analysis of BGP Prefix Origins During Google's May 2005 Outage" (PDF). Ccsl.carleton.ca. Retrieved 2016-11-07.
  11. ^ "Con-Ed Steals the 'Net - Dyn Research The New Home Of Renesys". Renesys.com. 2006-01-23. Retrieved 2016-11-07.
  12. ^ "Archived copy". Archived from the original on 2008-04-05. Retrieved 2008-03-31.{{cite web}}: CS1 maint: 타이틀로 보관된 사본(링크)
  13. ^ "Brazil Leak: If a tree falls in the rainforest - Dyn Research The New Home Of Renesys". Renesys.com. Retrieved 2016-11-07.
  14. ^ Toonk, Andree (2010-04-08). "Chinese ISP hijacks the Internet". BGPmon.net. Archived from the original on 2019-04-15. Retrieved 2019-04-15.
  15. ^ "How Hacking Team Helped Italian Special Operations Group with BGP Routing Hijack". bgpmon.net. Retrieved 2017-10-17.
  16. ^ "Hacker Redirects Traffic From 19 Internet Providers to Steal Bitcoins". Wired.com. 2014-08-07. Retrieved 2016-11-07.
  17. ^ Brandom, Russell (2017-01-07). "Iran's porn censorship broke browsers as far away as Hong Kong". The Verge. Retrieved 2017-01-09.
  18. ^ "BGP Hijacking overview - Recent BGP Hijacking Incidens". noction.com. Retrieved 2018-08-11.
  19. ^ "BGPstream and The Curious Case of AS12389 BGPmon". bgpmon.net. Retrieved 2017-10-17.
  20. ^ "Popular Destinations rerouted to Russia". BGPMON. Retrieved 14 December 2017.
  21. ^ "Born to Hijack". Qrator.Radar. Retrieved 13 December 2017.
  22. ^ "Suspicious event hijacks Amazon traffic for 2 hours, steals cryptocurrency". Retrieved 24 April 2018.
  23. ^ "Telegram traffic from around the world took a detour through Iran". Retrieved 31 July 2018.
  24. ^ "Internet Vulnerability Takes Down Google". Retrieved 13 November 2018.
  25. ^ "Public DNS in Taiwan the latest victim to BGP hijack". Retrieved 31 May 2019.
  26. ^ "Large European routing leak sends traffic through China Telecom". Retrieved 12 June 2019.
  27. ^ "For two hours, a large chunk of European mobile traffic was rerouted through China". Retrieved 12 June 2019.
  28. ^ "BGP Route Leak Incident Review: A Closer Look at a Route Leak". Retrieved 14 September 2021.
  29. ^ Siddiqui, Aftab (13 Feb 2021). "Major Route Leak by AS28548 – Another BGP Optimizer?". Retrieved 14 September 2021.
  30. ^ Siddiqui, Aftab (26 April 2021). "A major BGP route leak by AS55410". Retrieved 28 May 2021.

외부 링크

  • Qrator.Radar: 실시간 BGP 연결 및 보안 모니터링 시스템.
  • BGPmon.net: 접두사 하이잭, 경로 유출 및 불안정성을 감지하는 BGP 전용 모니터링 시스템.
  • 사이클롭스: UCLA에 의한 BGP 네트워크 감사 도구(프리픽스 하이잭, 경로 유출)
  • NetViews: 실시간 BGP 토폴로지 시각화 및 멤피스 대학의 IP 하이잭킹 탐지 도구.
  • AS-CRED: 펜실베이니아 대학교의 도메인 간 라우팅에 대한 평판 기반 신뢰 관리 및 실시간 경고(예비 피랍, 불안정한 접두사 알림) 서비스.
  • BGP는 아직 안전한가?: RPKI(Resource Public Key Infrastructure)를 구현하는 ISP 목록