فهرست مطالببستن

به طور معمول، سرقت BGP نوعی از حادثه است که سازمان‌ها توجه و تمرکز زیادی روی اون دارن و کنترل‌های امنیتی زیادی برای جلوگیری از اون انجام میشه و به حق، بدافزاری که از یک آسیب پذیری یا خطای انسانی سوء استفاده میکنه میتونه به سازمان آسیب جدی برسونه.

با این حال، این دست از حملات که شبکه یه سازمان یا مؤلفه‌های زیرساخت اینترنتی مثل پروتکل بی جی پی (Border Gateway Protocol) رو هدف قرا میدن، عمدتا نادیده گرفته میشن. حملات سرقت BGP هنوز به مراتب کمتر از حملات DDoS است، اما چندین رویداد اخیر، این روش غیرمعمول رو به یکی از عناوین اصلی خبری در دنیای اینرنتی تبدیل کرده است.

BGP چیست؟

قبل از این که درباره سرقت پروتکل دروازه ای مرزی صحبت کنیم، بهتره ببینیم اصلاً این پروتکل چیه!

برخی از متخصصین، BGP رو چسب اتصال اینترنت میدونن. خیلی‌ها ممکنه استدلال کنن که این سیستم نام دامنه (DNS) است که این نقش رو بازی میکنه، با توجه به این که میشه در پرونده zone رکوردهای چسب وجود داشته باشه. با این حال، بدون BGP ، بسته های شما به مقصد مورد نظر خودشون نمیرسن.

BGP پروتکل مسیریابی اینترنت هست. از این روش برای تعیین بهینه‌ترین راه برای ردیابی داده ها بین شبکه‌های مستقلی که به عنوان سیستم‌های خود گردان (AS) شناخته میشن، استفاده میشه. از نظر فنی، AS مجموعه‌ای از پیشوندهای IP هست که به اونها یه شماره سیستم مستقل (ASN) اختصاص داده میشه.

اگه شما داخل شهر جدیدی باشین و بخواین ببینین که فلان کافه تو کدوم خیابونه، از یه دفتر تلفن یا کتاب راهنمایی که آدرس کافه‌ها رو داخلش نوشته باشه استفاده میکنین و سپس برای این که کوتاه‌ترین مسیر تا کافه رو مشخص کنین سراغ یه نقشه میرین!

نکته
به زبان ساده‌تر، BGP نقشه راهی برای اینترنت است، در حالی که DNS مثل دفترچه تلفن است.

پس BGP چسب اینترنت و ارتباطات از راه دوره. در واقع، BGP به یکی از مهمترین ابزاری هایی تبدیل شده که همه چیز رو بهم متصل میکنن. پس حمله یا سرقت BGP میتونه باعث جدا شدن این اتصال و ایراد در مسیرهای اینترنتی بشه.

شناخت امروز دنیای اینترنت، موبایلف یا مخابرات به درک اساسی نحوه سازماندهی شبکه‌ها نیاز داره. اگه سرویس BGP peering مختل بشه یا کسی تبلیغ مسیرهای غیرمجاز رو در اینترنت بکنه، خدماتی که اپراتور تلفن همراه ارائه میده مختل میشه. پروتکل و رویکرد BGP در خدمت اینترنت و سایر شبکه‌های ارتباط از راه دور است. BGP فناوری و انعطاف پذیری شغلی فراهم میکنه که مقیاس پذیری خلاقیت رو در سراسر جهان تسهیل میکنه. نکته ای که تعداد کمی متوجهش هستن، میزان شکنندگی BGP است که همه ما باید با اون زندگی کنیم.

مسیریابی BGP چطوری کار میکنه؟

برای این که سرقت پروتکل دروازه ای مرزی رو بهتر درک کنین باید ببینین اصلاً روتر بی جی پی چطوری کار میکنه! یک روتر BGP از جدول بزرگی به نام پایگاه اطلاعات مسیریابی (RIB) استفاده میکنه که شبکه هایی رو که میتونه به اونها دسترسی پیدا کنه و کارآمدترین مسیرها برای این شبکه ها رو توصیف میکنه. BGP Peers سیستم‌هایی هستن که روتر از اونها اطلاعات (شبکه ها یا پیشوندها) رو دریافت میکنه. اینها به صورت دستی پیکربندی میشن.

اصولاً BGP Peer ها به روتری میگن که باید اطلاعات دریافت شده توسط سایر Peer های خودش که به صورت دستی وارد شده رو پردازش کنه. سپس روتر میتونه با ترکیب اطلاعاتی که از همتایان مختلف دریافت میکنه، کارآمدترین مسیر رسیدن به مقصد رو ارائه بده.

سرقت BGP یا سرقت پروتکل دروازه ای مرزی چیه؟

قبل از این که BGP Hijacking رو براتون باز کنیم، یه سری به چند تا پارگراف بالاتر میزنیم و دوباره از اصطلاح «سامانه‌ی خودگردان» یا Autonomous System استفاده میکنیم. یه سامانه‌ی خودگردان، شبکه‌ای بزرگ یا مجموعه‌ای از شبکه‌هایی هست که متعلقه به یک فراهم ‌کننده خدمات اینترنتی یا همون (ISP) یا سازمان خیلی بزرگ. برای هر AS یک شماره‌ در نظر گرفته میشه که اصطلاحاً بهش میگن: Autonomous System Number یا ASN.

حالا سرقت بی جی پی وقتی اتفاق میفته که یکی از این سامانه‌ های خودگردان، ادعا کنه مجموعه‌ای از IP ها مال اون هستن! البته باید توجه داشته باشین که همچین اتفاقی همیشه عمدی نیست و گاهی وقت‌ها به‌خاطر خطاهای پیکربندی هم اتفاق میفته، مثلاً ممکنه خطای انسانی همون تأثیر حمله سرقت BGP رو ایجاد کنه.

دزدی بی جی پی

دو نوع حمله اصلی وجود داره: یک حمله کامل سرقتی که یه پیشوند IP خاص رو میگیره، در حالی که یه حمله جزئی هم داریم و در اون مهاجم با اعلام همون پیشوند با همون کارایی با منبع قانونی رقابت میکنه.

همونطوری که قبلا گفتیم، BGP طوری طراحی شده که یه مسیر کوتاه رو برای تبادل اطلاعات بین دو تا رایانه انتخاب کنه، پس لازمهء همچین سرقتی دو تا شرط اساسیه:

  • مسیری که برای بلوک‌های IP ارائه میشه، باید کوتاهتر از مسیر اصلی باشن.
  • حمله کننده باید یه محدوده کوچیک‌تری از IP های سامانه خودگردان اصلی رو ارائه بده.

چنین حمله‌ای اگه به طور موفقیت آمیز انجام بشه، باعث تغییر مسیر ترافیک قربانی میشه و اینطوری حمله کننده، اون ترافیک رو در اختیار میگیره و تا زمانی که قربانی متوجه نشده، سرقت ادامه خواهد داشت.

تأثیر سرقت BGP

بارزترین تأثیر دزدی BGP اینه که بسته‌های اطلاعاتی یا داده ها بهینه‌ترین مسیر خودشون رو طی نمیکنن و سرعت اتصال کاربران به شبکه رو کاهش میدن.

از این بدتر، مهاجمان میتونن ترافیک یه سازمان رو گم کنن یا اصلاحاً وارد سیاه چاله کنن؛ بنابراین منجر به قطع شدن سیستم، شبیه حمله DDoS میشه. به همین ترتیب، مهاجمان میتونن منابع خاصی از اطلاعات رو با خالی کردن شبکه های خاص سانسور کنن.

تغییر مسیر باعث میشه تا مهاجم واسطه‌ای در جریان شبکه باشه، به این معنی که اون میتونه قسمت‌های خاصی از ارتباط رو استراق سمع کنه، یا حتی در برخی موارد ترافیک رو تغییر بده. اونها همچنین میتونن ترافیک مشتریان یا کاربران شما رو به سایت های مخربی که وانمود میکنن بخشی از شبکه شما هستن هدایت کنن. این کار میتونه منجر به سرقت اطلاعات یا مدارک معتبر یا تحویل بدافزار بشه که از نقاط ضعف، سوء استفاده میکنه.

علاوه بر این، اسپمرها میتونن از اعتبار خوب ASN شما برای ایجاد هرزنامه‌ها سوء استفاده کنن و اگه توسط فیلترهای هرزنامه مسدود بشن، این کار میتونه روی شبکه شما تأثیر منفی بذاره.

خطر: احتمال حمله ثانویه!

در برخی موارد، bgp hijacking ممکنه هدف نهایی مهاجم نباشه. هدف ممکنه سرقت مدارک تحصیلی یا هدایت کاربران به سمت منابعی باشه که به طور بالقوه می‌تونن از سیستم اونها سوء استفاده کنن.

در مرحله پاسخ حادثه، مهمه که از این احتمال آگاه باشین و سعی کنین تا جایی که ممکنه مطالبی رو جمع آوری کنین که میتونن به شما در تجزیه و تحلیل این حملات کمک کنن. منابع اطلاعاتی ارزشمند شامل DNS غیرفعال، تاریخچه گواهی Secure Sockets Layer) SSL) و ضبط کامل بسته است.

نحوه تشخیص سرقت پروتکل دروازه ای مرزی

یکی از مشکلات حملات BGP اینه که این حملات همیشه خیلی طولانی نیستن؛ بنابراین تا زمانی که میدونین حمله‌ای در حال وقوعه، میتونین شرایط رو به حالت عادی برگردونین. این امر روی اهمیت پیاده سازی ابزارهای نظارتی و ایجاد گردش کار هشدار دهنده موثر تأکید میکنه.

با نظارت روی مسیرهای BGP که به AS شما مربوط میشن، کار رو شروع کنین. شما میتونین راه حل‌های نظارت خودتون رو تنظیم کنین، اما به همون اندازه میتونین به منابع موجود در دسترس عموم، مثل BGPMon و Oracle Dyn اعتماد کنین تا کارهای سنگین رو برای شما انجام بدن.

یک برنامه پاسخگویی به حوادث بسازین!

واکنش مناسب به سرقت BGP با طرح واکنش به حوادث آغاز میشه. متأسفانه، این اتفاق، حادثه‌ای نیست که بتونین برای اون یه راه حل ساده یا کنترل امنیتی دفاعی تنظیم کنین. همچنین موردی نیست که بتونین به راحتی اون رو تشخیص بدین.

به این دلیل که حملات BGP در خارج از شبکه یک سازمان صورت میگیره، یک سرقت BGP که به خوبی انجام بشه، میتونه در ترافیک مداخله کنه؛ بدون این که کاربران شما متوجه بشن که اشتباهی رخ داده. این وسط شما شاید بتونین ISP خودتون رو متقاعد کنین که مسیر نادرست رو حذف کنه یا از اون درخواست کنین تا Peer های خودتون رو متقاعد کنه که این اعلامیه‌ها رو کنار بذارن.

برای حملات سرقت BGP ، مراحل مهار، ریشه کنی و بازیابی طرح واکنش حادثه بهم متصل هستن. از اونجایی که اعلامیه‌های مسیر خیلی سریع پخش میشن، مهار کردن میتونه یه چالش واقعی باشه.

اگه نمیتونین منابع لازم رو برای تهیه یک طرح اختصاصی پاسخگویی به حوادث مهیا کنین، میتونین از قسمت‌های برنامه‌ای که برای مقابله با حملات DDoS بوده، دوباره استفاده کنین.

آماده باشین!

اکثر سازمان‌ها ASN خاص خودشون رو ندارن و باید به اقدامات ارائه دهنده خدمات بالادستی اینترنت (ISP) خودشون اعتماد کنن. اما روش‌هایی برای تهیه اون وجود دارد:

  • ببینید که سازمان شما از کدوم ارائه دهنده شبکه استفاده میکنه. آیا به یه ارائه دهنده شبکه متکی هست یا به چند تا؟ یه مدل رابطه AS میتونه در این مورد بینشی به شما بده.
  • وقتی که ارائه دهندگان شبکه خودتون رو لیست کردین، با اونها تماس بگیرین و ازشون بپرسین که چه پاسخ یا اقدامات احتیاطی رو درباره امنیت BGP دارن، شما میتونین کار خودتون رو با درخواست یه نمای کلی در سطح بالایی از سیاست همسان سازی شروع کنید و این که چه توافق نامه‌هایی برای حفاظت اونها انجام شده.
  • کانال‌های ارتباطی خوبی رو با ارائه دهندگان شبکه خودتون بسازین.
  • کانال‌های ارتباطی خارج از باند رو از طریق یه ارائه دهنده شبکه دیگه ایجاد کنین. از این کانال‌ها برای اطلاع مشتریان خودتون در صورت حمله استفاده کنین. گزینه‌های احتمالی میتونن شبکه‌های اجتماعی یا یه صفحه ارتباطی باشن که در یک ارائه دهنده ابری میزبانی میشن (فیشینگ رو هم در نظر بگیرین).

اگه مالک ASN هستین، اقدامات اضافی دیگه‌ای هم باید انجام بشه:

  • سیاست همسان سازی خودتون رو یادداشت کنین و مطمئن بشین همه افراد سیاست اتصال BGP رو درک میکنن.
  • BCP های مشابه BGP رو پیاده سازی کنین.
  • بهترین شیوه‌ هنجارهای توافق شده متقابل برای امنیت مسیریابی (Mutually Agreed Norms for Routing Security (MANRS رو مرور و پیاده سازی کنین.
  • مسیر AS رو مشخص کنین. آگاه باشین که این کار میتونه به سرعت نتیجه معکوس بده؛ چون که هدف سیستم، طبیعتا یافتن خودکار بهترین مسیره. معرفی مسیرهای دستی سیستم رو ضعیف میکنه.
  • برای پیشگیری از طغیان در اطلاعیه‌ها، مقدار پیشوندهایی رو که میشه دریافت کرد محدود کنین.
  • فیلتر کردن مسیر رو اجرا کنین.
  • پیشوندهای IP رو که نباید در اینترنت مجاز باشن، فیلتر کنین.
  • قبل از پذیرش اطلاعیه‌ها از نوعی احراز هویت استفاده کنین.
  • چک‌های BGP برای زندگی (TTL) رو اجرا کنین و به روزرسانی‌های مسیریابی که از شما دورتر هستن رو رد کنین.
  • اگه می‌خواین برنامه خودتون رو عملی کنین، میتونین از یک ماشین مجازی (VM) با گزینه بارگیری + ۵۰۰k مسیر BGP استفاده کنین.

ابزارهای پاسخ خودکار رو در نظر بگیرین

یک عنصر اصلی در مبارزه با سرقت BGP ، شناسایی دقیق و سریع این سرقت هست که امکان کاهش انعطاف پذیری این وقایع و سرعت اتفاق افتادنشون رو در بر داره. این همون جاییه که سیستم خودکار و real-time dEtection و (MItigation System (ARTEMIS میتونه در آینده کمک کنه.

ARTEMIS، ارائه شده در یک مقاله تحقیقاتی توسط مرکز تجزیه و تحلیل داده های کاربردی اینترنت (CAIDA)، یه رویکرد شناسایی و کاهش یکپارچه و مبتنی بر نظارت روی صفحه کنترل است. اگرچه این رویکرد هنوز در دست توسعه است، اما پتانسیلی رو برای کمک به ارائه دهندگان شبکه در رفع این حملات نشون میده.

آخرین مرحله در پاسخ به حادثه مستلزم جمع آوری اطلاعات لازم برای به روزرسانی و بهبود برنامه شما، به ویژه برای مراحل آماده سازی و شناسایی است. بررسی کنین که آیا همه کانال‌های ارتباطی مطابق انتظار کار میکنن یا خیر، مسیرهای تشدید، نتایج مورد انتظار رو ارائه میدن و به این ترتیب شما میتونین حمله رو به موقع تشخیص بدین.

همیشه یادتون باشه که بهترین برنامه پاسخگویی، پیشگیری است.