《创业家》作者的观点纯属个人观点。雷竞技手机版
边界网关协议(BGP)劫持是黑客用来干扰内容分发网络(cdn)的众多著名攻击之一。黑客也有可能干扰云托管提供商。最近,谷歌、亚马逊、GoDaddy等主要云服务提供商几乎都成为BGP劫持的受害者。
BGP是如何发挥作用的?
在深入了解BGP劫持是如何发生的之前,有必要先深入了解BGP。BGP本质上是一种可以连接多个网络的路由协议。这种网络的集合被称为自治系统(as)。路由协议用于在多个网络之间传输信息或数据包。
通常,AS由ISP提供商、大型技术企业或在某些情况下属于政府的网络组成。每个自治系统接收一个唯一的号码,负责控制一组特定的IP范围或称为前缀的空间。在数据包路由过程中,每个自治系统都会显示其控制的IP地址列表以及到相邻路由器或对等体的可能路径。
有关对等体和控制ip的信息存储在路由表中,当出现新的网络和较短的路径时,这些信息经常发生变化。
BGP劫持解析
BGP劫持的主要后果是,黑客可以将通过网络传输的信息重新路由到不同的位置。他们可以使用以下步骤:
路由公告
第一步是发布新的BGP路由公告。该公告只有由合法的AS宣布才可信。不良行为者将使用受损的AS来这样做。路由公告通常包括发布所有可用前缀或IP范围的表。如果一切顺利,它们将向其全球网络对等体宣布新的BGP路由。
IP特异性
与合法的IP地址相比,选择显示的IP地址更具体。在大多数情况下,黑客使用未使用的前缀,或存在于真实和合法的AS网络中的IP范围。这有助于大大提高隐藏黑客身份的机会。
只有当黑客能够证明新的路由更短时,信息路径才会被拦截。他们表现出的网络效率越高,截获的信息就越多。
制定正确的应对计划
BGP劫持是目前较为普遍的网络攻击方式之一。事实上,在2018年4月,攻击者渗透到亚马逊53号公路.然后他们重新路由了1300个地址,希望窃取加密货币。黑客们通过一个名为MyEtherWallet.com的加密货币网站来避免怀疑。随后,他们从最终用户那里窃取了大约15万美元的加密货币。因此,公司,无论大小,都需要一个响应计划来阻止攻击者。
在BGP劫持发生后,典型的事件响应攻击可能远非易事。这是因为黑客可以隐藏自己。然而,在大多数情况下,公司执行一个三步事件响应计划。
这些步骤包括发现、遏制和根除。其中,封锁措施尤其具有挑战性,因为路线公告可能很快就会发布。
相关:通过Palantir故障,加密黑客的数据容易受到FBI的攻击
防止BGP劫持
为了防止这种网络攻击,公司将不得不依靠其ISP提出的措施或实施其安全措施。如果公司拥有自治系统网络,则必须进行后者。
依赖isp提供的安全措施的公司将不得不不断联系提供商,以确保网络中的漏洞被根除。
在第二种情况下,组织应考虑执行以下步骤:
创建对等策略,帮助对等体判断IP地址的合法性。公司可以根据其网络的需要在开放对等策略和选择性对等策略之间进行选择。
MANRS(路由安全相互同意规范)是组织可以用来保护其网络免受BGP劫持的最佳实践的集合。因此,将这一点纳入安全措施是很重要的。
限制一个AS网络显示的字冠或IP范围的数量,以限制正在发布的公告的数量。
实现身份验证检查点,操作员在接受通知之前必须通过这些检查点。
除此之外,组织还转向路由过滤,实时BGP更新检查等,以确保黑客无法劫持网络。然而,自动响应工具是组织可以投资的最令人印象深刻和最准确的安全措施。此工具将作为检测器和缓解工具来帮助防止劫持。
尽管在过去的几年中,BGP劫持事件有所增加,但今天的组织更有能力通过大幅增强的安全选项来处理它。