Здравия всем, дамы и господа, раз тема протоколов вам так понравилась – продолжаем. Это будет настоящий спринт – 6 протоколов за 3 дня. В предыдущей статье мы рассматривали pptp только потому, что у меня, что называется “наболело”. Теперь же предлагаю за три дня рассмотреть 6 самых популярных протоколов, которые использовать не стоит.
Сегодня говорим о bgp.
Это такое чудо! Он такой классный! Он такой уникальный! Примерно это я частенько вижу в обзорах других людей, но так ли всё хорошо? Да, он действительно уникален, ведь это EGP (External Gateway Protocol) – протокол, позволяющий общаться между автономными сегментами сети, причём он единственный представитель этого вида. То есть твоя родная 192.168.1.0 связывается с одной из подсетей в датацентре cloudflare в Торронто, в которой находится адрес codeby.net. И представь, всё это происходит через BGP, он сообщает о доступности того или иного сегмента, он сообщает о наиболее оптимальном маршруте и ещё многие многие хорошие вещи делает именно он. Кажется, что это безопасно и всё в порядке? Да, но это не совсем правда)
Дело всё в том, что BGP работает на 173 TCP порту и слушает 179, что даёт возможность проводить в его сторону атаки соответствующего характера. Кроме того, у этого протокола есть ряд других проблем, одна из которых заключется в том, что BGP не содержит внутреннего механизма обеспечения защиты сохранности и актуальности данных, а еще аутентификации партнеров для извещений, передаваемых между узлами BGP.
У нашего сегоодняшнего пациента имеется всего 4 типа сообщений:
Наверное, один из самых первых широко известных bgp-инцидентов, который очень чётко указал, что bgp – это боль (но всем до сих пор всё равно).
25 апреля 1997 года многие операторы обнаружили, что на их маршрутизаторах пропали маршруты, ведущие в сеть. Я уж не знаю, много паники было по этому поводу или нет (судя по тому, что это 1997, не очень-то и много), но виновником всего “торжества был” один единственный маршрутизатор провайдера AS7007, который из-за ошибки начал рассылать UPDATE-сообщения, которые, очень хорошо встраивались в маршрутные таблицы других роутеров, а благодаря тому, что маршруты не были одинаковыми, они просто заполняли всю таблицу.
Ещё один случай произошёл в 2008, когда Пакистан хотел запретить доступ к видохостингу Youtube на территории своей страны, но, благодаря bgp, “специфические” маршруты очень быстро сбежали за границу и начали пакостить там, тем самым чуть не лишив планету ютубчика.
Основная проблема этог протокола в том, что он базируется на правиле “одна бабка сказала”, то есть “Я понятия не имею, есть ли там то, что тебе нужно, но сосед сказал, что есть. Иди глянь”.
По итогу мы имеем протокол, с первой масштабной ошибки которого прошло уже 25 лет, но он до сих пор остаётся единственным представителем EGP. Странно? Да не то слово. Хотя, если так подумать, уязвимость, которая может эксплуатироваться только провайдерами – это и не уязвимость-то толком. Всех благодарю за внимание и за сим откланяюсь.
Сегодня говорим о bgp.
Это что?
Это такое чудо! Он такой классный! Он такой уникальный! Примерно это я частенько вижу в обзорах других людей, но так ли всё хорошо? Да, он действительно уникален, ведь это EGP (External Gateway Protocol) – протокол, позволяющий общаться между автономными сегментами сети, причём он единственный представитель этого вида. То есть твоя родная 192.168.1.0 связывается с одной из подсетей в датацентре cloudflare в Торронто, в которой находится адрес codeby.net. И представь, всё это происходит через BGP, он сообщает о доступности того или иного сегмента, он сообщает о наиболее оптимальном маршруте и ещё многие многие хорошие вещи делает именно он. Кажется, что это безопасно и всё в порядке? Да, но это не совсем правда)
Почему так грустно?
Дело всё в том, что BGP работает на 173 TCP порту и слушает 179, что даёт возможность проводить в его сторону атаки соответствующего характера. Кроме того, у этого протокола есть ряд других проблем, одна из которых заключется в том, что BGP не содержит внутреннего механизма обеспечения защиты сохранности и актуальности данных, а еще аутентификации партнеров для извещений, передаваемых между узлами BGP.
У нашего сегоодняшнего пациента имеется всего 4 типа сообщений:
- OPEN
- KEEPALIVE
- NOTIFICATION
- UPDATE
Наверное, один из самых первых широко известных bgp-инцидентов, который очень чётко указал, что bgp – это боль (но всем до сих пор всё равно).
25 апреля 1997 года многие операторы обнаружили, что на их маршрутизаторах пропали маршруты, ведущие в сеть. Я уж не знаю, много паники было по этому поводу или нет (судя по тому, что это 1997, не очень-то и много), но виновником всего “торжества был” один единственный маршрутизатор провайдера AS7007, который из-за ошибки начал рассылать UPDATE-сообщения, которые, очень хорошо встраивались в маршрутные таблицы других роутеров, а благодаря тому, что маршруты не были одинаковыми, они просто заполняли всю таблицу.
Ещё один случай произошёл в 2008, когда Пакистан хотел запретить доступ к видохостингу Youtube на территории своей страны, но, благодаря bgp, “специфические” маршруты очень быстро сбежали за границу и начали пакостить там, тем самым чуть не лишив планету ютубчика.
Основная проблема этог протокола в том, что он базируется на правиле “одна бабка сказала”, то есть “Я понятия не имею, есть ли там то, что тебе нужно, но сосед сказал, что есть. Иди глянь”.
По итогу мы имеем протокол, с первой масштабной ошибки которого прошло уже 25 лет, но он до сих пор остаётся единственным представителем EGP. Странно? Да не то слово. Хотя, если так подумать, уязвимость, которая может эксплуатироваться только провайдерами – это и не уязвимость-то толком. Всех благодарю за внимание и за сим откланяюсь.
огонь тема после приключений почитаю