Что такое BGP-Hijacking и как крупные компании защищаются от него

Изображение сгенерировано нейросетью Шедеврум

Протокол BGP (Border Gateway Protocol) — это краеугольный камень глобальной сети Интернет. Он выступает в роли "картографа", помогая автономным системам (AS), принадлежащим крупным провайдерам и компаниям, выбирать оптимальные маршруты для обмена данными. Каждая AS объявляет, какие IP-адреса находятся в её управлении, и BGP распространяет эти объявления по всему миру. Если вы хотите углубиться в устройство этого протокола, вы можете ознакомиться со статьей по ссылке https://contell.ru/chto-takoe-protokol-bgp/.

BGP-Hijacking (или "угон маршрутов") — это кибератака, при которой злоумышленник или скомпрометированная AS ложно объявляет, что владеет префиксами IP-адресов, которые на самом деле принадлежат другой компании. В результате маршрутизаторы по всему миру начинают считать, что самый короткий путь к целевым ресурсам (например, серверам крупного банка или облачного провайдера) лежит через AS атакующего.

Последствия такой атаки могут быть катастрофическими:

• Перехват трафика (Man-in-the-Middle): Весь трафик, предназначенный для легитимной цели, сначала попадает к злоумышленнику, который может его прослушать, изменить или украсть учетные данные.
• Отказ в обслуживании (DoS): Злоумышленник может просто "утопить" свой маршрутизатор под потоком чужого трафика, вызывая глобальный сбой в доступности целевого сервиса.
• Финансовые потери: Атаки часто используются для перенаправления транзакций или доступа к критически важной инфраструктуре.

Механизмы защиты: комплексный подход

Крупные IT-гиганты, финансовые организации и операторы связи используют многоуровневую систему защиты от BGP-Hijacking, основанную на международном сотрудничестве и строгой валидации маршрутов.

RPKI — это наиболее эффективный на сегодняшний день метод криптографической проверки подлинности объявлений BGP. По сути, это цифровое подтверждение того, что автономная система действительно имеет право объявлять определенный диапазон IP-адресов.

• Владелец IP-адресов генерирует ROA (Route Origin Authorization) — криптографически подписанный объект, который утверждает, что «AS X имеет право объявлять префикс Y».
• Маршрутизаторы по всему миру используют валидаторы, чтобы проверить подлинность каждого объявления BGP на основе подписанных ROA. Если объявление не соответствует данным RPKI, оно признается невалидным и отклоняется. Это делает невозможным успешный угон маршрута с использованием ложного объявления.

На уровне взаимодействий между операторами применяется строгая фильтрация. Каждый провайдер должен фильтровать входящие BGP-объявления от своих соседей, чтобы принимать только те префиксы, которые сосед имеет право объявлять. Это включает в себя:

• Prefix Filtering: Принятие только тех префиксов, которые объявлены с корректной длиной маски.
• AS Path Filtering: Проверка, что путь, по которому пришло объявление (список AS), не содержит подозрительных или внутренних AS.

Кроме того, крупные провайдеры заключают соглашения о взаимном контроле и быстром реагировании (порой неформальные), чтобы оперативно обмениваться информацией о подозрительных объявлениях и координировать действия по их отзыву.

Инициатива MANRS

Множество ведущих компаний и интернет-провайдеров присоединились к инициативе MANRS (Mutually Agreed Norms for Routing Security). Это добровольный, но строго соблюдаемый набор стандартов, направленный на повышение безопасности глобальной маршрутизации. Участники MANRS обязуются:

1. Предотвращать распространение неверной информации о маршрутизации.
2. Предотвращать подделку исходных адресов (анти-спуфинг).
3. Обеспечивать глобальную координацию и проверку данных.
4. Поддерживать актуальность информации о маршрутизации.

Эти коллективные действия, подкрепленные технологиями вроде RPKI, создают своего рода "иммунную систему" Интернета, которая позволяет быстро выявлять и изолировать нелегитимные BGP-объявления, тем самым минимизируя ущерб от угонов.