科技创新

研究人员警告,反复攻击劫持了大量的互联网流量

日期:2018-06-19 浏览:10

金融机构、政府机构和网络服务提供商的大量互联网流量在无法解释的情况下一再被转移到遥远的地方,令人怀疑这些流量在被传递到最终目的地之前可能会被秘密监控或修改。网络情报公司Renesys的研究人员在周二发表的一篇博客文章中做出了这一发人深省的评估。自2月份以来,他们观察到38起不同事件,其中大量流量被不当地重定向到白俄罗斯或冰岛服务提供商的路由器。黑客利用边界网关协议中隐含的信任,在美国、韩国、德国、捷克共和国、立陶宛、利比亚和伊朗的大型服务提供商、受影响的主要金融机构、政府和网络服务提供商之间交换数据。

进一步准备安全路由将YouTube重定向到巴基斯坦修改或删除授权的BGP路由或创建新路由的容易性一直被认为是互联网的潜在弱点。事实上,在2008年,巴基斯坦的一家互联网服务提供商以吝啬的手段试图在该国阻断YouTube服务,此后几乎所有互联网用户都无法访问YouTube。当年晚些时候,Defcon hacker会议的研究人员展示了如何操纵BGP路由来重定向大量互联网流量。通过将它转移到黑客控制下的未经授权的路由器,他们可以自由地监控或篡改任何未加密的数据,然后将它发送给预定的接收者,而几乎没有任何刚刚发生的事情的迹象。Renesys研究人员吉姆·考伊写道:“

今年,这种潜力已经成为现实”。今年到目前为止,我们实际上已经观察到了60多天的中间人劫持事件。大约1500个单独的IP块在几分钟到几天的事件中被来自不同国家的攻击者劫持。

至少有一家身份不明的IP语音提供商也成为攻击目标。总共有150个城市的数据被截获。这些攻击之所以严重,是因为它们影响到美国州际公路的互联网等价物,而美国州际公路可以承载数十万甚至数百万人的数据。与不时出现的典型BGP故障不同,Renesys观察到的攻击很少向用户提供任何问题的外在迹象。Cowie写道:“

收件人可能正坐在弗吉尼亚州一个宜人郊区的家中喝早茶,却不知道明斯克有人有能力看他上网。”。即使他运行自己的traceroute来验证与世界的连接,他 d看到的路径也将是通常的路径。从世界各地把内容带回他手中的逆向道路,已经被无形的篡改。

瓜达拉哈拉经白俄罗斯至华盛顿观察到二月份的第一次路线劫持事件,当时全球各地的各种路线在运送到最终目的地之前,都神秘地通过白俄罗斯ISP GlobalOneBel。从墨西哥瓜达拉哈拉到华盛顿特区的一条线路,通常是从墨西哥供应商Alestra到德克萨斯州拉雷多的美国供应商PCCW,再从那里到DC城域,最后通过Qwest /世纪链接服务供应商交付给用户。据Cowie说:

然而,PCCW却将它交给了三级(以前是Global Crossing ),后者从俄罗斯电信公司那里听说了这条错误的白俄罗斯路线,并从他们的客户白俄罗斯电信公司那里听说了这条路线。三级运送到伦敦,在那里运送到Transtelecom,由Transtelecom运送到莫斯科,再运送到白俄罗斯。beltelecom有机会检查流量,然后通过俄罗斯供应商ReTN ( restlecom最近收购)将流量发送回“干净的路径”。ReTN把它送到法兰克福,交给NTT,NTT把它送到纽约。最后,NTT将它移交给华盛顿的Qwest / cellonglink,并交付流量。

这种重新定向在整个2月份几乎每天都发生,受影响的网络组每24小时左右更换一次。转移在三月份停止。5月份复会时,他们以贝尔电信的另一个客户为来源。Renesys研究人员总共看到了21次重定向。然后,也是在5月份,他们看到了一件全新的事情:一次持续仅5分钟的劫持将流量转移到了冰岛的小供应商Nyherji HF (又称as 29989,简称自治系统29989 )。

瑞尼斯直到7月31日冰岛的重新定向才真正开始。当他们第一次复会时,消息来源是提供商奥平·克尔菲( as45175 )。

Cowie继续说:

事实上,这是冰岛十七个事件之一,SPR7月31日至8月19日期间的EAD。而奥平·克尔菲并不是唯一一家似乎宣布国际IP地址空间的冰岛公司:我们总共看到来自九个不同冰岛自治系统的流量重定向,所有的客户(或属于)国家现任总统西敏。在这些事件中,劫持事件影响了几个不同国家的受害者,遵循同样的模式:发送到伦敦西敏同行的虚假路由,留下通往北美的干净路径,将重定向的流量运送回预定目的地。

Renesys总共观察到了17次对冰岛的重新定向。要了解一些路线有多迂回,不妨考虑丹佛两个地点之间的交通情况。如下图所示,它一路经过一系列的跳跃到达冰岛,最后到达预定目的地。Cowie说,Renesys 研究人员仍然不知道谁在实施攻击,他们的动机是什么,或者他们到底是如何实施攻击的。在冰岛提供互联网骨干服务的冰岛电信公司si Minn的成员告诉Renesys,对冰岛的重新定向是由于软件错误造成的,问题一旦得到解决就消失了。他们告诉研究人员,他们不认为转移是恶意的。Cowie说这种解释不太可能。他接着说,即使证明是正确的,也是非常令人不安的。

如果这是一个bug,它是一个危险的bug,能够模拟一个非常微妙的流量重定向/拦截攻击,它在几周内以不同的目标在多个情节中播放,他写道。如果这是一个可以远程利用的错误,那么它需要在全球网络社区中得到更广泛的讨论并被根除。



联系方式丨CONTACT

  • 全国热线:
  • 传真热线:
  • Q Q咨询:
  • 企业邮箱: