BGP Hijacking چیست؟ و چگونه انجام می شود

BGP hijacking زمانی است که مهاجمان به طور مخرب ترافیک اینترنت را تغییر مسیر می دهند. مهاجمان این کار را با اعلام دروغین مالکیت گروه های آدرس IP، که IP prefixes نامیده می شوند، انجام می دهند که در واقع مالک آنها نیستند. BGP Hijacking بسیار شبیه به این است که کسی همه علائم را در یک بزرگراه تغییر دهد و تردد خودروها را در خروجی های نادرست تغییر مسیر دهد.

از آنجا که BGP بر این فرض استوار است که شبکه های به هم پیوسته حقیقت را در مورد آدرس های IP متعلق به خود می گویند، جلوگیری از BGP Hijacking تقریباً غیرممکن است – تصور کنید اگر کسی به نشانه های آزادراه نگاه نمی کرد و تنها راه تشخیص اینکه آیا واقعا مسیر درست بوده مشاهده این بود که بسیاری از خودروها در محل های اشتباه قرار دارند. با این حال، برای وقوع یک BGP Hijacking ، مهاجمان نیاز به در اختیار داشتن یک روتر مجهز به BGP دارند که بین یک سیستم autonomous و سیستم دیگر ارتباط داشته باشد، بنابراین هر کسی نمی تواند یک autonomous را انجام دهد.

BGP چیست؟

BGP مخفف Border Gateway Protocol است و پروتکل مسیریابی اینترنت است. به عبارت دیگر، جهت هایی را ارائه می دهد که ترافیک از یک آدرس IP به آدرس دیگر حرکت کند. آدرس IP آدرس وب واقعی یک وب سایت معین است. وقتی یک کاربر نام وب سایت را تایپ می کند و مرورگر آن را پیدا می کند و بارگذاری می کند، درخواست ها و پاسخ ها بین آدرس IP کاربر و آدرس IP وب سایت منتقل می شوند. سرورهای DNS (سیستم نام دامنه) آدرس IP را ارائه می دهند، اما BGP کارآمدترین راه برای دسترسی به آن آدرس IP را ارائه می دهد. به طور خلاصه اگر DNS دفترچه آدرس اینترنت باشد، BGP نقشه راه اینترنت است.

هر روتر BGP یک جدول مسیریابی با بهترین مسیرها بین AS ها را در حافظه خود ذخیره می کند. اینها تقریباً به طور مداوم به روز می شوند زیرا هر AS* – اغلب ارائه دهنده خدمات اینترنت (ISP) – IP prefixes جدیدی را که متعلق به آنها است را پخش می کند. BGP همیشه کوتاهترین و مستقیم ترین مسیر را از AS به AS دیگر ترجیح می دهد تا به آدرس های IP از طریق کمترین تعداد ممکن در شبکه ها برسد.

*تعریف autonomous system (AS)

autonomous system یک شبکه بزرگ یا گروهی از شبکه ها است که توسط یک سازمان واحد اداره می شود. AS ممکن است زیر شبکه های زیادی داشته باشد، اما همه آنها از یک سیاست مسیریابی مشترک برخوردارند. معمولاً AS یک ISP یا یک سازمان بسیار بزرگ با شبکه خاص خود و چندین اتصال بالادستی از آن شبکه به ISP ها است (این را ” multihomed network” می نامند). به هر AS شماره اختصاصی سیستم مختص به خود یا ASN اختصاص داده شده است تا به راحتی آنها را شناسایی کند.

چرا BGP مهم است؟

BGP رشد آسان و گسترده اینترنت را ممکن می سازد. اینترنت از تعداد زیادی شبکه بزرگ تشکیل شده است که به هم متصل هستند. و از آنجا که غیر متمرکز است، هیچ نهاد حاکم یا پلیس ترافیکی که بهترین مسیرها را برای بسته های داده برای سفر به مقاصد آدرس IP مورد نظر خود تعیین کند، وجود ندارد. BGP این نقش را بر عهده دارد. اگر BGP نبود، ترافیک وب به دلیل مسیریابی ناکارآمد می تواند زمان زیادی را برای رسیدن به مقصد نیاز داشته باشد و یا هرگز به مقصد مورد نظر نرسند.

چگونه می توان BGP hijacking را انجام داد؟

وقتی یک AS مسیری را به IP prefixe ها اعلام می کند که در واقع آنرا کنترل نمی کند، این اطلاعیه، اگر فیلتر نشده باشد، می تواند گسترش یابد و به جداول مسیریابی در روترهای BGP در اینترنت اضافه شود. از آن زمان تا زمانی که کسی مسیرها را متوجه شود و تصحیح کند، ترافیک به آن IP ها به آن AS هدایت می شود.

BGP همیشه کوتاهترین و خاص ترین مسیر را به آدرس IP مورد نظر ترجیح می دهد. برای موفقیت در BGP hijacking، اعلام مسیر باید به شرح زیر باشد:

۱) با اعلام محدوده کوچکتر آدرس های IP نسبت به سایر AS ها که قبلاً اعلام کرده بودند، مسیر مشخص تری را ارائه دهید.

۲) یک مسیر کوتاهتر به بلوک های خاصی از آدرس های IP ارائه دهید. علاوه بر این، فقط هر کسی نمی تواند مسیرهای BGP را به اینترنت بزرگتر اعلام کند. برای اینکه یک BGP hijacking رخ دهد، اعلام باید توسط اپراتور AS یا یک بازیگر تهدید که AS را به خطر انداخته باشد (مورد دوم نادرتر است) انجام شود.

ممکن است تعجب آور باشد که اپراتور یک شبکه بزرگ یا گروهی از شبکه ها، که بسیاری از آنها ISP هستند، به طرز گستاخانه ای چنین فعالیت مخربی را انجام دهند. اما با توجه به این که بر اساس برخی محاسبات در حال حاضر بیش از ۸۰،۰۰۰ سیستم autonomous در سطح جهان وجود دارد، جای تعجب نیست که برخی از آنها غیرقابل اعتماد باشند. علاوه بر این، BGP hijacking همیشه واضح یا آسان نیست. بازیگران بد ممکن است فعالیت خود را در پشت AS های دیگر استتار کنند، یا ممکن است بلوک های بلااستفاده از IP را اعلام کنند که احتمالاً مورد توجه قرار نمی گیرد.

وقتی BGP hijacking انجام شود چه اتفاقی می افتد؟

در نتیجه BGP hijacking، ترافیک اینترنت می تواند راه اشتباهی را طی کند، تحت نظارت قرار گیرد یا رهگیری شود ، ” black holed شود” یا به عنوان بخشی از حمله در راه به وب سایت های جعلی هدایت شود. علاوه بر این، اسپمرها می توانند از BGP hijacking یا از شبکه AS که BGP Hijacking را تمرین می کند، استفاده کنند تا IP های قانونی را برای اهداف هرزنامه جعل کنند. از نظر کاربر، زمان بارگذاری صفحه افزایش می یابد زیرا درخواست ها و پاسخ ها کارآمدترین مسیر شبکه را دنبال نمی کنند و حتی ممکن است بدون نیاز به سراسر جهان سفر کنند.

در بهترین حالت ترافیک فقط یک مسیر طولانی غیر ضروری را طی می کند و تأخیر را افزایش می دهد. در بدترین حالت، یک مهاجم می تواند در حال انجام حمله ای باشد یا کاربران را برای سرقت اطلاعات کاربری به وب سایت های جعلی هدایت کند.

BGP hijacking در دنیای واقعی

نمونه های زیادی از ربودن عمدی BGP در دنیای واقعی وجود دارد. به عنوان مثال، در آوریل ۲۰۱۸ ، یک ارائه دهنده روسی تعدادی از IP prefixes (گروه آدرس های IP) را اعلام کرد که در واقع متعلق به سرورهای DNS Route53 Amazon هستند. به طور خلاصه، نتیجه نهایی این بود که کاربرانی که قصد ورود به یک سایت ارزهای رمزنگاری شده را داشتند، به نسخه جعلی وب سایت تحت کنترل هکرها هدایت شدند. بنابراین هکرها توانستند حدود ۱۵۲،۰۰۰ دلار ارز رمزنگاری شده را سرقت کنند. (برای روشن شدن بیشتر: از طریق ربودن BGP ، هکرها درخواستهای DNS آمازون را ربودند تا درخواستهای DNS برای myetherwallet.com به سرورهایی که آنها را کنترل کرده بودند رفت، آدرس IP اشتباه را برگرداند و درخواستهای HTTP را به وب سایت جعلی هدایت کرد.)

موارد سهوی BGP hijacking نیز شایع است و می تواند تأثیر منفی بر کل اینترنت جهانی داشته باشد. در سال ۲۰۰۸، مخابرات پاکستان متعلق به دولت پاکستان سعی کرد با به روز رسانی مسیرهای BGP خود برای وب سایت، یوتیوب را در داخل پاکستان سانسور کند. ظاهراً تصادفی بود، مسیرهای جدید به ارائه دهندگان بالادستی مخابرات پاکستان اعلام شد و از آنجا به کل اینترنت پخش شد. ناگهان، همه درخواست های وب برای Youtube به مخابرات پاکستان هدایت شد، و در نتیجه تقریباً کل اینترنت وب سایت را برای چند ساعت قطع کرد و ISP را به شدت تحت فشار قرار داد.

چگونه کاربران و شبکه ها می توانند از خود در برابر BGP hijacking دفاع کنند؟

گذشته از نظارت مداوم بر نحوه هدایت ترافیک اینترنتی، کاربران و شبکه ها می توانند اقداماتی را برای جلوگیری از سرقت BGP انجام دهند.

فیلتر کردن IP prefix ها

اکثر شبکه ها فقط باید در صورت لزوم اعلامیه های پیش شماره IP را بپذیرند و فقط باید پیشوندهای IP خود را به شبکه های خاصی اعلام کنند، نه به کل اینترنت. انجام این کار به جلوگیری از ربودن تصادفی مسیر کمک می کند و می تواند AS را از پذیرش اعلان های IP prefix های جعلی باز دارد. با این حال، در عمل اجرای این امر دشوار است.

تشخیص BGP hijacking

افزایش تأخیر، افت عملکرد شبکه و ترافیک اینترنتی نادرست همه علائم احتمالی ربودن BGP هستند. بسیاری از شبکه های بزرگتر برای اطمینان از اینکه مشتریان خود با مشکلات تاخیری روبرو نیستند، به روز رسانی BGP را زیر نظر خواهند داشت و برخی از محققان امنیتی در واقع ترافیک اینترنت را رصد کرده و یافته های خود را منتشر می کنند.

امنیت بیشتر BGP

BGP برای کارکردن اینترنت طراحی شده است و مطمئناً این کار را می کند. اما BGP با در نظر داشتن امنیت طراحی نشده است. راه حلهای مسیریابی امن تری برای اینترنت به طور کلی (مانند BGPsec) در حال توسعه است، اما هنوز تصویب نشده است. در حال حاضر، BGP ذاتاً آسیب پذیر است و همچنان آسیب پذیر باقی خواهد ماند.