Введение
Я посоветовался с несколькими людьми, стоит ли публиковать это от своего имени или попросить кого-то другого — материал действительно заслуживает широкого внимания. Информация критически важна не только для администраторов и операторов сервисов, но и для покупателей, продавцов, сотрудников и обычных пользователей даркнета.
Для полного понимания ситуации желательно немного разбираться в предыстории. Рекомендую сначала прочитать мой предыдущий пост, в котором я рассказывал об операции RapTor, начатой совсем недавно http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/138895/
Если ты уже знаком с тем материалом, то понимаешь суть. Уязвимости BGP, межгосударственное сотрудничество спецслужб (всё это ломает модель безопасности Tor) и игнорирование важности физического размещения серверов (хороший пример маркетплейс Archetyp).
Почему админы продолжают размещать серверы в Нидерландах, Германии (Hydra) и других странах, которые точно не являются «bulletproof»?
Для многих это может стать сюрпризом, но установка сервера за Tor это далеко не вся защита вашей инфраструктуры. На самом деле это только одна из составляющих.
Так называемые “bulletproof” (устойчивые к вмешательству) хостеры далеко не всегда таковыми являются.
Администратору или оператору сервиса нужно быть предельно осторожным и не слепо доверять хостинг-провайдерам. Особенно тем, кто утверждает, что полностью игнорирует запросы от правоохранителей, рекламируется в основном на хакерских форумах, и часто указывает экзотические юрисдикции, как гарант конфиденциальности.
Рассмотрим пример из реальной практики без имён.
Допустим, вы оператор даркнет-маркета. Вы хотите сменить текущий хостинг на более «надёжный». Начинаете поиски, и находите объявление на хакерском форуме: выделенные серверы в Белизе. Звучит отлично, правда? Удалённая страна, слабое сотрудничество с США и ЕС, правовая система с историей защиты приватности. Рай для даркнета?
Как и всё, что звучит слишком хорошо — скорее всего, это обман. При проверке IP-адресов, которые рекламирует этот хостер
Но как такое возможно? — спросите вы. Услуга же стоит в 10 раз дороже из-за "bulletproof"-поддержки и офшорного размещения. Как вообще сигнал из Белиза может напрямую идти в Германию? Потому что вас обманули.
Физическое местоположение vs Виртуальное местоположение
Многие так называемые bulletproof-провайдеры арендуют серверы или стойки в дата-центрах с хорошей пропускной способностью и техническими характеристиками. Германия и Нидерланды отлично подходят под эти цели дёшево и качественно. Однако вам это преподносят как эксклюзивный офшорный сервис по завышенной цене. На деле же им нет дела до ваших данных или риска, что ваш проект внезапно прикроют. На практике они просто анонсируют IP-диапазоны которые якобы принадлежат другим странам. Многие из таких провайдеров ещё и подделывают своё местоположение (и это не только подмена геолокации через базы данных).
Когда вы читаете в их условиях использования фразы вроде
бегите от такого провайдера. Не все провайдеры честно указывают это в мелком шрифте иногда вы узнаёте правду уже слишком поздно. Всегда проверяйте, проверяйте, проверяйте.
Вы, наверное, подумали но разве правоохранительные органы не борются с подобной практикой? Нет. OVHCloud спокойно этим пользуется и многие другие компании тоже. В том числе и те VPN-сервисы, которым вы доверяете. Вы думаете, что подключены к серверу на Багамах, а на деле сидите в Бразилии. Такое происходит постоянно.
Представьте: вы арендуете сервер в Литве или Швейцарии, думая, что таким образом обошли «Глаз» (Five Eyes и им подобные), а на деле ваш сервер всё время находится в Германии или Франции — просто потому, что хостинг-провайдер установил геолокацию именно этой страны. Вот такая большая шутка.
Именно поэтому многие группы APT (продвинутых хакерских атак) попадаются с поличным — они могут понимать, как запустить пару инструментов и взломать что-то, но не осознают сути технологий, лежащих в основе всего, включая сервера, которые используют. Вот в чём разница между настоящим профи и среднестатистическим хакером.
В случае с Hydra сервера могли рекламироваться в одной стране, а фактически располагаться в Нидерландах (там часто анонсируются IP-адреса). Аналогичная ситуация могла быть и с Archetyp — по моему мнению, админ Archetyp не был настолько глуп, чтобы размещать всё в Нидерландах. Но вполне возможно, что он был введён в заблуждение bulletproof-провайдерами, которые сделали его слишком спокойным и уверенным в своей безопасности. Возможно, они вовсе не были «bulletproof», а просто спрятали важные моменты в мелком шрифте — поэтому мой совет снова: проверяйте, проверяйте и ещё раз проверяйте.
Вот почему я обращаюсь ко всем администраторам маркетов и операторам сервисов: проверяйте свои сети и реальные локации серверов. Проверяйте маршруты и пути, по которым проходит трафик. Так же, как вы проверяете PGP-подписи и подписанные бинарники (лучше всегда компилировать самим), так же тщательно проверяйте слова хостеров о местоположении.
Существует множество способов это сделать самый простой тест traceroute. У большинства bulletproof-провайдеров стоят фаерволы, блокирующие такие запросы, так что придётся проявить креативность, например
Для более защищённых сетей можно запускать сканирование nmap, например так (учтите, что большинство интернет-провайдеров блокируют порт 113)
И, наконец, чаще всего можно провести firewalk как снаружи, так и изнутри сети.
Существуют и более продвинутые техники. Один быстрый совет попросите хостера установить маршрутизатор перед вашим сервером: через него можно обходить некоторые ограничения (поисследуйте сами, почему это работает). Также полезно контролировать всё IP-пространство.
Зачем всё это нужно? Иногда, случайно или целенаправленно, вы можете определить определённые шлюзы, которые подскажут, где физически находится сервер, к каким IX он подключается чаще всего, и таким образом нарисовать карту маршрутов вашего сервера.
Дополнительные шаги по безопасности
Проверка реального местоположения это только базовые первые шаги. Теперь вам нужно защитить своё AS/IP-пространство.
Обычные пользователи (не администраторы)
Если вы обычный пользователь и думаете, как можно пойти дальше и применить некоторые из доступных сетевых мер защиты, начните с этого:
1) Проверьте, поддерживает ли ваш личный интернет-провайдер и промежуточные узлы на пути протокол RPKI.
2) Проверьте, поддерживает ли RPKI любой из ваших арендованных VPS, которые вы используете для узлов Monero или других сервисов, и правильно ли настроена фильтрация (тот же сайт isbgpsafeyet.com поможет).
3) Проверьте апстрим-провайдеров и пиринговые подключения вашего VPS с помощью
4) Используйте traceroute, чтобы выполнить базовую проверку и убедиться, что ваш хостинг-провайдер не скрывает реальное местоположение серверов.
Могут быть законные причины, по которым команда traceroute получает тайм-ауты, но если хостинг — bulletproof и при этом постоянно блокирует такие проверки, значит, наверняка пытаются что-то скрыть на сетевом уровне.
Администраторам и операторам сервисов
1) Используйте traceroute, nmap, firewalk и другие описанные инструменты и методы для оценки реального физического местоположения ваших серверов.
2) Используйте инструменты BGPstream и ExaBGP для защиты периметра вашей сети.
Установите libbgpstream github com/CAIDA/libbgpstream, ExaBGP можно установить напрямую.
В настоящее время они работают с RouteViews после недавнего сбоя. Стоит отметить, что RouteViews не предоставляет оповещения в реальном времени, как BGPmon, но всё равно остаётся очень полезным инструментом.
Используйте базу данных RIPE, чтобы проверить анонсируемые префиксы ASN, которые вы хотите мониторить, и сверяйте данные. Вы можете очень просто написать для этого собственный инструмент.
3) Спросите у вашего хостинг-провайдера о мерах защиты BGP: фильтрация префиксов BGP, BGP TTLSEC (GTSM), ROV (в сочетании с RPKI), RPKI...
4) Убедитесь, что ваши серверы находятся в защищённых, с включённым RPKI и корректной фильтрацией, AS/IP-пространствах (bgp.tools).
Подробнее о BGP
Если вы обычный пользователь, который не управляет сервисом и не является администратором можете прекратить чтение здесь. Но если вам интересно продолжайте.
Я уже объяснял, как важно владеть своим AS/IP-пространством, но предупреждаю оно публично анонсируется. Если вы оператор маркетплейса или сервиса, стоит рассмотреть не только индивидуальных, но и (разумеется фиктивных) юридических лиц для аренды серверов. Это даст вам дополнительные преимущества, включая возможность оплачивать услуги картой или банковским переводом, что сделает ваш аккаунт менее подозрительным.
Когда все требования соблюдены, вы можете использовать инструменты мониторинга BGP и создавать специальные правила для отслеживания конкретных ASN. Можно направлять и принудительно менять маршруты трафика, принимать только локальных пиров и многое другое. Например, в одном 6-часовом периоде использовать один маршрут, в другом — другой, переключать маршруты каждый час или делать это в случайном порядке. Всё это создаёт расхождения в инструментах, которые пытаются определить реальное местоположение вашего сервера, особенно в сетях вроде Tor.
Известные BGP-атаки
2014 — DNS-запросы к myetherwallet.com были перенаправлены, в результате чего было украдено миллионы.
2017 — атакованы Google, Apple, Facebook, Microsoft, TwitchTV, Riot Games.
2018 — атака на Google.
2018 — захват Celer Bridge.
2019 — Тайвань пострадал от BGP-атаки.
2019 — пострадали европейские телекоммуникационные сети.
2020 — атакованы Akamai, Amazon, Alibaba.
2020 — пострадал Telstra.
2022 — атака на Balancer.fi через BGP-хайджек.
2022 — BGP-атака на KLAYswap.
Много других атак не упомянуты, и ещё больше — остаются незамеченными.
Другие типы BGP-атак
Что важно проверять в BGP?
В RFC4271 описаны несколько ключевых моментов аутентификация, проверка происхождения (Validation of Origin), проверка маршрута (Path) и проверка атрибутов.
Если вы администратор или оператор сервиса, возможно, задаётесь вопросом: как именно и где нужно себя защищать? Фильтрация должна выполняться максимально близко к краевым узлам это могут быть ваши Endgame-инстансы или самые фронтендовые инстансы после Endgame. Поскольку теперь вы обладаете всей необходимой сетевой информацией о своих серверах, используйте это в своих целях. Для максимальной эффективности всегда указывайте, через какие маршруты вы хотите, чтобы трафик ваших серверов проходил вверх по цепочке или через пиринговые подключения. Похожим образом, как в фаерволе, можно делать белые списки разрешённых маршрутов и чёрные списки запрещённых. Однако стоит помнить, что чрезмерное ограничение может негативно сказаться на рандомизации выбора маршрутов, которую обеспечивает Tor. Поэтому сначала хорошо разберитесь, а потом применяйте эти настройки с умом.
Безопасность в BGP
Я уже упоминал, что стоит спросить у вашего хостера о различных мерах безопасности BGP: фильтрация префиксов BGP, BGP TTLSEC (GTSM), ROV (в сочетании с RPKI), RPKI. Сейчас я подробнее расскажу о некоторых из них, которые особенно важны для администраторов и операторов сервисов.
Фильтрация BGP-префиксов
Если вы можете разместить маршрутизатор перед своим сетевым пространством, это значительно повысит вашу защиту в том числе от действий правоохранительных органов, по сравнению с обычными условиями. С помощью фильтрации можно настроить маршрутизатор так, чтобы он принимал только определённые BGP-анонсы — строго от тех IP-диапазонов, которые вам нужны. Это существенно снижает вероятность того, что вы примете вредоносные маршруты или станете жертвой BGP-хайджека. Эта техника также позволяет принимать только релевантных пиров (peer’ов), связанных с вашим сетевым пространством, что уменьшает риск утечки маршрутов (route leaks).
BGP TTLSEC (GTSM)
Ещё один более продвинутый способ защитить BGP-сессии проверка TTL (Time To Live) всех входящих пакетов. Суть метода в том, чтобы использовать протокол для приёма только локальных peer-пакетов — маршрутизатор принимает соединения только от соседей, находящихся на одном канальном уровне и отклоняет любые BGP-пакеты, пришедшие с меньшим TTL, что означает от удалённого источника. Это позволяет предотвратить несанкционированные подключения и атаки на BGP-сессию (в том числе спуфинг и hijack), усиливая доверие к пиринговым соединениям.
Делайте больше, чем требует минимум
Не бойтесь добавить небольшую задержку в работу маркетов, магазинов или форумов. Такие проекты не чувствительны к задержкам это же не видеостриминг. Наоборот, слишком низкая задержка (low latency), как в сети Tor, часто ассоциируется (грубо говоря) с более лёгкой идентификацией, по сравнению с другими типами сетей, такими как микс-сети (mixnets).
Внешние серверы мониторинга, расположенные в разных регионах мира, могут анализировать лучшие и наиболее часто используемые маршруты. Любые изменения потенциальный сигнал тревоги. Конечно, будет много ложных срабатываний: например, в воскресенье по пути A может идти больше трафика, а в понедельник меньше. Но со временем, особенно в сочетании с другими инструментами и базами данных, вы сможете выстроить достаточно надёжную и «домашнюю» систему защиты.
RPKI — этого недостаточно
Позвольте цитате сказать всё за себя.
Не всё идеально, и как в жизни многие меры защиты можно обойти.
Скрытные BGP-атаки
Обязательно прочитайте всю статью в ней содержится множество действительно интересных и ценных наблюдений.
Заключительные слова
В заключение хочу настоятельно порекомендовать прочитать эту статью, чтобы получить актуальное и полное представление о текущем состоянии и методах BGP-атак.
Судьба ваших пользователей лежит на плечах админов, независимо от того, используете ли вы PGP или другие методы защиты. Администраторы — по сути, сторожевые вратари сети. Те, кто высокомерен, отказывается изучать историю и технологии, не стремится развиваться и работать в команде... Те, кто не готовы приложить максимум усилий для защиты своей инфраструктуры, сетей и сотрудников — обречены пасть от рук тех, кто пытается подавить свободу и информацию по всему миру. Не становитесь жертвой, получайте знания и пусть ваши орехи висят.
Я посоветовался с несколькими людьми, стоит ли публиковать это от своего имени или попросить кого-то другого — материал действительно заслуживает широкого внимания. Информация критически важна не только для администраторов и операторов сервисов, но и для покупателей, продавцов, сотрудников и обычных пользователей даркнета.
Для полного понимания ситуации желательно немного разбираться в предыстории. Рекомендую сначала прочитать мой предыдущий пост, в котором я рассказывал об операции RapTor, начатой совсем недавно http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/138895/
Если ты уже знаком с тем материалом, то понимаешь суть. Уязвимости BGP, межгосударственное сотрудничество спецслужб (всё это ломает модель безопасности Tor) и игнорирование важности физического размещения серверов (хороший пример маркетплейс Archetyp).
Почему админы продолжают размещать серверы в Нидерландах, Германии (Hydra) и других странах, которые точно не являются «bulletproof»?
Для многих это может стать сюрпризом, но установка сервера за Tor это далеко не вся защита вашей инфраструктуры. На самом деле это только одна из составляющих.
Так называемые “bulletproof” (устойчивые к вмешательству) хостеры далеко не всегда таковыми являются.
Администратору или оператору сервиса нужно быть предельно осторожным и не слепо доверять хостинг-провайдерам. Особенно тем, кто утверждает, что полностью игнорирует запросы от правоохранителей, рекламируется в основном на хакерских форумах, и часто указывает экзотические юрисдикции, как гарант конфиденциальности.
Рассмотрим пример из реальной практики без имён.
Допустим, вы оператор даркнет-маркета. Вы хотите сменить текущий хостинг на более «надёжный». Начинаете поиски, и находите объявление на хакерском форуме: выделенные серверы в Белизе. Звучит отлично, правда? Удалённая страна, слабое сотрудничество с США и ЕС, правовая система с историей защиты приватности. Рай для даркнета?
Как и всё, что звучит слишком хорошо — скорее всего, это обман. При проверке IP-адресов, которые рекламирует этот хостер
Вы вдруг обнаруживаете, что единственный апстрим-провайдер у вашего будущего райского хостинга — компания из Германии. Единственный пир? Та же самая компания в Германии. Теперь вы в ловушке весь трафик проходит через одни и те же ASN, и отследить ваши серверы стало проще, чем когда-либо.
Но как такое возможно? — спросите вы. Услуга же стоит в 10 раз дороже из-за "bulletproof"-поддержки и офшорного размещения. Как вообще сигнал из Белиза может напрямую идти в Германию? Потому что вас обманули.
Физическое местоположение vs Виртуальное местоположение
Многие так называемые bulletproof-провайдеры арендуют серверы или стойки в дата-центрах с хорошей пропускной способностью и техническими характеристиками. Германия и Нидерланды отлично подходят под эти цели дёшево и качественно. Однако вам это преподносят как эксклюзивный офшорный сервис по завышенной цене. На деле же им нет дела до ваших данных или риска, что ваш проект внезапно прикроют. На практике они просто анонсируют IP-диапазоны которые якобы принадлежат другим странам. Многие из таких провайдеров ещё и подделывают своё местоположение (и это не только подмена геолокации через базы данных).
Когда вы читаете в их условиях использования фразы вроде
бегите от такого провайдера. Не все провайдеры честно указывают это в мелком шрифте иногда вы узнаёте правду уже слишком поздно. Всегда проверяйте, проверяйте, проверяйте.
Вы, наверное, подумали но разве правоохранительные органы не борются с подобной практикой? Нет. OVHCloud спокойно этим пользуется и многие другие компании тоже. В том числе и те VPN-сервисы, которым вы доверяете. Вы думаете, что подключены к серверу на Багамах, а на деле сидите в Бразилии. Такое происходит постоянно.
OVHCloud сказал(а):
| Регионы | Доступные страны геолокации IP |
| Германия | Франция, Ирландия, Португалия, Великобритания, Италия, Швейцария, Испания, Польша, Чехия, Нидерланды, Финляндия, Литва, Германия и Бельгия. |
| Франция | Франция, Ирландия, Португалия, Великобритания, Италия, Швейцария, Испания, Польша, Чехия, Нидерланды, Финляндия, Литва, Германия и Бельгия. |
Представьте: вы арендуете сервер в Литве или Швейцарии, думая, что таким образом обошли «Глаз» (Five Eyes и им подобные), а на деле ваш сервер всё время находится в Германии или Франции — просто потому, что хостинг-провайдер установил геолокацию именно этой страны. Вот такая большая шутка.
Именно поэтому многие группы APT (продвинутых хакерских атак) попадаются с поличным — они могут понимать, как запустить пару инструментов и взломать что-то, но не осознают сути технологий, лежащих в основе всего, включая сервера, которые используют. Вот в чём разница между настоящим профи и среднестатистическим хакером.
В случае с Hydra сервера могли рекламироваться в одной стране, а фактически располагаться в Нидерландах (там часто анонсируются IP-адреса). Аналогичная ситуация могла быть и с Archetyp — по моему мнению, админ Archetyp не был настолько глуп, чтобы размещать всё в Нидерландах. Но вполне возможно, что он был введён в заблуждение bulletproof-провайдерами, которые сделали его слишком спокойным и уверенным в своей безопасности. Возможно, они вовсе не были «bulletproof», а просто спрятали важные моменты в мелком шрифте — поэтому мой совет снова: проверяйте, проверяйте и ещё раз проверяйте.
Вот почему я обращаюсь ко всем администраторам маркетов и операторам сервисов: проверяйте свои сети и реальные локации серверов. Проверяйте маршруты и пути, по которым проходит трафик. Так же, как вы проверяете PGP-подписи и подписанные бинарники (лучше всегда компилировать самим), так же тщательно проверяйте слова хостеров о местоположении.
Существует множество способов это сделать самый простой тест traceroute. У большинства bulletproof-провайдеров стоят фаерволы, блокирующие такие запросы, так что придётся проявить креативность, например
Значения таймаутов можно увеличить, чтобы избежать их срабатывания при медленных ответах. Для трассировки можно использовать TCP, если заранее определить открытый порт с помощью nmap. Хотите больше опций? Введите man traceroute и изучите руководство. Базовые инструменты, такие как ping, тоже помогут получить дополнительную информацию.
Для более защищённых сетей можно запускать сканирование nmap, например так (учтите, что большинство интернет-провайдеров блокируют порт 113)
Сканировать и проверять каждый промежуточный узел — трудоёмкая задача, но её стоит выполнять. Также можно попробовать фрагментировать пакеты, чтобы обойти фильтры.
И, наконец, чаще всего можно провести firewalk как снаружи, так и изнутри сети.
Воспользуйтесь командой man firewalk для получения подробной информации.
firewalk | Kali Linux Tools
firewalk Usage Example Scan ports 8079-8081 (-S8079-8081) through the eth0 interface (-i eth0), do not resolve hostnames (-n), use TCP (-pTCP) via the gateway (192.168.1.1) against the target IP (192.168.0.1): root@kali:~# firewalk -S8079-8081 -i eth0 -n -pTCP 192.168.1.1 192.168.0.1 Firewalk...www.kali.org
Существуют и более продвинутые техники. Один быстрый совет попросите хостера установить маршрутизатор перед вашим сервером: через него можно обходить некоторые ограничения (поисследуйте сами, почему это работает). Также полезно контролировать всё IP-пространство.
Зачем всё это нужно? Иногда, случайно или целенаправленно, вы можете определить определённые шлюзы, которые подскажут, где физически находится сервер, к каким IX он подключается чаще всего, и таким образом нарисовать карту маршрутов вашего сервера.
Дополнительные шаги по безопасности
Проверка реального местоположения это только базовые первые шаги. Теперь вам нужно защитить своё AS/IP-пространство.
Обычные пользователи (не администраторы)
Если вы обычный пользователь и думаете, как можно пойти дальше и применить некоторые из доступных сетевых мер защиты, начните с этого:
1) Проверьте, поддерживает ли ваш личный интернет-провайдер и промежуточные узлы на пути протокол RPKI.
2) Проверьте, поддерживает ли RPKI любой из ваших арендованных VPS, которые вы используете для узлов Monero или других сервисов, и правильно ли настроена фильтрация (тот же сайт isbgpsafeyet.com поможет).
3) Проверьте апстрим-провайдеров и пиринговые подключения вашего VPS с помощью
4) Используйте traceroute, чтобы выполнить базовую проверку и убедиться, что ваш хостинг-провайдер не скрывает реальное местоположение серверов.
Могут быть законные причины, по которым команда traceroute получает тайм-ауты, но если хостинг — bulletproof и при этом постоянно блокирует такие проверки, значит, наверняка пытаются что-то скрыть на сетевом уровне.
Администраторам и операторам сервисов
1) Используйте traceroute, nmap, firewalk и другие описанные инструменты и методы для оценки реального физического местоположения ваших серверов.
2) Используйте инструменты BGPstream и ExaBGP для защиты периметра вашей сети.
Установите libbgpstream github com/CAIDA/libbgpstream, ExaBGP можно установить напрямую.
В настоящее время они работают с RouteViews после недавнего сбоя. Стоит отметить, что RouteViews не предоставляет оповещения в реальном времени, как BGPmon, но всё равно остаётся очень полезным инструментом.
Используйте базу данных RIPE, чтобы проверить анонсируемые префиксы ASN, которые вы хотите мониторить, и сверяйте данные. Вы можете очень просто написать для этого собственный инструмент.
3) Спросите у вашего хостинг-провайдера о мерах защиты BGP: фильтрация префиксов BGP, BGP TTLSEC (GTSM), ROV (в сочетании с RPKI), RPKI...
4) Убедитесь, что ваши серверы находятся в защищённых, с включённым RPKI и корректной фильтрацией, AS/IP-пространствах (bgp.tools).
Подробнее о BGP
Если вы обычный пользователь, который не управляет сервисом и не является администратором можете прекратить чтение здесь. Но если вам интересно продолжайте.
Я уже объяснял, как важно владеть своим AS/IP-пространством, но предупреждаю оно публично анонсируется. Если вы оператор маркетплейса или сервиса, стоит рассмотреть не только индивидуальных, но и (разумеется фиктивных) юридических лиц для аренды серверов. Это даст вам дополнительные преимущества, включая возможность оплачивать услуги картой или банковским переводом, что сделает ваш аккаунт менее подозрительным.
Когда все требования соблюдены, вы можете использовать инструменты мониторинга BGP и создавать специальные правила для отслеживания конкретных ASN. Можно направлять и принудительно менять маршруты трафика, принимать только локальных пиров и многое другое. Например, в одном 6-часовом периоде использовать один маршрут, в другом — другой, переключать маршруты каждый час или делать это в случайном порядке. Всё это создаёт расхождения в инструментах, которые пытаются определить реальное местоположение вашего сервера, особенно в сетях вроде Tor.
Известные BGP-атаки
2014 — DNS-запросы к myetherwallet.com были перенаправлены, в результате чего было украдено миллионы.
2017 — атакованы Google, Apple, Facebook, Microsoft, TwitchTV, Riot Games.
2018 — атака на Google.
2018 — захват Celer Bridge.
2019 — Тайвань пострадал от BGP-атаки.
2019 — пострадали европейские телекоммуникационные сети.
2020 — атакованы Akamai, Amazon, Alibaba.
2020 — пострадал Telstra.
2022 — атака на Balancer.fi через BGP-хайджек.
2022 — BGP-атака на KLAYswap.
Много других атак не упомянуты, и ещё больше — остаются незамеченными.
Другие типы BGP-атак
Что важно проверять в BGP?
В RFC4271 описаны несколько ключевых моментов аутентификация, проверка происхождения (Validation of Origin), проверка маршрута (Path) и проверка атрибутов.
Если вы администратор или оператор сервиса, возможно, задаётесь вопросом: как именно и где нужно себя защищать? Фильтрация должна выполняться максимально близко к краевым узлам это могут быть ваши Endgame-инстансы или самые фронтендовые инстансы после Endgame. Поскольку теперь вы обладаете всей необходимой сетевой информацией о своих серверах, используйте это в своих целях. Для максимальной эффективности всегда указывайте, через какие маршруты вы хотите, чтобы трафик ваших серверов проходил вверх по цепочке или через пиринговые подключения. Похожим образом, как в фаерволе, можно делать белые списки разрешённых маршрутов и чёрные списки запрещённых. Однако стоит помнить, что чрезмерное ограничение может негативно сказаться на рандомизации выбора маршрутов, которую обеспечивает Tor. Поэтому сначала хорошо разберитесь, а потом применяйте эти настройки с умом.
Безопасность в BGP
Я уже упоминал, что стоит спросить у вашего хостера о различных мерах безопасности BGP: фильтрация префиксов BGP, BGP TTLSEC (GTSM), ROV (в сочетании с RPKI), RPKI. Сейчас я подробнее расскажу о некоторых из них, которые особенно важны для администраторов и операторов сервисов.
Фильтрация BGP-префиксов
Если вы можете разместить маршрутизатор перед своим сетевым пространством, это значительно повысит вашу защиту в том числе от действий правоохранительных органов, по сравнению с обычными условиями. С помощью фильтрации можно настроить маршрутизатор так, чтобы он принимал только определённые BGP-анонсы — строго от тех IP-диапазонов, которые вам нужны. Это существенно снижает вероятность того, что вы примете вредоносные маршруты или станете жертвой BGP-хайджека. Эта техника также позволяет принимать только релевантных пиров (peer’ов), связанных с вашим сетевым пространством, что уменьшает риск утечки маршрутов (route leaks).
BGP TTLSEC (GTSM)
Ещё один более продвинутый способ защитить BGP-сессии проверка TTL (Time To Live) всех входящих пакетов. Суть метода в том, чтобы использовать протокол для приёма только локальных peer-пакетов — маршрутизатор принимает соединения только от соседей, находящихся на одном канальном уровне и отклоняет любые BGP-пакеты, пришедшие с меньшим TTL, что означает от удалённого источника. Это позволяет предотвратить несанкционированные подключения и атаки на BGP-сессию (в том числе спуфинг и hijack), усиливая доверие к пиринговым соединениям.
Делайте больше, чем требует минимум
Не бойтесь добавить небольшую задержку в работу маркетов, магазинов или форумов. Такие проекты не чувствительны к задержкам это же не видеостриминг. Наоборот, слишком низкая задержка (low latency), как в сети Tor, часто ассоциируется (грубо говоря) с более лёгкой идентификацией, по сравнению с другими типами сетей, такими как микс-сети (mixnets).
Внешние серверы мониторинга, расположенные в разных регионах мира, могут анализировать лучшие и наиболее часто используемые маршруты. Любые изменения потенциальный сигнал тревоги. Конечно, будет много ложных срабатываний: например, в воскресенье по пути A может идти больше трафика, а в понедельник меньше. Но со временем, особенно в сочетании с другими инструментами и базами данных, вы сможете выстроить достаточно надёжную и «домашнюю» систему защиты.
RPKI — этого недостаточно
Позвольте цитате сказать всё за себя.
Не всё идеально, и как в жизни многие меры защиты можно обойти.
Скрытные BGP-атаки
Обязательно прочитайте всю статью в ней содержится множество действительно интересных и ценных наблюдений.
Скрытные BGP-атаки происходят постоянно, и многие из нас могли стать их жертвами как целенаправленно, так и случайно. Их используют, чтобы отслеживать трафик на определённые сайты, особенно если эти сайты скрыты за сетью Tor. Они способны перенаправлять маршруты, если вы постоянно используете одни и те же узлы. Такие атаки позволяют точно выцеливать конкретных пользователей и влиять только на их трафик. Чтобы защититься рандомизируйте маршруты, усложняйте анализ, шифруйте трафик.
Заключительные слова
В заключение хочу настоятельно порекомендовать прочитать эту статью, чтобы получить актуальное и полное представление о текущем состоянии и методах BGP-атак.
Судьба ваших пользователей лежит на плечах админов, независимо от того, используете ли вы PGP или другие методы защиты. Администраторы — по сути, сторожевые вратари сети. Те, кто высокомерен, отказывается изучать историю и технологии, не стремится развиваться и работать в команде... Те, кто не готовы приложить максимум усилий для защиты своей инфраструктуры, сетей и сотрудников — обречены пасть от рук тех, кто пытается подавить свободу и информацию по всему миру. Не становитесь жертвой, получайте знания и пусть ваши орехи висят.
Последнее редактирование:
