Upload
hll
View
306
Download
1
Embed Size (px)
DESCRIPTION
Alexander Asimov presenting his research on ZeroNights 2012
Citation preview
2
Я программист, мне
математика не нужна
3
Я php программист и «.»
4
Я специалист ИБ,
а сеть это админы
5
Некоторый большой
национальный провайдер
6
Некоторый большой
национальный провайдер
7
Некоторый большой
национальный провайдер
Забивание внутреннего
канала
8
Некоторый большой
национальный провайдер
Забивание внутреннего
канала
9
Кругозор шире
10
Автономная система
Система IP-сетей и маршрутизаторов, управляемых одним или несколькими операторами, имеющими единую политику маршрутизации с Интернетом.
11
Типы АС
Многоинтерфейсные
Транзитные
Ограниченные
AS1
AS2
AS3
AS1
AS2
AS3
AS1
AS2
12
BGP
• Дистанционно векторный протокол;
пример: AS1 AS2 AS2 AS3 AS4
• Политики маршрутизации: отражают экономические отношения между АС;
• BGP «Анонсирует» сеть.
13
Пример АС
AS222
2.2.2.0/24
A
A
14
Пример АС
Все сети
Интернета
A
A
AS222
2.2.2.0/24
15
Пример АС
Все сети
Интернета
A
Default route
A
AS222
2.2.2.0/24
16
Рычаги управления BGP
1. Объявление маршрута
2. Удаление маршрута
3. Prepend Policy
4. Local Pref policy
17
Сетевые аномалии
1. Ошибки в настройке маршрутизаторов;
2. Циклы маршрутизации BGP;
3. Проблемы на уровне СПД.
18
Default route
Default Route
Incomplete route
table
Route loop at last
upstream
No prefix at
loopback interface
19
Default route
• 12514 уязвимых префиксов;
• Может быть использовано для увеличения плеча DoS атаки (* TTL)
• Атака на исчерпание канала;
• А за трафик еще и платить ;)
20
Усилители DDoS атак
• 688 уязвимых префиксов;
• АС может быть использована в качестве усилителя DoS атаки
• Атака нескольких АС одновременно;
21
Циклы маршрутизации BGP
Встроенная защита от
статических циклов
Динамические циклы!
22
Удаление маршрута
AS2 AS3
AS1 AS4
AS-X
AS1 AS2 AS3 AS-X
AS2 AS3 AS-X
AS3 AS-X
AS4 AS-X
default
route
100
200
23
Удаление маршрута
AS2 AS3
AS1 AS4
100
AS-X
200
AS1 AS2 AS3 AS-X
AS2 AS3 AS-X
AS3 --
AS4 AS-X
W
Loop AS2 – AS3
Packet loss AS1, AS2,AS3
default
route
24
Удаление маршрута
AS2 AS3
AS1 AS4
100
AS-X
200
AS1 AS2 AS3 AS-X
AS2 --
AS3 --
AS4 AS-X
W
Loop AS2 – AS3
Packet loss AS1, AS2,AS3
default
route
25
Удаление маршрута
AS2 AS3
AS1 AS4
100
AS-X
200
AS1 AS2 AS3 AS-X
AS2 AS1 AS4 AS-X
AS3 --
AS4 AS-X
W
1 minute problem!
~𝜌 𝑐2𝑝 ∗ 30𝑠
default
route A
26
Prepend Policy
AS2
AS1
AS4
AS3
AS-X
200
AS1 AS-X
AS2 AS3 AS-X
AS3 AS-X
AS4 AS1 AS-X
27
Prepend Policy
AS2
AS1
AS4
AS3
AS-X
200
AS1 AS2 AS3 AS-X
AS2 AS3 AS-X
AS3 AS4 AS1 AS-X
AS4 AS1 AS-X
as-path prepend 5
Loop AS1-AS2-AS3-AS4
A
A
28
Prepend Policy
AS2
AS1
AS4
AS3
AS-X
200
A
W
A
AS1 AS2 AS3 AS-X
AS2 AS3 AS4 AS1 AS-X
AS3 AS4 AS1 AS-X
AS4 AS1 AS2 AS3 AS-X
Loop AS1-AS2-AS3-AS4
29
Prepend Policy
AS2
AS1
AS4
AS3
AS-X
200
AS1 AS-X(5)
AS2 AS3 AS4 AS1 AS-X
AS3 AS-X(5)
AS4 AS1 AS2 AS3 AS-X
More then 1 minute problem
A
A
30
Циклы приоритетов
AS2 AS3
AS1 AS4
200
200
AS-X
200
200
A
A
AS1 --
AS2 --
AS3 AS-X
AS4 AS-X
31
Циклы приоритетов
AS2 AS3
AS1 AS4
200
200
200
200 A
A
AS1 --
AS2 AS3 AS-X
AS3 AS4 AS-X
AS4 AS-X
AS-X
32
Циклы приоритетов
AS2 AS3
AS1 AS4
200
200
200
200
A
AS1 AS2 AS3 AS5 AS-X
AS2 AS3 AS4 AS5 AS-X
AS3 AS4 AS5 AS-X
AS4 AS5 AS-X
A
AS-X
33
Циклы приоритетов
AS2 AS3
AS1 AS4
200
200
200
200
AS1 AS2 AS3 AS4 AS5 AS-X
AS2 AS3 AS4 AS5 AS-X
AS3 AS4 AS5 AS-X
AS4 AS1 AS2 AS3 AS5 AS-X
A
A AS-X
Loop AS1-AS2-AS3-AS4
34
Циклы приоритетов
AS2 AS3
AS1 AS4
200
200
200
200
AS1 AS2 AS3 AS4 AS5 AS-X
AS2 AS3 AS4 AS5 AS-X
AS3 AS5 AS-X
AS4 AS5 AS-X
A
A
Again!
AS-X
35
Контрольная работа
Влияние циклов?
локальное/глобальное
Видимость от источника маршрута?
да/нет
Кто их создает?
источник/другие АС
Можно выйти из цикла
да/нет
36
Ответы
Влияние циклов?
локальное/глобальное
Видимость от источника маршрута?
да/нет
Кто их создает?
источник/другие АС
Можно выйти из цикла?
да/нет
37
BGP Циклы
• 2346 уязвимых префиксов;
• Результат:
• Частичная/полная
недоступность целевой сети;
• Шум сообщений BGP
38
У них проблемы…
AS174 AS3356 AS7018 AS6939 AS701
AS3549 AS209 AS4323 AS1239 AS12389
AS2848 AS3257 AS6461 AS2914 AS8468
AS23148 AS8447 AS20485 AS6830 AS8220
AS8928 AS3303 AS4589 AS42708 AS6453
AS6730 AS31130 AS3491 AS3320 AS8218
AS286 AS702 AS3561 AS20764 AS31323
AS20632 AS4766 AS680 AS29686 AS5089
AS10026 AS12350 AS2516 AS3786 AS12741
AS7575 AS1916 AS2273 AS9498 AS1785
И более чем 4к других АС!
39
Примеры
АС174
• Увеличение плеча DDoS в 17 раз
• Default route: 25 уязвимых префиксов
АС3356-АС3549
• Увеличение плеча DDoS в 8 раз
• BGP циклы: 12 prefixes affected
• Default route: 86 уязвимых префиксов
40
Россия
• Default route 1381
• BGP циклы 31
• Усилители DDoS атак 21
максимально в 11 раз
41
Продолжительность
0,00%
5,00%
10,00%
15,00%
20,00%
25,00%
30,00%
35,00%
40,00%
45,00%
<1h <2h <4h <8h
BGP циклы
Default Routes
Усилители DDoS
42
Тренд
0
2000
4000
6000
8000
10000
12000
14000
16000
Обнаружено
Исправлено
43
Робин Гуд
Hello. During our research project we have detected IP address “*.*.*.*" in AS***, which multiplies ICMP packets. 11 times is a mean value. It is dangerous vulnerability because this IP could be used by attackers to N-times increase DoS attack. This could be harmful for your own network infrastructure and also break down attacked network. Could you tell me for what purpose your router was configured by such way? Hello This is assigned to one of our customers. We cannot see how there equipment is configured. If you believe this is in violation of our Acceptable use policy you can email abuse@***.com to report that.
44
Атака на сетевом уровне
45
Атака на сетевом уровне
46
В «сердце» Интернета
ASX1 ASX2
BGP
2.2.2.0/24
Default
route
4 секунды
=
DDoS*4
47
В «сердце» Интернета
ASX1 ASX2
BGP
2.2.2.0/24
Default
route
4 секунды
=
DDoS*4
Max = 350*DDoS
> 50 amplifiers
Mean = 10*DDoS
Клиентские АС
48
В «сердце» Интернета
ASX1 ASX2
BGP
2.2.2.0/24
Default
route
4 секунды
=
DDoS*4
Max = 350*DDoS
> 50 amplifiers
Mean = 10*DDoS
dst: aplifiers
src: 2.2.2.1
Клиентские АС
49
В «сердце» Интернета
ASX1 ASX2
BGP
2.2.2.0/24
Default
route
4 секунды
=
DDoS*4
Клиентские АС
Max = 350*DDoS
> 50 amplifiers
Mean = 10*DDoS
Итого = 40*DDoS
dst: aplifiers
src: 2.2.2.1
50
Результаты
• Проблемы сети поставщика – это тоже ваши проблемы;
• Проблемы клиентской сети – это ваши проблемы;
• Нестабильность сети может быть невидима со стороны АС-источника.
51
Проверяйте свою сеть.
Дважды