Spamhaus最近报告的一些路线劫持事件引起了我们的注意。在许多此类劫持尝试中,明显的不良行为者利用了未使用的自治系统号码( ASN )。值得注意的是,在这些劫持中,攻击者似乎正在创建虚假的AS_PATH到目的地,将流量误导到意想不到的路径。
通过创建伪造的AS_PATH,劫机者试图将流量引导到通常不该去的地方,同时也试图隐藏他们的身份。劫持者可以从网络路径中剥离足够的信息,从而假装自己是边界网关协议( BGP )前缀的来源。攻击者可以使用此被劫持的路由来拦截流量和用于其他恶意目的。
对于这些情况,有一个简单的解决方案:基本验证BGP对等自治系统( AS )始终将其网络作为通告路由中的“第一个AS”。为了了解这些保护措施的实施情况,我们对几个主要网络进行了压力测试,并研究了它们的BGP实现。请继续阅读,了解我们学到了什么。
检查涉及伪造路径的路由劫持当我们仔细研究路径中不可信的AS关系时,支持参与者正在创建虚假AS_PATH的想法。例如,让我们来看看Spamhaus报告的一起劫持事件,其中涉及属于法国电信公司Orange S.A.的前缀。
使用Monocle工具,我们可以轻松找到与劫持相关的BGP更新消息:我们知道AS1299 ( Arelion )是一个1级网络,这意味着路径右侧的每个AS都描述了上游(客户与提供商)的关系。这意味着AS17072是AS41128的中转供应商, AS17072是AS270118的中转供应商, AS270118是AS199524的中转供应商。