Vlákno názorů k článku Protokol BGP pod útokem od Ondřej Filip - Ahoj Zbynku, prave pro to, aby si utocnik sestavil...
-
Ahoj Zbynku,
prave pro to, aby si utocnik sestavil zpetnou cestu k cili, vysila ty specifictejsi prefixy s prependem, ktery obsahuje cisla AS z te zpetne cesty. Mechanismus na detekci smycek pak zajisti, ze tyto BGP informace se do te cesty nedostanou. V tom je prave ta zasadni inovace proti obycejnemu BGP hijackingu. Utocnik a cil muzou byt pomerne "daleko", rozhodne nemusi byt napojeni na stejne ISP. -
ZP (neregistrovaný)A sice jak potom poslat ta data od utocnika k legitimnimu cili. Na to musi mit utocnik minimalne dve konektivity (do jedne posila svuj podvrzeny prefix) a musi mit zajisteno, ze se jeho mensi prefixy do te druhe konektivity nedostanou (ne pres nej, to je trivialni, ale nekudy jinudy), jinak by vznikl klasicky routing leak a diky nemu se na takovy pokus prislo pomerne rychle. Takze k praktickemu pouziti je nezbytne, aby jedna z utocnikovych konektivit byla od stejneho transitniho operatora, jako ma legitimni odesilatel, protoze komunitami ovlivnim distribuci dat u nej, ale jejich pouziti krz nej dal uz je velmi nejiste. Proto je tento utok teoreticky mozny, ale jeho pouzitelnost je omezena a nezbytne predpoklady k jeho provedeni jsou zcela mimo moznosti 99.99999% utocniku.
No a kazdopadne idealni zpusob, jak tomuto problemu zabranit, je neresit jej, ale resit, aby ta data pripadnemu utocnikovi vubec k nicemu nebyla, pak tento utok sice bude mozny, ale nikdo nebude mit duvod to delat.
ČLÁNKY DO MAILU