紧密跟踪、研究互联网基础资源服务前沿技术,不断进行技术创新和产品孵化,以技术促创新、以创新促发展

扎根域名领域,对行业新技术、新产品、新系统、新服务深入研究并发布行业报告,引领互联网域名产业发展

专家解读:亚马逊DNS遭遇路由劫持事件

2018-05-18

6,486
789

美国时间4月24号上午,亚马逊权威域名服务器遭到BGP路由劫持攻击。攻击者的目的是利用DNS和BGP固有的安全弱点来盗取加密货币。该劫持波及了澳洲、美国等地区,下图显示了受影响地区(黄色)和未受影响地区(绿色)接受到的DNS响应数据包数量

美国时间4月24号上午,亚马逊权威域名服务器遭到BGP路由劫持攻击。攻击者的目的是利用DNS和BGP固有的安全弱点来盗取加密货币。该劫持波及了澳洲、美国等地区,下图显示了受影响地区(黄色)和未受影响地区(绿色)接受到的DNS响应数据包数量:

本次劫持过程介绍

BGP协议在安全性上存在明显的设计缺陷:在进行路由通告的过程中,每个自治网络无条件地信任邻居发给自己的任何路由通告,即使邻居通告的是虚假的路由信息,这些信息也会被接受并且被继续传播。攻击者正是利用了这个缺陷发起路由劫持。

本次事件中,亚马逊自治网络AS16509持有以下IP前缀,并向外发起它们的路由起源通告:

205.251.192.0/23
205.251.194.0/23
205.251.196.0/23
205.251.198.0/23

它们均用于提供DNS服务。具体地说,互联网用户所使用的DNS解析器对该IP段发起针对某个域名的DNS查询,这些查询会被送往AS16509中的DNS权威服务器,而DNS权威会返回该域名相应的IP地址。例如,以下查询会返回域名myetherwallet.com的IP地址:

$dig+short myetherwallet.com @205.251.195.239
54.192.146.xx

而在当天上午为时两小时的过程中,攻击者(AS10297)对以下前缀发起了路由起源声明:

205.251.192.0/24
205.251.193.0/24
205.251.195.0/24
205.251.197.0/24
205.251.199.0/24

根据BGP路由选择的最长前缀匹配原则,对这些IP段发起的DNS查询都被劫持到了攻击者所在的AS10297。攻击者只对myetherwallet.com的查询请求回复以虚假的IP地址(对其他域名的查询请求则不予以回复),用户稍后对该网站的访问流量被全部劫持到一个俄罗斯ISP提供的非法网站。如果用户在该网站中输入登陆信息(用户名和密码),攻击者就会拿到这些登陆信息,并在真实的myetherwallet.com网站上使用这些信息,从而窃取受害用户的数字货币。MyEtherWallet 已发声明表示很多用户成为本次攻击的受害者。

安全防范手段:RPKI与BGPSEC

针对这种BGP路由劫持问题,当前业界正在推进的方案是RPKI(互联网码号资源公钥基础设施),我们在之前的公众号文章中对RPKI的原理做过介绍——RPKI与互联网路由安全(上)RPKI与互联网路由安全(下)。在本案例中,如果亚马逊部署RPKI并签发资源证书和ROA(路由起源认证),那么其他部署了RPKI路由器的自治网络就可以帮助过滤这些虚假路由。具体地说,亚马逊使用自己的RPKI证书签发以下ROA并发布到全球资料库中:

<205.251.192.0/23, AS16509>
<205.251.194.0/23, AS16509>
<205.251.196.0/23, AS16509>
<205.251.198.0/23, AS16509>

那么部署了RPKI路由器的其他自治网络,就可以从RPKI依赖方那里得到验证后的IP前缀和起源AS号的绑定关系,继而判定起源于AS16509的相应路由通告为真并将其保留,以及判定由攻击者发起的起源于AS10297的路由通告为假并将其丢弃,从而完全抵御这次路由劫持。

RPKI作为一种域间路由安全机制,本身只能提供路由起源认证,而不能提供路由全路径认证,所以RPKI能够避免以上这种前缀劫持攻击,但其他类型的路由攻击(如路由泄漏攻击和路径缩短攻击)可以绕过RPKI进行流量劫持。

针对这种情况,IETF提出了一种部署在RPKI之上的全路径认证机制——BGPSEC,并将其标准化。BGPSEC要求每一个AS都对它接收到的路由通告消息进行签名,签名内容作为路由消息的路径属性BGPSEC_Path_Signatures通告给邻居AS。签名内容包括:(1)上一个AS的BGPSEC_Path_Signatures;(2)本自治系统的AS号;(3)路由消息要发往的自治网络的AS号;(4)本AS的RPKI路由器公钥。由此可见,BGPSEC_Path_Signatures实际上代表了AS路径中的前一AS对后一AS继续通告该路由的授权。

部署了BGPSEC的AS在路径签名之前还要进行路径验证,验证过程如下:当一个AS收到路由通告消息后,会依次验证AS路径中每一个AS对应的BGPSEC签名(包含在BGPSEC_Path_Signatures中),如果全部验证成功,说明该AS路径是真实有效的,当前AS才可能采用并继续向外广播该路由通告。BGPSEC可以有效避免BGP路径缩短攻击。

ZDNS的RPKI研究工作

ZDNS作为专业的互联网基础服务提供商,非常重视RPKI作为互联网基础设施安全保障体系的价值。从2015年开始,ZDNS对RPKI的相关技术开展研究,RPKI的发明人Stephen Kent博士(互联网名人堂入选者)担任研究顾问。为了我国今后能够在RPKI安全保障体系范畴有所作为,ZDNS实验室主任马迪博士和Stephen Kent博士共同起草了“RPKI安全威胁模型”(待发布为RFC8211),为今后RPKI的安全保障体系的构建奠定了技术基础。

由ZDNS牵头的RPKI安全运行技术要求系列标准,并已通过工信部的批准立项,并完成启动了报批流程。参加单位包括:ZDNS、CNNIC、中国信息通信研究院、中国联通、中科院信工所、中兴通讯。

在RPKI验证软件方面,ZDNS实验室主任马迪博士担任RPKI验证软件RPSTIR国际开源项目(bgpsecurity.net)的负责人之后,ZDNS负责在全球范围内统筹该软件的更新维护工作。

参考资料

https://blog.cloudflare.com/bgp-leaks-and-crypto-currencies/

https://blogs.oracle.com/internetintelligence/bgp-hijack-of-amazon-dns-to-steal-crypto-currency

给ZDNS留言

京ICP备15027496号-3 | 京公网安备11010802021115号 | All rights reserved | 互联网域名系统北京市工程研究中心有限公司 版权所有 © 2010-2017 

友情互联:北龙中网  易企秀  微企点  Hi现场  
邮箱:web@zdns.cn     7*24小时客户服务    咨询电话:400-6688-876    
联系我们-DNS整体域名服务专家
扫码了解更多详情
标签:DNS   智能DNS   DNS厂商   专业DNS