标准产品系列数据中心产品系列专业级产品系列安全产品系列标准产品系列标准产品系列标准产品系列标准产品系列AD产品系列规格图DDI-DHCP页(新版)NACS页面新版GSLB新版页面DIAS新版页面下一代DNS云——ZDNS CLOUD下一代DNS核心网络设备产品型号及规格图高可靠专用硬件应用交付 智能应用负载ZDNS-AD智能负载均衡(GSLB)网络核心设备分布式权威解析递归缓存解析DNS安全防护注册配置工作流智能解析 ( DNS )可视化地址管理旧DHCP页留存网络动态感知地址实名审计IPAM页面新版海量弹性数据报表业务导向报表运营大数据分析 ( AM )综合管理平台私有云虚拟化云管理和虚拟化ZDNS SafeguardDNS 云解析动态流量调度CDN BalanceDNS 云容灾全网管控ZDNS Cloud域名管家新通用顶级域名申请注册局安全锁TMCHSSLDPMLAdultBlockTLD注册局业务监测云注册商业务支撑云注册局业务支撑云注册局业务统计云DNE下载文件顶级域名云平台域名审核云企业域名资产管理云应用交付 智能应用负载ZDNS-ADIPAM旧版留存DNS新产品系列——3.15.2.9攻防演练解决方案性能优化-了解详情互联网安全混合云路由互联网行业解决方案本地化运营解决方案顶级域名解决方案大型企业解决方案教育行业解决方案广电行业解决方案新华社北京航空航天大学恒丰银行中国劳动关系学院华数传媒陕西师范大学泰康人寿中国石油信创产品中国民生银行大型企业金融行业解决方案广电解决方案教育行业解决方案政府行业解决方案大型企业解决方案下一代DNS实践案例服务保障培训认证在线学院公告信息已是合作伙伴售后工程师认证政策申请认证培训申请认证考试证书查询合作伙伴培训与认证解决方案技术资料ZDNS云学堂资源中心合作伙伴渠道政策行业标准100+专利软著招贤纳士联系我们news图片链接ZDNS客户psirt法律声明ZDNS大事记
新闻详情

专家解读:亚马逊DNS遭遇路由劫持事件

717
发表时间:2018-05-18 09:00

美国时间4月24号上午,亚马逊权威域名服务器遭到BGP路由劫持攻击。攻击者的目的是利用DNS和BGP固有的安全弱点来盗取加密货币。该劫持波及了澳洲、美国等地区,下图显示了受影响地区(黄色)和未受影响地区(绿色)接受到的DNS响应数据包数量


1专家解读:亚马逊DNS遭遇路由劫持事件.jpeg



美国时间4月24号上午,亚马逊权威域名服务器遭到BGP路由劫持攻击。攻击者的目的是利用DNS和BGP固有的安全弱点来盗取加密货币。该劫持波及了澳洲、美国等地区,下图显示了受影响地区(黄色)和未受影响地区(绿色)接受到的DNS响应数据包数量:


本次劫持过程介绍


BGP协议在安全性上存在明显的设计缺陷:在进行路由通告的过程中,每个自治网络无条件地信任邻居发给自己的任何路由通告,即使邻居通告的是虚假的路由信息,这些信息也会被接受并且被继续传播。攻击者正是利用了这个缺陷发起路由劫持。


本次事件中,亚马逊自治网络AS16509持有以下IP前缀,并向外发起它们的路由起源通告:

205.251.192.0/23

205.251.194.0/23

205.251.196.0/23

205.251.198.0/23


它们均用于提供DNS服务。具体地说,互联网用户所使用的DNS解析器对该IP段发起针对某个域名的DNS查询,这些查询会被送往AS16509中的DNS权威服务器,而DNS权威会返回该域名相应的IP地址。例如,以下查询会返回域名myetherwallet.com的IP地址:


$dig+short myetherwallet.com @205.251.195.239

54.192.146.xx


而在当天上午为时两小时的过程中,攻击者(AS10297)对以下前缀发起了路由起源声明:

205.251.192.0/24

205.251.193.0/24

205.251.195.0/24

205.251.197.0/24

205.251.199.0/24


根据BGP路由选择的最长前缀匹配原则,对这些IP段发起的DNS查询都被劫持到了攻击者所在的AS10297。攻击者只对myetherwallet.com的查询请求回复以虚假的IP地址(对其他域名的查询请求则不予以回复),用户稍后对该网站的访问流量被全部劫持到一个俄罗斯ISP提供的非法网站。如果用户在该网站中输入登陆信息(用户名和密码),攻击者就会拿到这些登陆信息,并在真实的myetherwallet.com网站上使用这些信息,从而窃取受害用户的数字货币。MyEtherWallet 已发声明表示很多用户成为本次攻击的受害者。


安全防范手段:RPKI与BGPSEC


针对这种BGP路由劫持问题,当前业界正在推进的方案是RPKI(互联网码号资源公钥基础设施),我们在之前的公众号文章中对RPKI的原理做过介绍——RPKI与互联网路由安全(上)、RPKI与互联网路由安全(下)。在本案例中,如果亚马逊部署RPKI并签发资源证书和ROA(路由起源认证),那么其他部署了RPKI路由器的自治网络就可以帮助过滤这些虚假路由。具体地说,亚马逊使用自己的RPKI证书签发以下ROA并发布到全球资料库中:

<205.251.192.0/23, AS16509>

<205.251.194.0/23, AS16509>

<205.251.196.0/23, AS16509>

<205.251.198.0/23, AS16509>


那么部署了RPKI路由器的其他自治网络,就可以从RPKI依赖方那里得到验证后的IP前缀和起源AS号的绑定关系,继而判定起源于AS16509的相应路由通告为真并将其保留,以及判定由攻击者发起的起源于AS10297的路由通告为假并将其丢弃,从而完全抵御这次路由劫持。


RPKI作为一种域间路由安全机制,本身只能提供路由起源认证,而不能提供路由全路径认证,所以RPKI能够避免以上这种前缀劫持攻击,但其他类型的路由攻击(如路由泄漏攻击和路径缩短攻击)可以绕过RPKI进行流量劫持。


针对这种情况,IETF提出了一种部署在RPKI之上的全路径认证机制——BGPSEC,并将其标准化。BGPSEC要求每一个AS都对它接收到的路由通告消息进行签名,签名内容作为路由消息的路径属性BGPSEC_Path_Signatures通告给邻居AS。签名内容包括:(1)上一个AS的BGPSEC_Path_Signatures;(2)本自治系统的AS号;(3)路由消息要发往的自治网络的AS号;(4)本AS的RPKI路由器公钥。由此可见,BGPSEC_Path_Signatures实际上代表了AS路径中的前一AS对后一AS继续通告该路由的授权。


部署了BGPSEC的AS在路径签名之前还要进行路径验证,验证过程如下:当一个AS收到路由通告消息后,会依次验证AS路径中每一个AS对应的BGPSEC签名(包含在BGPSEC_Path_Signatures中),如果全部验证成功,说明该AS路径是真实有效的,当前AS才可能采用并继续向外广播该路由通告。BGPSEC可以有效避免BGP路径缩短攻击。


ZDNS的RPKI研究工作


ZDNS作为专业的互联网基础服务提供商,非常重视RPKI作为互联网基础设施安全保障体系的价值。从2015年开始,ZDNS对RPKI的相关技术开展研究,RPKI的发明人Stephen Kent博士(互联网名人堂入选者)担任研究顾问。为了我国今后能够在RPKI安全保障体系范畴有所作为,ZDNS实验室主任马迪博士和Stephen Kent博士共同起草了“RPKI安全威胁模型”(待发布为RFC8211),为今后RPKI的安全保障体系的构建奠定了技术基础。


由ZDNS牵头的RPKI安全运行技术要求系列标准,并已通过工信部的批准立项,并完成启动了报批流程。参加单位包括:ZDNS、CNNIC、中国信息通信研究院、中国联通、中科院信工所、中兴通讯。


在RPKI验证软件方面,ZDNS实验室主任马迪博士担任RPKI验证软件RPSTIR国际开源项目(bgpsecurity.net)的负责人之后,ZDNS负责在全球范围内统筹该软件的更新维护工作。


参考资料

https://blog.cloudflare.com/bgp-leaks-and-crypto-currencies/

https://blogs.oracle.com/internetintelligence/bgp-hijack-of-amazon-dns-to-steal-crypto-currency

_______________
_______________
_______________
_______________
友情互联:
_______________________________________________________________________________________________________________________________
邮箱:support@zdns.cn
7*24小时客户服务
咨询电话:400-6688-876
标签:
请输入要描述的内容进行内容补充 请输入要描述的内容
01
03
请输入要描述的内容进行内容补充 请输入要描述的内容
_______________________________________________________________________________________________________________________________
互联网域名系统北京市工程研究中心有限公司 版权所有 © 2022 
官方微信
DDI网络核心服务
顶级域名申请
IP 地址管理
DNS 安全
智能 DNS
域名资质
两地三中心
流量调度
DNS 云解析
新顶级域直通车
________________________________________________________________________________________________________________________________