KUNGFU TECH

0
0
Lập trình
TT
Trung Tranyusaki

Phát hiện thời gian thực BGP blackholing và đánh cắp tiền tố

Đăng vào 3 ngày trước

• 6 phút đọc

Chủ đề:

#networking#monitoring#bgp

Giới thiệu

Giao thức Border Gateway (BGP) là xương sống của định tuyến liên miền trên Internet, nhưng mô hình tin cậy cơ bản của nó khiến nó dễ bị tổn thương trước các cấu hình sai, đánh cắp, và tình trạng blackholing. Khi những vấn đề này xảy ra, chúng thường không được phát hiện bởi các mạng bị ảnh hưởng—cho đến khi người dùng báo cáo hiệu suất kém hoặc gián đoạn dịch vụ.

Bài viết này sẽ đi qua một sự cố thực tế trong đó một sự gia tăng lưu lượng hợp pháp đã dẫn đến việc một nhà cung cấp upstream nhầm lẫn blackholing một địa chỉ IP quan trọng. Tình huống này minh họa cách BGP blackholing có thể âm thầm làm gián đoạn dịch vụ và cách quan sát bên ngoài cho phép chẩn đoán và giải quyết nhanh chóng.

Hiểu về BGP blackholing

BGP blackholing là một chiến thuật giảm thiểu DDoS thường được sử dụng. Một mạng đang bị tấn công thông báo một tuyến đường cụ thể hơn cho IP hoặc subnet mục tiêu, hướng lưu lượng đó đến một giao diện null để ngăn không cho nó đến được hạ tầng dịch vụ mong muốn. Mặc dù hiệu quả trong việc bảo vệ tài nguyên trong các cuộc tấn công khối lượng lớn, phương pháp này có thể vô tình chặn lưu lượng hợp pháp khi được áp dụng quá mạnh.

Hãy cùng tìm hiểu điều này với ví dụ sau:

AS2 tạo BGP blackhole. Không có lưu lượng nào đến máy chủ mong muốn.

Trong trường hợp này, tiền tố /24 1.0.0.0/24 được sở hữu và thông báo bởi một hệ thống tự trị (AS1). Một điểm hiện diện cụ thể (PoP) trong tiền tố này chịu trách nhiệm cho việc livestream một sự kiện toàn cầu. Địa chỉ ảo cho PoP này—1.0.0.100—đã chứng kiến một sự gia tăng lưu lượng từ người xem trên toàn thế giới.

Lưu lượng này đã đi qua một nhà cung cấp upstream (AS2), đơn vị này theo dõi các mẫu DDoS. Nhận thấy sự gia tăng đột ngột, hệ thống giảm thiểu tự động của AS2 đã cho rằng lưu lượng này là độc hại. Nó đã phản ứng bằng cách chèn một tuyến đường /32 cụ thể hơn cho 1.0.0.100 vào bảng định tuyến toàn cầu và hướng nó đến một giao diện null.

Tác động là ngay lập tức: lưu lượng hướng đến dịch vụ livestream đã bị AS2 chặn một cách âm thầm, dẫn đến mất khả năng truy cập rộng rãi cho người dùng trên nhiều khu vực.

Thách thức trong việc chẩn đoán blackholing upstream

Từ quan điểm của AS1, hạ tầng dịch vụ vẫn hoạt động bình thường, và không có bất kỳ bất thường nào được quan sát trong telemetry nội bộ. Tuy nhiên, người dùng không thể truy cập vào luồng.

Tại sao việc giám sát truyền thống lại bỏ lỡ blackholing upstream?

Bởi vì lưu lượng đã bị chặn trước khi đến được hạ tầng của AS1, không có nhật ký hoặc dấu vết gói dữ liệu nào chỉ ra vấn đề.

Đây là một giới hạn phổ biến khi chỉ dựa vào việc giám sát nội bộ. Trong các tình huống blackholing upstream, các thay đổi định tuyến diễn ra bên ngoài kiểm soát của mạng nguồn, và triệu chứng duy nhất có thể quan sát được chỉ là sự giảm đột ngột trong lưu lượng hoặc khả năng truy cập.

Thách thức chẩn đoán càng trở nên phức tạp hơn bởi tính cụ thể của tuyến đường blackhole. Trong khi tuyến đường hợp pháp cho 1.0.0.0/24 vẫn hoạt động, tuyến đường /32 được chèn cho 1.0.0.100 đã chiếm ưu thế theo quy tắc khớp tiền tố dài nhất của BGP, dẫn đến việc lưu lượng bị định tuyến lại và bị chặn tại AS2.

Phát hiện sự không khớp AS nguồn và đánh cắp tuyến đường

Sự cố này đã được xác định thông qua việc giám sát tuyến đường bên ngoài phát hiện sự không khớp AS nguồn—tiền tố /32 được phát ra từ AS2 thay vì AS1 như mong đợi. Sự sai lệch này đã kích hoạt một cảnh báo, điều này đã thúc đẩy phân tích sâu hơn về đường đi của BGP và hành vi lan truyền.

Thông báo cảnh báo BGP của nền tảng Catchpoint về sự không khớp AS nguồn

Một cuộc kiểm tra đường AS đã xác nhận rằng một số khu vực đang nhận quảng cáo /32 không chính xác và định tuyến lưu lượng thông qua AS2, nơi đã blackholed các gói tin. Tuyến đường blackhole đã có khả năng tiếp cận toàn cầu ở một số khu vực địa lý, giải thích cho mô hình mất kết nối mà người dùng đã quan sát.

Vẽ bản đồ lan truyền của tuyến đường sai đã giúp xác định quy mô tác động và cho phép phối hợp với AS2 để rút lại thông báo blackhole. Sau khi được loại bỏ, lưu lượng đến 1.0.0.100 đã trở lại định tuyến bình thường, và dịch vụ livestream đã được khôi phục.

Nền tảng Catchpoint hiển thị đường đi BGP, rõ ràng xác định nơi lưu lượng bị chia tách do blackhole

Ý nghĩa rộng hơn

Sự cố này làm nổi bật sự mong manh của lớp định tuyến toàn cầu và khả năng của các hệ thống tự động gây ra thiệt hại không đáng có, ngay cả khi hoạt động theo cách thiết kế. Nó cũng nhấn mạnh những giới hạn của việc chỉ dựa vào dữ liệu nội bộ để hiểu hiệu suất Internet từ đầu đến cuối.

Tầm nhìn về sự lan truyền tiền tố trên toàn cầu

Giám sát BGP bên ngoài cho phép các nhà điều hành quan sát cách các tiền tố của họ đang được định tuyến qua Internet và phát hiện các bất thường như:

  • Đánh cắp tiền tố bởi các AS không mong muốn hoặc độc hại

  • Blackholing upstream thông qua các thông báo cụ thể hơn

  • Sự phân kỳ đường AS và các bất thường trong lan truyền

Sự tầm nhìn này rất quan trọng cho các dịch vụ quy mô lớn mà phụ thuộc vào các nhà cung cấp vận chuyển và upstream bên thứ ba để tiếp cận người dùng toàn cầu.

Nhìn về phía trước

BGP vẫn là một giao thức mạnh mẽ nhưng mong manh, và các sự cố như thế này cho thấy tầm quan trọng của việc quan sát bên ngoài chủ động vào định tuyến Internet. Khi các hệ thống giảm thiểu tự động trở nên phổ biến hơn, càng ngày việc các nhà điều hành mạng xác minh không chỉ rằng dịch vụ của họ có sẵn, mà còn rằng các tiền tố của họ đang được định tuyến như mong đợi, càng trở nên quan trọng.

Để tìm hiểu chi tiết về các kỹ thuật giám sát BGP và các phương pháp tốt nhất, hãy xem hướng dẫn chi tiết của chúng tôi.

Tóm tắt

Giao thức Border Gateway (BGP) là xương sống của định tuyến liên miền trên Internet, nhưng mô hình tin cậy cơ bản của nó khiến nó dễ bị tổn thương trước các cấu hình sai, đánh cắp, và blackholing. Khi những vấn đề này xảy ra, chúng thường không được phát hiện bởi các mạng bị ảnh hưởng—cho đến khi người dùng báo cáo hiệu suất kém hoặc gián đoạn dịch vụ.

Bài viết này đã đi qua một sự cố thực tế trong đó một sự gia tăng lưu lượng hợp pháp đã dẫn đến việc một nhà cung cấp upstream nhầm lẫn blackholing một địa chỉ IP quan trọng. Tình huống này minh họa cách BGP blackholing có thể âm thầm làm gián đoạn dịch vụ và cách quan sát bên ngoài cho phép chẩn đoán và giải quyết nhanh chóng.

Xem quảng cáo để đọc tiếpHoặc nâng cấp tài khoản để tắt quảng cáo

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào