GoogleDNS劫持背后的技术分析.pdfVIP

原原文文地地址址:/papers/1207 0x00 背背景景 最近世界真是越来越不太平了，尤其是对于大部分普通人而言 昨天又传来噩耗，根据网络监测公司BGPMon，Google的公开DNS服务 器 IP 被劫持到了委内瑞拉和巴西超过22分钟 Google DNS 服务器平均每天处理超过1500亿个查询，在被劫持的22分钟里起码几百万个查询包括金融系统，政府和个大商业网站的 DNS查询流量都被劫持走了 根据砖家们的推测，这次劫持可能是黑客利用了Border Gateway Protocol(BGP) 协议中一个众所周知的漏洞来实现的，BGP协议为ISP级 的路由协议，一般用来协调大型ISP之间的路由走向 这次劫持可以让黑客把网上的部分流量劫持从而经过他们所控制的路由 这已经不是Google DNS服务器被第一次劫持了，在2010年也Google DNS的流量也曾经被劫持到了罗马尼亚和奥地利境内 BGP劫持攻击是一种大规模的中间人攻击，并且较难发现，因为数据包的最终目的地并没有变，只是绕了下路而已 0x01 BGP劫劫持持详详解解 本部分来源于Tony Ka ela 和 Alex Pilosov在2008年 Defcon会议上的演讲 什什么么是是BGP 首先互联网整体上来说是一个分布式的网络，并没有整个网络的中心 但是整个互联网实际上是由成百上千个不同的ISP的子网络组成 的 这些子网络互相连接，通过BGP协议告诉对方自己子网络里都包括哪些IP地址段，自己的AS编号 （AS Number ）以及一些其他的信息 这里又要扯到互联网的IP地址分配方式 互联网的IP地址分配是中心化的，ICANN这个机构把IP地址大段分给Regional Internet Registries （RIR），区域互联网注册管理机构 RIR再把IP地址段细分后分给ISP们 大部分情况下，AS Number和分给该AS什么IP段是没有任何关系的 下面问题来了，BGP协议里虽然有一些简单的安全认证的部分，但是对于两个已经成功建立BGP连接的AS来说，基本会无条件的相信 对方AS所传来的信息，包括对方声称所拥有的IP地址范围 对于ISP分配给大公司客户的地址段，ISP往往会对BGP做一些有限的过滤 但是对于大型ISP来说，因为对方所拥有的IP地址段可能过 于分散，所以一般是按最大范围设置BGP refix 地址过滤 比如假设ISP A拥有地址段/16和/16，那么ISP B可能会设置 过滤对方传来的/8以外的路由 当然这种情况比较极端，一般ISP分配到的IP地址段都是连续的，但是基本也都有可操作的空间，可以把数百到几万个不属于自己的IP 合法加到自己的BGP信息里 多数ISP甚至都没有把自己本身的IP段过滤掉，也就是说如果其他AS声称拥有该ISP 自己的IP段，这个ISP的BGP路由也会相信 为了解决这个问题，有人发明了一个叫Internet Routing Registry (IRR)的东西，相当于一个开放式的数据库，像DNS 根服务器一样采用分 布式镜像服务器放在世界各地 ISP可以向IRR注册自己的IP地址段和路由策略，其他ISP就可以查询IRR从而对自己的BGP路由器做过滤 这样做的确防止了一些由于 无意而导致的路由劫持 但是IRR这个东西本身也是不靠谱的 IRR里存了大约10万条记录，如果全部加载进路由器的话是个不小的负担 另外IRR基本没人 管，任何人可以可以往里面注册任何路由记录 所以在大部分ISP都无条件相信IRR的时代，IRR也带来了不少的麻烦 最简单的方式就是通过Whois找到目标IP段的 管理员邮箱，如果该邮箱或者邮箱所在的域名已经过期，那么就自己注册一个，然后就可 以随便通过邮件向IRR修改记录了 或者直接通过BGP路由向ISP发送，反正大家都不care…… 实实际际案案例例 现在我们来看一个Youtube被劫持的案例: youtube有5个网段，其中一个是 /22 因为觉得Youtube不和谐，于是巴基斯坦政府决定封锁Youtube 巴基斯坦电信在路由器上加了条static route把 /24 弄到了null0接口 （GFW之黑洞路由大法） 巴电信的工程师手抖把static route redistribute到BGP了(Cisco路由器上同步不同协议路由表的方法)，也就是说把该路由器上的静态路由表 添加到BGP的路由表了，静态路由同步到其他路由表里的优先值最高 BGP把这条路由向其他AS的路由器同步了，最先中枪的是香港的电讯盈科 （PCCW），然后接着被逐渐同步到了全世界 这时互联网的大部分用户想上Youtube的时候数据包