BGP-Hijacking ist ein böswilliges Umleiten von Internet-Traffic, der das auf Vertrauen bauende Design von BGP, dem Routing-Protokoll des Internets, ausnutzt.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
BGP-Hijacking ist, wenn Angreifer den Internet-Traffic böswillig umleiten. Angreifer erreichen dies, indem sie fälschlicherweise den Besitz von Gruppen von IP-Adressen, sogenannten IP-Präfixen, behaupten, die sie nicht besitzen, kontrollieren oder routen. Ein BGP-Hijack ist in etwa so, als ob jemand alle Schilder auf einer Autobahn austauscht und den Verkehr auf falsche Ausfahrten umleitet.
Da BGP auf der Annahme basiert, dass miteinander verbundene Netzwerke die Wahrheit darüber sagen, welche IP-Adressen sie besitzen, ist BGP-Hijacking kaum zu stoppen. Stellen Sie sich vor, niemand würde die Autobahnschilder beobachten und der einzige Weg festzustellen, ob sie böswillig verändert wurden, wäre die Beobachtung, dass viele Autos in den falschen Vierteln ankämen. Damit ein Hijack stattfinden kann, müssen Angreifer einen BGP-fähigen Router kontrollieren oder kompromittieren, der eine Brücke zwischen einem autonomen System (AS) und einem anderen schlägt. Es kann also nicht jeder BGP-Hijackings durchführen.
BGP steht für Border Gateway Protocol und ist das Routing-Protokoll des Internets. Es stellt Anweisungen bereit, damit der Traffic so effizient wie möglich von einer IP-Adresse zu einer anderen gelenkt werden kann. Eine IP-Adresse ist die tatsächliche Webadresse einer bestimmten Website. Wenn ein Benutzer den Namen einer Website eingibt und der Browser ihn findet und lädt, werden Anfragen und Antworten zwischen der IP-Adresse des Benutzers und der IP-Adresse der Website hin- und hergeschickt. DNS-Server (Domain Name System) stellen die IP-Adresse bereit, aber BGP bietet den effizientesten Weg, um diese IP-Adresse zu erreichen. Wenn DNS das Adressbuch des Internets ist, dann ist BGP grob gesagt die Straßenkarte des Internets.
Jeder BGP-Router speichert eine Routing-Tabelle mit den besten Routen zwischen autonomen Systemen. Diese werden fast kontinuierlich aktualisiert, wenn ein AS* – häufig ein Internetprovider (ISP) – neue IP-Präfixe bekannt gibt, die es besitzt. BGP bevorzugt immer den kürzesten und direktesten Weg von AS zu AS, um IP-Adressen über möglichst wenige Hops zwischen Netzwerken zu erreichen. Mehr erfahren über BGP >>
Ein autonomes System ist ein großes Netzwerk oder eine Gruppe von Netzwerken, die von einer bestimmten Organisation verwaltet werden. Ein AS kann viele Subnetze haben, aber alle verwenden dieselbe Routing-Policy. Normalerweise ist ein AS entweder ein ISP oder eine sehr große Organisation mit eigenem Netzwerk und mehreren Upstream-Verbindungen von diesem Netzwerk zu ISPs (das wird als „Multihomed Netzwerk“ bezeichnet). Jedem AS wird eine eigene AS-Nummer (ASN) zugewiesen, um es einfach zu identifizieren. Mehr erfahren über autonome Systeme >>
BGP ermöglicht das schnelle Wachstum des Internets. Das Internet besteht aus vielen großen Netzwerken, die miteinander verbunden sind. Da es dezentralisiert ist, gibt es keine Verwaltungsorgane oder Verkehrspolizisten, die die besten Routen für Datenpakete festlegen, um zu den beabsichtigten IP-Adressen zu gelangen. BGP erfüllt diese Aufgabe. Ohne BGP könnte der Web-Traffic aufgrund ineffizienten Routings sehr viel Zeit in Anspruch nehmen, um zum Ziel zu gelangen, oder er würde das Ziel überhaupt nicht erreichen.
Wenn ein AS eine Route zu IP-Präfixen bekanntgibt, die er nicht tatsächlich kontrolliert, kann diese Bekanntgabe, wenn sie nicht gefiltert wird, über das Internet verteilt und zu Routing-Tabellen in BGP-Routern hinzugefügt werden. Von da an wird der Traffic zu diesen IPs an dieses AS weitergeleitet, bis jemand die Routen bemerkt und korrigiert. Es ist, als würde man Land beanspruchen, ohne dass es Behörden gibt, die Eigentumsurkunden überprüfen und durchsetzen können.
BGP bevorzugt immer den kürzesten und spezifischsten Pfad zur gewünschten IP-Adresse. Damit das BGP-Hijacking erfolgreich ist, muss die Routenankündigung entweder:
1) Eine spezifischere Route anbieten, indem Sie einen kleineren Bereich von IP-Adressen bekanntgibt, als andere AS zuvor bekanntgegeben hatten.
2) Eine kürzere Route zu bestimmten IP-Adressblöcken anbieten. Darüber hinaus kann nicht jeder BGP-Routen für das allgemeine Internet bekanntgeben. Damit ein BGP-Hijacking stattfinden kann, muss die Ankündigung vom Betreiber eines AS oder von einem Angreifer erfolgen, der ein AS kompromittiert hat (der zweite Fall ist seltener).
Es mag überraschen, dass der Betreiber eines großen Netzwerks oder einer Gruppe von Netzwerken, von denen viele ISPs sind, derartig dreiste böswillige Aktivitäten durchführt. Angesichts der Tatsache, dass es mittlerweile weltweit über 80.000 autonome Systeme gibt, ist es nicht verwunderlich, dass einige davon nicht vertrauenswürdig sind. Darüber hinaus ist BGP-Hijacking nicht immer offensichtlich oder leicht zu erkennen. Böswillige Akteure oder Organisationen können sich zum Verstecken ihrer Aktivitäten hinter anderen AS tarnen oder unbenutzte IP-Blöcke bekanntgeben, die wahrscheinlich nicht bemerkt werden.
Als Folge des BGP-Hijacking kann der Internet-Traffic falsche Wege gehen, überwacht oder abgefangen, in ein „schwarzes Loch“ geschickt oder als Teil eines On-Path-Angriffs an gefälschte Websites gesendet werden. Darüber hinaus können Spammer BGP-Hijacking oder das Netzwerk eines AS, das BGP-Hijacking praktiziert, verwenden, um legitime IPs für Spam zu spoofen. Aus Benutzersicht werden die Seiten langsamer geladen, da Anfragen und Antworten nicht der effizientesten Netzwerkroute folgen und sogar unnötigerweise um die ganze Welt reisen können.
Im besten Fall würde der Traffic nur einen unnötig langen Weg zurücklegen und so unter erhöhter Latenz leiden. Im schlimmsten Fall können Angreifer einen On-Path-Angriff durchführen oder Benutzer auf gefälschte Websites umleiten, um Anmeldeinformationen zu stehlen.
Es gibt viele Praxisbeispiele für absichtliches BGP-Hijacking. Beispielsweise gab ein russischer Provider im April 2018 eine Reihe von IP-Präfixen (Gruppen von IP-Adressen) bekannt, die tatsächlich zu Route53 Amazon DNS-Servern gehören. Kurz gesagt wurden Benutzer, die versuchten, sich bei einer Kryptowährungssite anzumelden, zu einer gefälschten von Hackern kontrollierten Version der Website umgeleitet. Die Hacker konnten so etwa 152.000 USD in Kryptowährung stehlen. (Um genauer zu sein: Über BGP-Hijacking haben die Hacker Amazon-DNS-Abfragen abgefangen, so dass DNS-Abfragen für myetherwallet.com an von ihnen kontrollierte Server gingen, die falsche IP-Adresse zurückgaben und HTTP-Anfragen an die gefälschte Website weiterleiteten. Weitere Informationen finden Sie in unserem Blogbeitrag: „BGP-Leaks und Kryptowährungen“.)
Unbeabsichtigte Fälle von BGP-Hijacking sind ebenfalls verbreitet und können sich negativ auf das gesamte globale Internet auswirken. Im Jahr 2008 versuchte die staatliche Pakistan Telecom Youtube in Pakistan zu zensieren, indem sie ihre BGP-Routen für die Website aktualisierte. Scheinbar versehentlich wurden die neuen Routen den Upstream-Providern von Pakistan Telecom bekanntgegeben und von dort ins gesamte Internet übertragen. Plötzlich wurden alle Webanfragen für Youtube an Pakistan Telecom gerichtet, was zu einem stundenlangen Ausfall der Website für fast das gesamte Internet führte und den ISP überwältigte.
Abgesehen von der ständigen Überwachung des Routings des Internetverkehrs können Benutzer und Netzwerke nur sehr wenig tun, um BGP-Hijacking zu verhindern.
Die meisten Netzwerke sollten IP-Präfixdeklarationen nur bei Bedarf akzeptieren und ihre IP-Präfixe nur für bestimmte Netzwerke und nicht für das gesamte Internet deklarieren. Das verhindert das versehentliches Hijacking von Routen und kann das AS vor falschen IP-Präfixdeklarationen schützen. In der Praxis ist es jedoch schwer durchzusetzen.
Erhöhte Latenz, schlechtere Netzwerk-Performance und fehlgeleiteter Internet-Traffic sind mögliche Anzeichen für BGP-Hijacking. Viele größere Netzwerke überwachen BGP-Updates, um sicherzustellen, dass ihre Clients keine Latenzprobleme haben. Einige Sicherheitsforscher überwachen tatsächlich den Internet-Traffic und veröffentlichen ihre Ergebnisse.
BGP wurde entwickelt, damit das Internet funktioniert und das erreicht es auch. Sicherheit spielte beim Design jedoch keine Rolle. Es werden sicherere Routing-Lösungen für das gesamte Internet (z. B. BGPsec) entwickelt, die jedoch noch nicht eingesetzt werden. BGP ist vorerst von Natur aus gefährdet und bleibt es auch.
Cloudflare verfügt über mehr als 330 Rechenzentren auf der ganzen Welt, die alle eine ASN (AS13335) und dieselben IP-Präfixe broadcasten. Das minimiert die Anzahl der Netzwerke, die der Traffic durchqueren muss, um eine von Cloudflare gehostete IP-Adresse zu erreichen. Infolgedessen stehen fast überall auf der Welt effiziente Pfade zu IP-Adressen von Cloudflare zur Verfügung. Für ein AS in Japan ist der kürzeste Weg zu einer Cloudflare-IP möglicherweise nur ein paar Netzwerk-Hops entfernt und endet in einem lokalen japanischen Cloudflare-Rechenzentrum. In Kalifornien kann der Traffic an dieselbe IP-Adresse gesendet werden, die in demselben Cloudflare AS gehostet ist, und sie in einem kalifornisches Rechenzentrum erreichen.