国产亚洲人成在线视频网站

<th id="ssz4z"></th>
  • <th id="ssz4z"></th>

    1. 您現在的位置:CDN高防 > 服務器租用幫助 > BGP劫持的原理及防御詳解

      BGP劫持的原理及防御詳解

      發布時間:2020-06-20 08:37:00 ??文章來源:CDN高防 ??作者:呂求玄
      本文由呂求玄編輯,關鍵詞:bgp劫持,bgp原理,什么是bgp劫持,bgp,標題:BGP劫持的原理及防御詳解,主要內容講解的是:這篇文章中,我們將向讀者概要介紹什么是BGP劫持?BGP協議以及BGP劫持的工作原理,用戶和網絡如何防御BGP劫持?
      什么是BGP劫持?
      bgp劫持是指攻擊者惡意改變互聯網流量的路由。攻擊者通過錯誤地宣布他們實際上并不擁有、控制或路由的IP地址組(稱為IP前綴)的所有權來實現這一點。
      bgp劫持很像是有人在高速公路上改變所有的標志,將汽車指向錯誤的出口。
      什么是BGP劫持?BGP劫持的原理及防御介紹
      整個互聯網是由很多的網絡組成,這些網絡被稱為是“自治系統(AS)”,因為邊界網關協議(BGP)是建立在假設互聯網絡真正告訴他們擁有哪些IP地址的基礎上的,所以BGP劫持幾乎是不可能停止的 - 想象一下,如果沒有人在看高速公路標志,那么判斷這些標志是否被惡意更改的唯一方法就是汽車最終會走到錯誤的地方才會知道是標志錯誤了。然而,要發生劫持事件,攻擊者需要控制或破壞連接一個自治系統(AS)和另一個自治系統(AS)的啟用BGP的路由器,這樣就不是每個人都可以進行BGP劫持。
      什么是BGP?
      BGP代表邊界網關協議,它是Internet的路由協議。換句話說,它提供了方向,以便路由盡可能高效地從一個IP地址傳輸到另一個IP地址。IP地址是網站的實際Web地址。當用戶鍵入網站名稱并且瀏覽器找到并加載它時,請求和響應在用戶的IP地址和網站的IP地址之間來回傳遞。DNS(域名系統)服務器提供IP地址,但BGP提供了最快的方式來訪問該IP地址。粗略地說,如果DNS是互聯網的地址簿,那么BGP就是互聯網的路線圖。
      每個BGP路由器存儲一個路由表,其中包含自治系統之間的最佳路由。由于每個AS (通常是Internet服務提供商(ISP))廣播他們擁有的新IP前綴,因此幾乎不斷更新這些內容。BGP總是傾向于從AS到AS的最短和最直接的路徑,以便通過網絡中盡可能少的跳躍來到達IP地址。
      自治系統(AS)的定義
      自治系統是由單個組織管理的大型網絡或網絡組。AS可能有許多子網,但都共享相同的路由策略。通常,AS是ISP或具有自己的網絡的非常大的組織,以及從該網絡到ISP的多個上游連接(這稱為“多宿主網絡”)。每個AS都分配有自己的自治系統編號(ASN),以便輕松識別它們。
      為什么BGP很重要?
      BGP使得互聯網的大規模增長成為可能?;ヂ摼W由多個互連的大型網絡組成。由于它是分散的,因此沒有管理機構為數據包傳送到其預期的IP地址目的地鋪設最佳路由。BGP履行這一職責。如果不是BGP,由于路由效率低,網絡流量可能需要花費大量時間才能到達目的地,或者根本不會到達預定目的地。
      BGP如何被劫持?
      當AS宣布它實際上不控制的IP前綴的路由時,該公告(如果未被過濾)可以傳播并被添加到因特網上的BGP路由器中的路由表。從那時起,直到有人注意到并糾正路由,這些IP的流量將被路由到該AS。
      BGP始終支持所需IP地址的最快最詳細的的路徑。為了使BGP劫持成功,路由公告必須:
      1)提供一個更具體的路線,宣布一個較小的范圍的IP地址比其他AS先前宣布。
      2)為某些IP地址塊提供更短的路由。此外,不只是任何人都可以宣布到更大的互聯網的BGP路由。為了發生BGP劫持,必須由AS的運營商或已經破壞AS的威脅行為者發布通知(第二種情況更為罕見)。
      提供到特定IP地址段的較短路由。此外,不是所有人都可以宣布BGP路由到更大的互聯網。為了使BGP劫持事件發生,必須由AS的運營商或或已經破壞AS的威脅行為者發布通知(第二種情況比較少見)作出聲明。
      什么是BGP劫持?BGP劫持的原理及防御介紹
      似乎令人驚訝的是,大型網絡或網絡組的運營商(其中許多是ISP)會肆無忌憚地進行此類惡意活動。但考慮到現在全球有超過80,000個自治系統,有些人不值得信任也就不足為奇了。此外,BGP劫持并不總是顯而易見或易于檢測。不良行為者可能會偽裝他們在其他AS之后的活動,或者可能會宣布未使用的IP段,這些ip段不太可能被注意監控到。
      BGP被劫持后會發生什么?
      由于BGP劫持,互聯網流量可能出錯,被監控或攔截,被“黑洞”,或者作為中間人攻擊的一部分被導向虛假網站。此外,垃圾郵件發送者可以使用BGP劫持或實施BGP劫持的AS網絡,以欺騙合法IP以進行垃圾郵件。從用戶的角度來看,頁面加載時間將會增加,因為請求和響應將不會遵循最有效的網絡路由,甚至可能不必要地遍歷全世界。
      在最佳情況下,流量只會占用不必要的長路徑,從而增加延遲。在最糟糕的情況下,攻擊者可能正在進行中間人攻擊,或者將用戶重定向到虛假網站以竊取數據。
      BGP在現實網絡劫持案例
      有許多關于故意BGP劫持的真實例子。例如,在2018年4月,俄羅斯提供商宣布了一些實際屬于Route53 Amazon DNS服務器的IP前綴(IP地址組)。簡而言之,最終結果是嘗試登錄加密貨幣站點的用戶被重定向到由黑客控制的虛假版本的網站。因此,黑客能夠竊取大約152,000美元的加密貨幣。(為了更具體:通過BGP劫持,黑客劫持了亞馬遜DNS查詢,以便DNS查詢進入他們控制的服務器,返回錯誤的IP地址,并將HTTP請求定向到虛假網站。
      無意中發生BGP劫持事件也很普遍,它們可能對整個全球互聯網產生負面影響。2008年,巴基斯坦政府所有的巴基斯坦電信試圖通過更新其網站的BGP路線來審查巴基斯坦境內的Youtube??此埔馔?,新航線被宣布給巴基斯坦電信的上游供應商,并從那里播出到整個互聯網。突然之間,Youtube的所有網絡請求都被導向了巴基斯坦電信,導致幾乎整個互聯網網站長達數小時的中斷,并使ISP服務商無法接受。idcBEST.com
      用戶和網絡如何防御BGP劫持?
      除了持續監控互聯網流量如何路由之外,用戶和網絡可以做很少的事情來防止BGP劫持。
      IP段前綴過濾
      大多數網絡應該只在必要時接受IP段前綴聲明,并且只應將其IP前綴聲明到某些網絡,而不是整個Internet。這樣做有助于防止意外的路由劫持,并可能使AS不接受偽造的IP前綴聲明; 但是,在實踐中,這很難實施。
      BGP劫持檢測
      增加的延遲,降低的網絡性能和錯誤的互聯網流量都是BGP劫持的可能跡象。許多大型網絡將監控BGP更新,以確保其客戶不會遇到延遲問題,并且一些安全研究人員實際上會監控互聯網流量并發布他們的發現。
      使BGP更安全
      BGP旨在使Internet工作,它肯定會這樣做。但BGP的設計并未考慮安全性。整個互聯網(如BGPsec)的安全路由解決方案正在開發中,但尚未采用它們。目前,BGP具有內在的脆弱性,并將繼續存在。(來源網絡,如有侵權請聯系刪除)
      本文tag: BGP bgp劫持 bgp原理 什么是bgp劫持
      本文鏈接:http://www.salomontrails.com/news/1618.html
      下一篇:BGP多線路機房服務器是什么,好在哪
      上一篇:一個機柜多少u,一個機柜多少臺服務器

      相關推薦:

      隨機推薦:

      QQ:317197518

      電子郵箱:317197518@qq.com

      公司業務:我們提供海內外服務器租用,公司產品豐富:獨立服務器、虛擬主機、ADSL撥號、VPS云主機等,價格便宜,歡迎選購

      公司地址:重慶市渝北區賽迪路2號金山商業中心A座6F

      CDN高防:一家全國領先的真實硬防服務器的提供商
      Copyright 2018-2020 ? www.salomontrails.com All Rights Reserved.

      分享按鈕 国产亚洲人成在线视频网站
      <th id="ssz4z"></th>
    2. <th id="ssz4z"></th>