谷歌DNS劫持攻击者

信息安全 攻击 dns 谷歌 路由
2021-09-02 09:55:51

正如我们所知,谷歌 DNS 服务器(8.8.8.8)于 3 月 14 日至 15 日在圣保罗被劫持。在此事件之后,BGPmon.org宣布了警报

BGPmon 警报

现在,在课程作业中,我们被要求找到攻击者的AS编号。对于这个问题,我已经从routeviews.org下载了相关的转储文件,并找到了相关的消息:

TIME: 03/15/14 17:23:56
TYPE: BGP4MP/MESSAGE/Update
FROM: 187.16.216.20 AS28571
TO: 187.16.216.223 AS6447
ORIGIN: IGP 
ASPATH: 28571 1251 20080 7908 
NEXT_HOP: 187.16.216.20 
ANNOUNCE 
   8.8.8.8/32 

TIME: 03/15/14 17:23:56
TYPE: BGP4MP/MESSAGE/Update
FROM: 187.16.218.21 AS52888
TO: 187.16.216.223 AS6447
ORIGIN: IGP
ASPATH: 52888 1251 20080 7908
NEXT_HOP: 187.16.218.21
ANNOUNCE
   8.8.8.8/32

我们的 TA 会说攻击者的 AS 是 7908 (BT LATAM Venezuela, SA)。但在我看来并非如此,因为在我看来,如果攻击者确实将流量重定向到他自己的 AS,就没有任何优势可以被利用。尽管如此,我在转储文件中找不到任何由该 AS 发起的更新消息。另一方面,在上图中,攻击时间已宣布为 17:23,从那时起,我在转储文件中找不到任何有趣的消息。

我的问题是,谁能告诉我攻击者的真实 AS 编号是多少?

提前致谢

1个回答

提供虚假路由的真实 AS 是沿 AS 路径的任何 AS:

7908 --> 20080 --> 1251 --> |28571|
                            |52888| --> 6447

您在 2 个错误的路由通知中看到:

8.8.8.8/32

8.8.8.8/32因此,自从这次攻击通过 AS 后,所有流向的流量都应该被路由:

|28571|
|52888| --> 1251 --> 20080 --> 7908

如果这次攻击的目标是将所有流向谷歌的流量重定向到一个完美模仿谷歌的诱杀网络服务器,那么这个被诱杀的服务器必须在受控 AS 的内部,该 AS 位于这条伪造路由的末端。它是:

7908

属于:

BT LATAM Venezuela, S.A.

显然,俄勒冈大学不必通过位于委内瑞拉的缓存来路由其 Google 流量。

这不足以诊断这是真正的攻击还是人为错误(允许广播到 BGP 邻居的内部路由泄漏)。如果这是人为错误,那么起源很可能在:

AS 7908

但如果这是一次攻击,那么这很可能是远程进行的,如果没有 AS 7908 内 BGP 路由器上的连接日志,您将无法定位其第一跳访问。

其它你可能感兴趣的问题
上一篇蓝牙低能量注入是否可行? 下一篇Yubikeys 和 SSH - 哪个选项最适合锁定?