ربودن پروتکل اینترنت

ربودن پروتکل اینترنت (که بعضی اوقات با نام‌های ربودن BGP، ربودن پیشوند یا ربودن مسیر هم شناخته می‌شود) فرایندی غیرقانونی است که طی آن گروهی از آدرس‌های IP، با خراب کردن جدول مسیریابی اینترنت، تحت کنترل اشخاص خراب کار قرار می‌گیرند.

اینترنت یک شبکه جهانی است که به میزبان‌های متصل به هم در سراسر جهان، امکان ارتباط با یکدیگر را داده‌است. میزبان‌های موجود در شبکه اینترنت از طریق آدرس‌هایی (نشانی پروتکل اینترنت) که منحصربه‌فرد هستند، شناسایی می‌شوند. ارتباطات میان میزبان‌ها از طریق انتقال پیام‌ها میان مسیریاب‌ها و در نهایت انتقال پیام‌ها از مبدأ به مقصد انجام می‌شود. برای انجام این کار مسیریاب‌ها موجود باید به صورت دوره‌ای جدول‌های مسیریابی بروز را دریافت کنند. در سطوح سراسری، این IPهای اختصاصی، با هم به صورت پیشوندها (prefixes) تلفیق می‌شوند. این پیشوندها توسط یک سیستم خودمختار (autonomous system - AS) به وجود آمده و/یا نگهداری می‌شوند و جدول‌های مسیریابی بین سیستم‌های خودمختار توسط پروتکل گذرگاه مرزی (Border Gateway Protocol - BGP) نگهداری می‌شود. گروهی از شبکه‌ها که تحت یک سیاست خارجی مسیریابی اداره می‌شوند یک سیستم خود مختار را تشکیل می‌دهند. برای مثال Spirint, MCI و AT&T هر کدام یک سیستم خودمختار هستند. هر سیستم خودمختار شناسه منحصربه‌فرد خود را دارد. پروتکل گذرگاه مرزی یک پروتکل استاندارد مسیریابی است که برای رد و بدل کردن اطلاعات مسیریابی بین سیستم‌های خودمختار استفاده می‌شود. هر سیستم خودمختار از پروتکل گذرگاه مرزی استفاده می‌کند تا پیشوندهایی را که می‌تواند به مقصد برساند، به دیگران اطلاع دهد. برای مثال اگر پیشوند ۱۹۲٫۰٫۲٫۰/۲۴ در داخل سیستم خودمختار با شناسه ۶۴۴۹۶، قرار داشته باشد این سیستم خودمختار به دیگران اطلاع می‌دهد که هر ترافیکی به مقصد این آدرس را می‌تواند تحویل دهد.

ربودن IP در یکی از حالت‌های زیر می‌تواند به صورت عمدی یا تصادفی اتفاق بیفتد

• یک سیستم خودمختار، اعلام می‌کند آدرسی را به وجود آورده که در واقعیت به وجود نیاورده است.
• یک سیستم خودمختار، پیشوندی اعلام می‌کند که از پیشوند اعلام شده توسط سیستم خودمختار اصلی به وجود آورنده پیشوند دقیقتری است.
• یک سیستم خودمختار، اعلام می‌کند که مسیر کوتاه‌تری به سیستم خودمختار ربوده شده در اختیار دارد بدون توجه به اینکه مسیر فوق ذکر وجود داشته باشد یا نه.

این روش‌ها معمولاً به اختلال در فرایند عادی مسیریابی ختم می‌شوند: بسته‌ها به سمت بخش اشتباهی از شبکه هدایت و آنجا در حلقه‌ای بینهایت گرفتار شده و در نهایت نادیده گرفته می‌شوند یا با لطف ربایندگان به سمت مقصد هدایت می‌شوند.

کاربران خراب کار از ربودن IP برای بدست آوردن آدرس‌ها استفاده می‌کنند که بعداً در هرزه نگاری (spamming) و محرومیت از خدمات توزیع شده (distributed denial of service) از آنها استفاده می‌کنند.

ربودن BGP و مشکلات انتقالات بین AS

مانند حمله TCP rest، ربودن جلسه (استراق نشست) شامل نفوذ به جلسات در حال BGP مرزی می‌شود؛ در واقع، حمله کننده موفق می‌شود هویت یکی از طرفهای BGP را جعل کند و همان اطلاعاتی که در حمله reset مورد نیاز است را نیاز دارد. تفاوت آنها در این است که حمله ربودن جلسه ممکن است به گونه‌ای طراحی شود که اعمالی بیشتر از خراب کردن جلسه بین طرف‌های BGP انجام شود. برای مثال، هدف حمله ممکن است تغییر مسیرهای استفاده شده توسط یکی از طرف‌ها باشد که برای تسهیل گوش دادن به ارتباطات، بررسی ترافیک و حملات دیگر بسیار مفید است.

به صورت پیش فرض طرف‌های BGP تمام مسیرهای رسیده از طرف دیگر را به جداول مسیریابی خود اضافه کرده سپس تمام این مسیرها را به گره‌های دیگر اعلام می‌کنند. این روند می‌تواند باعث ایجاد مشکل شود چرا که در سازمان‌هایی با چند خدمات دهنده، مسیرهای دریافت شده از یک سیستم خودمختار به سیستم خودمختار دیگر معرفی شده که موجب می‌شود یک کاربر نهایی به کوتاه‌ترین مسیر موجود مبدل شود. برای مثال کاربری دارای یک مسیریاب Cisco است و از دو خدمات دهنده AT&T و Verizon خدمات می‌گیرد اگر از هیچ فیلتری استفاده نکرده باشد به صورت خودکار سعی خواهد کرد دو ارائه دهنده خدمات بزرگ را به هم متصل کند، که باعث می‌شود خدمات دهنده ترجیح دهند برای ارسال بخشی یا همه ترافیک خود به جای استفاده از خطوط اختصاصی پر سرعت، از این کاربر (که مثلاً دارای یک T۱ است) استفاده کنند. در واقعیت این مشکل در ISPهای بزرگ به وجود نمی‌آید چرا که این ISPها بسته‌های تبلیغاتی کاربران را محدود می‌کنند. اما هر ISP که بسته‌های تبلیغاتی کاربران را فیلتر نمی‌کند می‌تواند باعث شود این اطلاعات نامناسب باعث اختلال در ارائه دهنده رده اولی (Tier-1) شود.

مفهوم ربودن BGP بیشتر شامل یافتن ISP می‌شود که بسته تبلیغات را فیلتر نمی‌کند (سهواً یا عمداً) یا یافتن ISP که می‌توان حمله مرد میانی را بر روی جلسات BGP داخلی یا خارجی آن اجرا کرد. بعد از یافتن ISP مورد نظر، حمله کننده می‌تواند هر پیشوند دلخواهی را تبلیغ کند که موجب می‌شود بخشی یا همه ترافیک از مبدأ به سمت حمله کننده هدایت شود. این کار می‌تواند به منظور ارسال بار اضافی به ISP مورد نظر یا حمله DOS یا جعل هویت مقصدی که پیشوند آن تبلیغ شده‌است، انجام شود. دور از انتظار نیست که حمله کننده می‌تواند باعث قطعی جدی شده و مسبب از دست دادن کامل ارتباطات باشد. در اوایل ۲۰۰۸ ترافیک حداقل ۸ دانشگاه آمریکایی برای مدت ۹۰ دقیقه به سمت اندونزی هدایت شد. همچنین در فوریه ۲۰۰۸ زمانی که PTA تصمیم گرفت سایت YouTube را فیلتر کند، بیشتر ترافیک YouTube به سمت پاکستان هدایت شد. علت این مشکل این بود که این سازمان اشتباهاً سیاه چاله‌ای برای این مسیر در سطح جدول‌های جهانی BGP ایجاد کرده بود.

در شرایطی که فیلتر کردن و MD5/TTL برای بیشتر پیاده‌سازی‌های BGP مهیا شده‌است (که در نتیجه از به وجود آمدن بیشتر حملات جلوگیری می‌شود)، اما مشکل از جایی نشات می‌گیرد که ISPها کمتر بسته‌های تبلیغاتی ورودی از ISPهای دیگر را فیلتر می‌کنند. این بدان دلیل است که هیچ راه کار مناسبی برای تشخیص امکان‌پذیر بودن لیست پیشوندهای تولید شده توسط یک AS خاص توسط آن AS وجود ندارد. جریمه ISPهایی که اجازه می‌دهند تا اطلاعات مخرب تبلیغات شوند، می‌تواند از فیلتر شدن توسط ISPهای دیگر تا قطع کامل جلسه BGP توسط ISP همسایه (که موجب قطع ارتباط دو ISP می‌شود)، باشد. همچنین ادامه‌دار شدن این مسئله معمولاً باعث خاتمه دادن به تمام توافقات دو طرفه می‌گردد. باید به این نکته اشاره کنیم که حتی فیلتر شدن یک ISP کوچک مشکل ساز توسط یک ISP بزرگتر باعث می‌شود تا BGP سراسری پیکربندی مجدد شده ترافیک را از مسیرهای امکان‌پذیر دیگر انتقال دهد تا اینکه ISP مشکل ساز مشکل را برطرف کرده یا تمام طرف‌ها اقدام‌های لازم را انجام دهند.

رخدادهای عمومی

• آوریل ۱۹۹۷: " AS 7007 incident " قدیمی‌ترین مثال قابل توجه^[۱]
• ۲۴ دسامبر ۲۰۰۴: TTNet در ترکیه اینترنت را می‌رباید.^[۲]
• ۷ می ۲۰۰۵: ارتباطات Google قطع می‌شود^[۳]
• ۲۲ ژانویه ۲۰۰۶: Con-Edison بخش بزرگی از اینترنت را ربود.^[۴]
• ۲۴ فوریه ۲۰۰۸: پاکستان اقدام به فیلتر کردن یوتیوب در داخل کشور خودشان کرده اما اشتباهاً کل سایت را مختل می‌کنند.^[۵]
• ۱۱ نوامبر ۲۰۰۸: خدمات دهنده برزیلی جدول‌های داخلی خودشان را به جداول سراسری BGP نشت دادن.^[۶][۷] این رخداد ۵ دقیقه به طول انجامید، سپس توسط RIPE شناسایی شده مانع از انتقال گسترده آن شد.
• ۸ آوریل ۲۰۱۰: خدمات دهنده چینی اینترنت را ربود. China Telecom برای مدت ۱۵ دقیق مدعی تولید ۳۷۰۰۰ پیشوندی شد که متعلق به خودش نبود.^[۸]
• ۳۰ ژوئیه ۲۰۱۸: شرکت مخابرات ایران BGP مربوط به تلگرام را می‌رباید و باعث قطعی گسترده یک ساعتی این اپلیکیشن می‌شود.^[۹]

جستارهای وابسته

• Bogon filtering
• Border Gateway Protocol
• Resource Public Key Infrastructure

منابع

1. «Merit.edu». بایگانی‌شده از اصلی در ۲۷ فوریه ۲۰۰۹. دریافت‌شده در ۱۱ نوامبر ۲۰۱۳.
2. «Renesys.com». بایگانی‌شده از اصلی در ۲۸ فوریه ۲۰۰۸. دریافت‌شده در ۱۱ نوامبر ۲۰۱۳.
3. Analysis of BGP Prefix Origins During Google’s May 2005 Outage
4. «Renesys.com». بایگانی‌شده از اصلی در ۸ مارس ۲۰۱۳. دریافت‌شده در ۱۱ نوامبر ۲۰۱۳.
5. Ripe.net
6. «نسخه آرشیو شده». بایگانی‌شده از اصلی در ۲۳ آوریل ۲۰۱۳. دریافت‌شده در ۱۱ نوامبر ۲۰۱۳.
7. «نسخه آرشیو شده». بایگانی‌شده از اصلی در ۱۹ آوریل ۲۰۱۲. دریافت‌شده در ۱۱ نوامبر ۲۰۱۳.
8. Bgpmon.net
9. «BGPStream Event #144057». bgpstream.com. بایگانی‌شده از اصلی در ۳۰ ژوئیه ۲۰۱۸. دریافت‌شده در ۲۰۱۸-۰۷-۳۰.

پیوند به بیرون

• BGPmon.net: A BGP specific monitoring system to detect prefix hijacks, route leakage and instability.
• Cyclops بایگانی‌شده در ۲۸ ژوئن ۲۰۰۸ توسط Wayback Machine: A BGP network audit tool (prefix hijack, route leakage) by UCLA
• NetViews: A Real Time BGP Topology visualization and IP Hijacking Detection tool by University of Memphis.
• AS-CRED: A service of reputation-based trust management and real-time alert (prefix hijacking, unstable prefix announcement), for inter-domain routing by University of Pennsylvania.