經過BGP實現流量劫持

 

BGP

BGP全稱是Border Gateway Protocol，翻譯成中文是邊界網關協議，用於全球各個AS之間的路由。它的地位是毋庸置疑的，若是沒有它就沒有全球的因特網。由於全球各個AS都等價的維護一個BGP也帶來一些安全性問題，只要任意一個節點的BGP信息配置失誤均可能對全球網絡產生影響。

像國內BAT這樣的企業都是經過互聯網交換中心用BGP與其餘各大運營商創建的鏈接關係對外提供服務的。固然更多的中小型公司沒有實力本身另起一個AS與運營商創建BGP鄰居，這時他們能夠「寄生」在其餘運營商中來對外提供服務（好比我接入聯通的網絡，使用聯通提供的ip地址來對外提供服務。此時對於其餘AS的網民來說我就是聯通提供給他們的服務）。

注：每個AS都是一個獨立的總體網絡，一個AS全部者能夠是一家公司，也能夠是一個組織。一個組織內的服務器想要對因特網上的網民提供服務就須要經過BGP將本身AS內的ip地址宣告給其餘AS，好讓其餘AS內的用戶知道你這有響應服務提供。 換言之，一個AS就好像一個部落，你要想和其餘部落進行貿易往來就須要修條路通往其餘部落，這條路就是BGP。

 

 

由於全球的AS都是用BGP來學習路由，因此咱們只須要對BGP稍微「動點手腳」就能夠達到流量劫持的目的，下面介紹兩種經常使用方法：

 

背景：1.1.1.0/24屬於AS100並經過BGP路由宣告出去，AS200和AS300的用戶經過BGP學習到1.1.1.0/24的路由，實際訪問的時候將流量轉發至AS100　

　　　

一、利用「地理位置」對流量進行截胡：AS400通過攻擊者操控後，將本不屬於它的1.1.1.0/24網段宣告進BGP，這樣AS200和AS300就從兩個方向都學到了1.1.1.0/24的路由。AS200和AS300這時會比較兩個方向的AS-PATH屬性，哪一個短走哪邊，結果AS300發現從AS400發來的AS-PATH通過的路徑更少，而後將本應該給AS100的1.1.1.0/24的流量就丟給了AS400，AS400從而達成了流量劫持的目的。

 

二、更細的子網掩碼：AS400通過攻擊者操控後，宣告一個子網掩碼更細的網段1.1.1.0/25進BGP，這樣AS200和AS300的路由表中的就都學到了一條更精細化的路由1.1.1.0/25。根據「子網掩碼越大越優先」的路由選路原則，AS200和AS300此後就會將1.1.1.0/25的流量轉發至AS400，AS400從而達成了流量劫持的目的。

 

總結：BGP網絡是全球全部人共同維護的一張網絡，你對BGP的任何一次操做均可能影響全球用戶，因此在對BGP進行操做時必定要當心再當心！