Attacco BGP

as25459Il 24 luglio scorso l’autonomous system 25459 ha annunciato oltre 300 IP non suoi appartenenti anche ad istituti di credito di tutto il mondo.

Per la spiegazione di come funzionano gli autonomous system (AS), sulla loro importanza e sul significato della terminologia utilizzata vi rimando a questo articolo pubblicato un paio di anni fa.

Con ogni probabilità il BGP dell’AS25459 è stato in qualche modo hackerato e costretto ad annunciare IP non suoi.

Guardando i report del RIPE riprodotto qui sopra si vede che nel giorno dell’incidente l’AS ha annunciato dei blocchi /32 (un singolo IP), cosa molto strana per un AS, il cui limite inferiore è di solito /24. Dal momento che ogni annuncio occupa un record nelle tabelle dei router, più si aggregano i blocchi e meno si caricano i router. Purtroppo l’esaurimento dell’IPv4 ha portato ad una certa frammentazione dei blocchi, ma annunciare un singolo IP /32 è (almeno per ora) sintomo di un hacking o di una errata configurazione di un router di confine.

Il 24 luglio uno stesso IP era annunciato da due AS diversi: quello legittimo e l’AS25459 hackerato; in questo caso il protocollo BGP sceglie il routing migliore e c’è la concreta possibilità che sia quello hackerato anziché quello legittimo.

Leggi tutto “Attacco BGP”