[摘要] 原标题:BGP挟持攻击再现,这次锁定美国支付业者 图片来源: Oracle 甲骨文(Oracle)上周揭露另一起BGP挟持攻击,指出骇客先入侵了位于印尼及马来西亚的两家ISP业者,散布错误的路由资
原标题:BGP挟持攻击再现,这次锁定美国支付业者
图片来源: Oracle 甲骨文(Oracle)上周揭露另一起BGP挟持攻击,指出骇客先入侵了位于印尼及马来西亚的两家ISP业者,散布错误的路由资讯,以将美国三大支付业者Datawire、Vantiv与Mercury△Payment△Systems的流量导...
图片来源:Oracle
甲骨文(Oracle)上周揭露另一起BGP挟持攻击,指出骇客先入侵了位于印尼及马来西亚的两家ISP业者,散布错误的路由资讯,以将美国三大支付业者Datawire、Vantiv与Mercury△Payment△Systems的流量导至骇客所控制的伺服器,手法类似今年4月的攻击行动。
Border△Gateway△Protocol(BGP,边界闸道协议)是借由IP路由表或前缀(Prefix)来实现自治系统(AS)之间的可达性,大多数ISP业者必须利用BGP与其它ISP建立路由连线。BGP挟持(BGP△hijacking)即是先骇进ISP业者或其它网络架构供应商的BGP伺服器,再散布错误的路由来干预流量。
甲骨文Dyn网络分析总监Doug△Madory说明,骇客集团在今年7月间借由入侵印尼Digital△Wireless与马来西亚Extreme△Broadband两大ISP业者以窜改Datawire、Vantiv及Mercury△Payment△Systems的路由,让假冒的DNS伺服器能够传递伪造的回应,把原本要造访这三大支付业者的使用者导至恶意网站。
此外,骇客还在伪造的回应中采用更长的存活期(TTL),让这些假冒的DNS可在递回DNS伺服器中保留到BGP挟持结束为止,以最大化攻击时间。一般网域的TTL为10分钟,但在今年7月的攻击中,骇客把伪造回应的存活期最高设为5天。
骇客的目的是为了窃取支付卡业者的客户资讯,在展开攻击的这几天,使用者经常抱怨无法连上官网。
Madory表示,这些事件展现出网络基础架构已成为骇客的攻击目标,未来也很可能看到愈来愈多的相关攻击,现今唯一的希望就是网络产业应合作以发挥优势。他引用NTT△Communications工程师Job△Snijders的看法指出,假如主要的DNS服务供应商以RPKI来签署路由,并以EBGP来验证路由,就能减少攻击事件,而且只有少数提供密集连结的组织需要部署基于RPKI的BGP来源验证,即可造福数十亿的网络用户。
橙山网(Csnd.net)简评:Border△Gateway△Protocol(BGP,边界闸道协议)是借由IP路由表或前缀(Prefix)来实现自治系统(AS)之间的可达性,大多数ISP业者必须利用BGP与其它ISP建立路由连线。
网友评论