漏洞公告团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 网络安全 > 漏洞公告 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

操纵BGP Communities来实现劫持攻击

文章来源：重庆网站建设围观次数：

分享到:

摘要：通过操纵BGP社区实施劫持攻击是一种非常新颖的方法。这种劫持方法可以避免路由黑洞，隐蔽性高，许多传统的检测方法无法检测到。当然，发生攻击时有防御措施。

BGP

1.AS之间的业务关系

（1）提供者-客户

（2）同行

（3）客户提供者

客户需要向服务提供商付费才能访问Internet资源。对等端完全平等，可以免费交换网络流量。实际上，AS之间还存在其他关系，但主要是以上三个。

2.路由导入规则和导出规则

如下图所示，左侧显示路由的导出规则，右侧显示路由的导入规则（路由原理）。总结一下：

（1）导出规则

1）向所有邻居通告从客户那里学到的路线；

2）从同行和提供商那里学到的路由仅向客户宣布。

（2）导入规则

1）首选本地优先级高，通常按客户>对等方>提供者的高低排序；

2）其次，查看AS-Path长度。长度越小，优先级越高。

有很多导入路由的规则。本文仅使用两个关键的。

3.BGP Community属性

BGPcommunities 是一种路由标记方法，已添加到BGP公告中以控制上游AS的路由策略。

BGPcommunities 是一个可选的传递属性。不支持此属性的BGP路由器将community值完整地传递给下游BGP邻居。

本文中使用的community actions：

Lower local-preference below peer (LowerPref) 降低本地优先级

No export to select peer (NoExportSelect) 不向指定的 peer导出路由

No export to all peers (NoExportAll) 不向全部 peer导出路由

三种典型的攻击情形

攻击者（图中的黑色小人）有两个提供者：A和B。攻击者伪造了最初属于受害者的IP前缀，并向A发送了一个欺骗性公告消息。他希望吸引最初目的地为受害者和目标用户的网络流量。然后通过提供者B返回“受害者”，这相当于中间人劫持攻击。为了实现此效果，必须使B相信到达受害者的路线R，而不是通往攻击者的路线R *。这可以通过BGP社区属性来实现，在以下三种不同的情况下将对此进行讨论：

场景1图a

问题：B会首选R *，因为在路由原理中，本地优先级最高的是首选，R *来自对等方，R来自提供者，以及peer>提供者。

解决方案：攻击者可以使用Community action的NoExportAll或NoExportSelect来阻止A将R *导出到B，因此B无法学习R *并且只能选择R。

场景2图b

问题：B会更喜欢R *，因为R和R *都来自提供者，本地首选项是相同的，但是B只需3跳即可到达攻击者，R *只需跳至受害者。

解决方案：攻击者可以使用“社区”操作的LowPref来降低共享层1上R *的本地优先级，以便B将更喜欢R。

场景3图c

问题：B不确定他是更喜欢R还是R *，并且需要根据其他条件进行判断。因为R *和R具有相同的Local首选项，所以它们都是来自对等体； B到攻击者和受害者的跳数相同，均为2跳。

解决方案：攻击者可以使用社区行动的NoExportAll或NoExportSelect来阻止A将R *导出到B，因此B无法学习R *并且只能选择R。

摘要

通过操纵BGP社区实施劫持攻击是一种非常新颖的方法。这种劫持方法可以避免路由黑洞，隐蔽性高，许多传统的检测方法无法检测到。当然，发生攻击时有防御措施。本文还提出了几种防御方法，例如限制团体的传播和限制BGP更新消息中团体的数量。

本文由重庆网站建设整理发布,转载请保留出处，内容部分来自于互联网，如有侵权请联系我们删除。