在过去的几个小时里，有十几条新闻报道了一个攻击者是如何试图（也许是成功地）利用BGP漏洞窃取加密货币的。elhombredenegro提供的CC BY 2.0图像什么是BGP？因特网是由路由组成的。对于我们的DNS解析程序1.1.1.1，我们告诉全世界1.1.1.0到1.1.1.255范围内的所有IP都可以在任何Cloudflare PoP上访问。对于那些没有直接链接到我们的路由器的人，他们通过传输提供商接收路由，当他们连接到Cloudflare和Internet的其他部分时，他们会将数据包发送到这些地址。这是互联网正常的运作方式。为了避免人们使用同一个地址空间，有当局（地区互联网注册处，或RIR）负责分发IP地址。它们是IANA、RINE、ARIN、LANCIC、APNIC和AFRINIC。什么是BGP泄漏？Magnus D的CC BY 2.0图像BGP泄漏的广义定义是IP空间，它是由空间所有者不允许的人宣布的。当传输提供商接收到Cloudflare发布的1.1.1.0/24并将其发布到互联网上时，我们允许他们这样做。他们还使用RIR信息验证只有Cloudflare可以向他们宣布。尽管检查所有的公告会很麻烦。尤其是当互联网上有70万条以上的路线和供应商链相互交换流量时。根据其性质，路线泄漏是局部的。你在本地的联系越多，接受泄露路线的风险就越小。为了在合法路线上被接受，该路线必须是：较小的前缀（10.0.0.1/32=1个IP vs 10.0.0.0/24=256个IP）具有比相同长度（较短路径）的前缀更好的度量BGP泄漏的原因通常是配置错误：路由器突然宣布它所学的ip。或者内部用于流量工程的更小的前缀突然变得公开。但有时这样做是出于恶意。通过对前缀的重新路由可以被动地分析数据。或者有人也可以建立一个服务来非法回复。这种事以前也发生过。今天发生了什么事？Cloudflare维护了一系列BGP收集器，从全球数百台路由器收集BGP信息。在大约11:05:00 UTC到12:55:00 UTC之间，我们看到以下公告：BGP4MP | 04/24/18 11:05:42 | A | 205.251.199.0/24 | 10297BGP4MP | 04/24/18 11:05:42 | A | 205.251.197.0/24 | 10297BGP4MP | 04/24/18 11:05:42 | A | 205.251.195.0/24 | 10297BGP4MP | 04/24/18 11:05:42 | A | 205.251.193.0/24 | 10297BGP4MP | 04/24/18 11:05:42 | A | 205.251.192.0/24 | 10297...BGP4MP | 04/24/18 11:05:54 | A | 205.251.197.0/24 | 4826693910297以下是更详细的范围公告：205.251.192.0/23205.251.194.0/23205.251.196.0/23205.251.198.0/23这个IP空间被分配给Amazon（AS16509）。但ASN向同行宣布其为eNet公司（AS10297），并转发给Hurricane Electric（AS6939）。这些IP是用于路由53 Amazon DNS服务器的。当您查询其中一个客户机区域时，这些服务器将回复。在这两个小时内，IP范围内的服务器只响应myetherwallet.com网站. 正如一些人注意到的SERVFAIL。任何DNS解析程序被要求提供路由53处理的名称时，都会询问通过BGP泄漏接管的权威服务器。这毒害了其路由器已接受该路由的DNS解析程序。其中包括Cloudflare DNS解析程序1.1.1.1。我们在芝加哥、悉尼、墨尔本、珀斯、布里斯班、宿务、曼谷、奥克兰、马斯喀特、吉布提和马尼拉受到影响。在世界其他地方，1.1.1.1正常工作。今早BGP劫持事件影响了Amazon域名系统。俄亥俄州哥伦布市的eNet（AS10297）宣布了以下关于亚马逊河路线的详细信息，时间为UTC时间11:05至13:03今天：205.251.192.0/24205.251.193.0/24205.251.195.0/24205.251.197.0/24205.251.199.0/24-Internettelligence（@internettel）2018年4月24日更正：今早BGP劫持是针对AWS DNS而不是googledns。https://t.co/gp3VLbImpX-Internettelligence（@internettel）2018年4月24日例如，以下查询将返回您合法的Amazon IP：$dig+空头myetherwallet.com网站@205.251.195.23954.192.146.xx但在劫持过程中，它返回了与一家俄罗斯供应商相关的IP（AS48693和AS41995）。你不需要接受被劫持的路由成为攻击的受害者，只需使用一个已中毒的DNS解析程序。如果您使用HTTPS，假网站将显示一个由未知机构签名的TLS证书（证书中列出的域是正确的，但它是自签名的）。这种攻击的唯一方法是继续并接受错误的证书。从那时起，你发送的所有内容都将被加密，但攻击者拥有密钥。如果您已经登录，您的浏览器将在cookie中发送登录信息。否则，如果您在登录页面上键入用户名和密码，则会发送它们。一旦攻击者获得登录信息，就在合法网站上使用这些信息来转移和窃取以太坊。图片摘要正常情况下在BGP路径泄漏后受影响区域如前所述，AS10279宣布了这条路线。但只有部分地区受到影响。飓风电力公司在澳大利亚有很强的影响力，主要是由于互联网成本。芝加哥受到影响是因为AS10279有一个物理存在导致直接对等。下图显示了在受影响区域和未受影响区域（Y轴标准化）中接收到的数据包数。下降是由于权威服务器不再响应我们的请求（它只对一个网站作出响应，而其他所有亚马逊域名都被忽略）。eNet使用的其他transit（CenturyLink、Cogent和NTT）似乎不接受这一路线：原因可能是他们有过滤器和/或亚马逊作为客户。eNet提供IP服务，所以他们的一个客户可能已经宣布了。有人该受责备吗？由于涉及的演员很多，很难确定过错。参与者：宣布自己没有拥有子网的ISP。在转发之前没有检查公告的运输供应商。接受路由的ISP。缺乏对DNS解析程序和权限的保护。钓鱼网站托管在俄罗斯的提供商上。未强制实施合法TLS证书的网站。即使TLS证书无效，仍单击"继续"的用户。就像区块链一样，网络更改通常可见并存档。RIPE为这个用途维护了一个数据库。我们能修好这个吗？这是一个很难回答的问题。有人提议获得BGP：一些术语可以添加到RIR数据库中，因此可以生成允许来源的列表：$whois-h美元whois.radb.net网站'-M 205.251.192.0/21'|白鹭'^路线：|来源：|来源：'|粘贴----|排序路线：205.251.192.0/23来源：AS16509来源：RADB路线：205.251.192.0/23产地：AS16509来源：REACH建立RPKI/ROA记录，并将RIR作为路线路径的真实来源，尽管并非每个人都创建或验证这些记录。IP和BGP是几十年前创建的，在完整性和真实性方面有不同的要求（更少的路由）。在网络栈的上层可以做一些事情。在DNS上，您可以使用DNSSEC对您的记录进行签名。假DNS返回的ip不会被签名，因为它们没有私钥。如果使用Cloudflare作为DNS，只需单击面板中的几次即可启用DNSSEC。在HTTPS上，您的浏览器将检查网站提供的TLS证书。如果启用了HSTS，浏览器将一直需要有效的证书。为域生成合法TLS证书的唯一方法是毒害证书颁发机构的非DNSSEC DNS解析程序的缓存。DANE提供了一种使用DNS将证书固定到域名的方法。HTTPS上的DNS还允许验证您正在与正确的解析程序对话，以防泄漏发生在DNS解析程序而不是DNS授权机构上。没有完美而独特的解决方案。这些保护措施越多，恶意行为体就越难执行此类攻击。