Ingegnere di rete con esperienza in Border Gateway Protocol (BGP) qui.
Sì. Ma di solito l'attacco dovrebbe essere per un blocco di indirizzi più grande e (come ha commentato Eevee) richiedere un attaccante con abilità e accesso specifici. Se qualcuno ti chiama e afferma che il tuo IP è stato violato, probabilmente è un truffatore. Riaggancia!
Torna alla domanda:
Supponiamo che alla società "buon ISP" sia assegnato il 1.1.0.0/16. Sei un cliente di "buon ISP" e l'indirizzo IP pubblico del tuo router di casa è 1.1.5.5.
"EvilCo" vuole farti sembrare cattivo scaricando ... inappropriato ... contenuto da 1.1. 5.5. Hanno una connessione al protocollo di routing BGP non filtrata a Internet e pubblicizzano 1.1.5.5/32.
Questo attacco fallisce. Sebbene la loro connessione BGP non sia filtrata (e qui stiamo parlando di filtri pubblicitari di route, non di filtri di pacchetti), gli ISP Internet generalmente non accettano route IPv4 più specifiche di un /24.
Quindi EvilCo pubblicizza 1.1 .5.0 / 24 in BGP. Ciò riesce. Sia 1.1.5.0/24 che 1.1.0.0/16 esistono nella tabella di routing Internet principale e la rotta più specifica vince!
Alcune attenuazioni:
- Gli ISP generalmente filtrano Connessioni BGP ai loro clienti e accettano solo percorsi specifici, ma ci sono molte connessioni BGP non filtrate là fuori (personalmente avevo accesso a una in un lavoro precedente ... era così vecchia che è stata creata prima che l'ISP rafforzasse le loro configurazioni standard) .
- I buoni operatori BGP utilizzano un "servizio di monitoraggio BGP" che invia loro un'e-mail quando qualcun altro pubblicizza uno dei blocchi loro assegnati. (BGPmon)
- Esistono "database di registro delle rotte" (RADB ad esempio) e alcuni ISP cercano di controllare le loro rotte con i database, ma questi database sono generalmente incompleti.
- Il requisito attaccare un blocco più grande (/ 24) rende l'attacco più ovvio, poiché più persone sono interessate e tutti gli aggiornamenti BGP vengono registrati da diverse organizzazioni.
È anche possibile per un operatore non autorizzato all'interno di "Good ISP" prendere in consegna specificamente il tuo /32.
È sempre possibile per chiunque inviare traffico con un IP di origine di 1.1.5.5 senza reindirizzamento il blocco, ma ciò non si tradurrà in handshake TCP completati, quindi non si verificheranno download (le query DNS sono solitamente UDP a pacchetto singolo, quindi è facile per qualcuno falsificare le query DNS dal tuo indirizzo IP per un dominio inappropriato e inviarlo a un server DNS arbitrario in cui la query potrebbe essere registrata).
C'è una buona discussione e cronologia degli incidenti di "dirottamento BGP" su Wikipedia. Le organizzazioni di operatori di rete, tra cui NANOG (North American Network Operators Group), comunicano e collaborano per affrontarli (o almeno renderli visibili) quando si verificano.
Molti (la maggior parte?) Incidenti di dirottamento BGP sono "errori dell'operatore "Piuttosto che intenzionale. In alcuni casi le aziende trovano lo spazio degli indirizzi IPv4 assegnato a un'entità non più operativa e lo utilizzano per le operazioni aziendali. Lo spazio degli indirizzi IPv4 è scarso e costoso a causa dell'esaurimento degli indirizzi IP.