BGP/DNS劫持这回盯上了支付系统
消息来源:baojiabao.com 作者: 发布时间:2024-05-19
内容来自Oracle官方博客,由云头条编译
2018年4月份,Oracle曾详细描述了对亚马逊权威DNS服务实施肆无忌惮的BGP劫持事件,不法分子旨在将数字货币钱包服务的用户重定向到一个准备窃取钱财的欺诈网站。
在过去一个月,Oracle观察到了对权威DNS服务器实施BGP劫持的另外几起事件,手法与4月份的劫持大同小异。这回目标包括美国几家支付处理公司。
与亚马逊案一样,最近的这几次BGP劫持使假冒的DNS服务器能够返回伪造的DNS响应,将不知情的用户误导到恶意网站。由于在伪造的响应中使用TTL(生存时间)很长的值,递归的DNS服务器在BGP劫持消失很久后仍将这些伪造的DNS条目保存在缓存中,最大限度地延长了攻击的持续时间。
数次劫持
2018年7月6日23:37:18 UTC,Digital Wireless Indonesia(AS38146)将下列前缀通告了约30分钟。这些前缀并没有传播很远,只被我们的少数几个peer看到。
> 64.243.142.0/24 Savvis
> 64.57.150.0/24 Vantiv, LLC
> 64.57.154.0/24 Vantiv, LLC
> 69.46.100.0/24 Q9 Networks Inc.
> 216.220.36.0/24 Q9 Networks Inc.
其中三个是现有路由的较具体的通告(64.243.142.0/24、69.46.100.0/24和216.220.36.0/24)。
然后在2018年7月10日22:17:37 UTC,马来西亚运营商Extreme Broadband(AS38182)通告了上面列出的一模一样的五个前缀。时间持续了约30分钟,这些劫持前缀并没有传播太远。然后它们在23:37:47 UTC再次通告了约15分钟,不过是针对一群更广泛的peer:这回是48个peer,而不是前一个小时的3个peer。BGP community从24218:1120变成24218:1似乎加大了路由传播范围。
该公司网站上的宣传册显示,Datawire是一项“申请专利的连接服务,可以通过公共互联网安全可靠地将金融交易传输到支付处理系统。”Datawire的命名服务器ns1.datawire.net和ns2.datawire.net分别解析到216.220.36.76和69.46.100.71,这些地址就在上面显示的被劫持网络上。
Vantiv和First Third Processing是美国知名的支付处理服务Worldpay以前的名称。 Vantiv的命名服务器ns1.ftpsllc.net和ns2.ftpsllc.net分别解析到64.57.150.53和64.57.154.53,这些地址在上面显示的被劫持网络上。
2018年7月11日00:29:24 UTC,AS38182开始在两次单独的事件中劫持一组新的前缀,每次持续了几分钟。
> 209.235.25.0/24 Mercury Payment Systems
> 63.111.40.0/24 Mercury Payment Systems
> 8.25.204.0/24 Level 3
> 12.130.236.0/24 CERFnet
Mercury Payment Systems是一家信用卡处理服务公司,也归Worldpay(前身是Vantiv)拥有。Mercury的命名服务器ns1.mercurypay.com和ns2.mercurypay.com解析到209.235.25.13和63.111.40.13。这些IP地址被劫持,作为209.235.25.0/24和63.111.40.0/24的一部分,这两者都是正常路由的更具体的通告。
这是在2018年7月12日21:51:36 UTC,AS38182开始劫持与前两次目标同样的5条路由。
> 64.243.142.0/24 Savvis
> 64.57.150.0/24 Vantiv, LLC
> 64.57.154.0/24 Vantiv, LLC
> 69.46.100.0/24 Q9 Networks Inc.
> 216.220.36.0/24 Q9 Networks Inc.
这些劫持持续了近三个小时。下面直观地显示了Vantiv劫持:
如下图所示,Q9显然注意到其路由已被劫持,开始通告同样的路由,旨在重新控制IP地址空间。
然后在2018年7月12日23:06:32 UTC,AS38182开始劫持各条路由,包括面向知名DNS服务提供商UltraDNS(隶属Neustar)的两条路由,持续了约10分钟。
> 199.7.68.0/24 UltraDNS Corporation
> 199.7.69.0/24 UltraDNS Corporation
> 204.74.108.0/24 UltraDNS Corp
> 204.74.109.0/24 Internet Media Network
> 204.74.114.0/24 Internet Media Network
> 204.74.115.0/24 Internet Media Network
> 65.118.49.0/24 CenturyLink
伪造的DNS响应
早在7月10日,这些支付系统的用户就开始反映问题了。第一次劫持过后不久,故障电子邮件分发列表上的参与者就反映连接到Datawire有问题。
7月10日至13日之间的被动DNS观察显示* .datawire.net域名解析到45.227.252.17,IP地址空间注册在荷兰加勒比海岛库拉索岛,但是路由却经由乌克兰东部独立出来的卢汉斯克区域。
同样,4月份亚马逊Route53服务劫持后被指向46.161.42.42,这注册为德国IP地址空间,但同样路由经由乌克兰东部的卢汉斯克。
这些相似之处表明这两个权威DNS服务器的BGP劫持可能有关联。
在上个月的劫持中,不法分子很关注细节,将伪造响应的TTL设为~5天。目标域的正常TTL是10分钟(600秒)。通过配置很长的TTL,伪造的记录在BGP劫持已停止很久后可以在DNS缓存层中持续一段更长的时间。
结论
如果说之前的劫持是警告,那么这些事件表明互联网基础设施正在直接遭到攻击。遗憾的是,预计针对互联网的这种类型的攻击会有增无减。
正如NTT通信公司的乔布?斯尼基德斯(Job Snijders)所说,我们只希望可以充分利用互联网行业的整合优势、为己所用。他最近写信给我:
如果知名DNS服务提供商(包括权威和递归服务)使用RPKI签名路由,并验证通过EBGP收到的路由,那么这种攻击的影响会减小,因为可以来回建立受到保护的路径。一小部分高度连接的组织需要部署基于RPKI的BGP源验证(BGP Origin Validation),为数十亿最终用户确保良好的互联网体验。
相关文章
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状
2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因
2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓
2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?
2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元
2023-02-17 18:58:09
- 科大讯飞同传同声翻译软件造假 浮夸不能只罚酒三杯
2023-02-17 18:46:15
- 华为mate20pro系列手机首发上市日期价格,屏幕和电池参数配置对比
2023-02-17 18:42:49
- 小米MAX4手机上市日期首发价格 骁龙720打造大屏标准
2023-02-17 18:37:22
- 武汉弘芯遣散!结局是总投资1280亿项目烂尾 光刻机抵押换钱
2023-02-16 15:53:18
- 谷歌GoogleDrive网云盘下载改名“GoogleOne” 容量提升价格优惠
2023-02-16 13:34:45
- 巴斯夫将裁员6000人 众化工巨头裁员潮再度引发关注
2023-02-13 16:49:06
- 人手不足 韵达快递客服回应大量包裹派送异常没有收到
2023-02-07 15:25:20
- 资本微念与李子柒销声匿迹谁赢? 微念公司退出子柒文化股东
2023-02-02 09:24:38
- 三星GalaxyS8 S9 S10系统恢复出厂设置一直卡在正在检查更新怎么办
2023-01-24 10:10:02
- 华为Mate50 RS保时捷最新款顶级手机2022多少钱?1.2万元售价外观图片吊打iPhone14
2023-01-06 20:27:09
- 芯片常见的CPU芯片封装方式 QFP和QFN封装的区别?
2022-12-02 17:25:17
- 华为暂缓招聘停止社招了吗?官方回应来了
2022-11-19 11:53:50
- 热血江湖手游:长枪铁甲 刚猛热血 正派枪客全攻略技能介绍大全
2022-11-16 16:59:09
- 东京把玩了尼康微单相机Z7 尼康Z7现在卖多少钱?
2022-10-22 15:21:55
- 苹果iPhone手机灵动岛大热:安卓灵动岛App应用下载安装量超100万次
2022-10-03 22:13:45