BGP／DNS 劫持這回盯上了「支付系統」

內容來自Oracle官方博客，由雲頭條編譯

2018年4月份，Oracle曾詳細描述了對亞馬遜權威DNS服務實施肆無忌憚的BGP劫持事件，不法分子旨在將數字貨幣錢包服務的用戶重定向到一個準備竊取錢財的欺詐網站。

在過去一個月，Oracle觀察到了對權威DNS伺服器實施BGP劫持的另外幾起事件，手法與4月份的劫持大同小異。這回目標包括美國幾家支付處理公司。

與亞馬遜案一樣，最近的這幾次BGP劫持使假冒的DNS伺服器能夠返回偽造的DNS響應，將不知情的用戶誤導到惡意網站。由於在偽造的響應中使用TTL（生存時間）很長的值，遞歸的DNS伺服器在BGP劫持消失很久後仍將這些偽造的DNS條目保存在緩存中，最大限度地延長了攻擊的持續時間。

數次劫持

2018年7月6日23:37:18 UTC，Digital Wireless Indonesia（AS38146）將下列前綴通告了約30分鐘。這些前綴並沒有傳播很遠，只被我們的少數幾個peer看到。

> 64.243.142.0/24 Savvis

> 64.57.150.0/24 Vantiv, LLC

> 64.57.154.0/24 Vantiv, LLC

> 69.46.100.0/24 Q9 Networks Inc.

> 216.220.36.0/24 Q9 Networks Inc.

其中三個是現有路由的較具體的通告（64.243.142.0/24、69.46.100.0/24和216.220.36.0/24）。

然後在2018年7月10日22：17：37 UTC，馬來西亞運營商Extreme Broadband（AS38182）通告了上面列出的一模一樣的五個前綴。時間持續了約30分鐘，這些劫持前綴並沒有傳播太遠。然後它們在23:37:47 UTC再次通告了約15分鐘，不過是針對一群更廣泛的peer：這回是48個peer，而不是前一個小時的3個peer。BGP community從24218：1120變成24218：1似乎加大了路由傳播範圍。

該公司網站上的宣傳冊顯示，Datawire是一項「申請專利的連接服務，可以通過公共互聯網安全可靠地將金融交易傳輸到支付處理系統。」Datawire的命名伺服器ns1.datawire.net和ns2.datawire.net分別解析到216.220.36.76和69.46.100.71，這些地址就在上面顯示的被劫持網路上。

Vantiv和First Third Processing是美國知名的支付處理服務Worldpay以前的名稱。 Vantiv的命名伺服器ns1.ftpsllc.net和ns2.ftpsllc.net分別解析到64.57.150.53和64.57.154.53，這些地址在上面顯示的被劫持網路上。

2018年7月11日00:29:24 UTC，AS38182開始在兩次單獨的事件中劫持一組新的前綴，每次持續了幾分鐘。

> 209.235.25.0/24 Mercury Payment Systems

> 63.111.40.0/24 Mercury Payment Systems

> 8.25.204.0/24 Level 3

> 12.130.236.0/24 CERFnet

Mercury Payment Systems是一家信用卡處理服務公司，也歸Worldpay（前身是Vantiv）擁有。Mercury的命名伺服器ns1.mercurypay.com和ns2.mercurypay.com解析到209.235.25.13和63.111.40.13。這些IP地址被劫持，作為209.235.25.0/24和63.111.40.0/24的一部分，這兩者都是正常路由的更具體的通告。

這是在2018年7月12日21:51:36 UTC，AS38182開始劫持與前兩次目標同樣的5條路由。

> 64.243.142.0/24 Savvis

> 64.57.150.0/24 Vantiv, LLC

> 64.57.154.0/24 Vantiv, LLC

> 69.46.100.0/24 Q9 Networks Inc.

> 216.220.36.0/24 Q9 Networks Inc.

這些劫持持續了近三個小時。下面直觀地顯示了Vantiv劫持：

如下圖所示，Q9顯然注意到其路由已被劫持，開始通告同樣的路由，旨在重新控制IP地址空間。

然後在2018年7月12日23:06:32 UTC，AS38182開始劫持各條路由，包括面向知名DNS服務提供商UltraDNS（隸屬Neustar）的兩條路由，持續了約10分鐘。

> 199.7.68.0/24 UltraDNS Corporation

> 199.7.69.0/24 UltraDNS Corporation

> 204.74.108.0/24 UltraDNS Corp

> 204.74.109.0/24 Internet Media Network

> 204.74.114.0/24 Internet Media Network

> 204.74.115.0/24 Internet Media Network

> 65.118.49.0/24 CenturyLink

偽造的DNS響應

早在7月10日，這些支付系統的用戶就開始反映問題了。第一次劫持過後不久，故障電子郵件分發列表上的參與者就反映連接到Datawire有問題。

7月10日至13日之間的被動DNS觀察顯示* .datawire.net域名解析到45.227.252.17，IP地址空間註冊在荷蘭加勒比海島庫拉索島，但是路由卻經由烏克蘭東部獨立出來的盧漢斯克區域。

同樣，4月份亞馬遜Route53服務劫持後被指向46.161.42.42，這註冊為德國IP地址空間，但同樣路由經由烏克蘭東部的盧漢斯克。

這些相似之處表明這兩個權威DNS伺服器的BGP劫持可能有關聯。

在上個月的劫持中，不法分子很關注細節，將偽造響應的TTL設為~5天。目標域的正常TTL是10分鐘（600秒）。通過配置很長的TTL，偽造的記錄在BGP劫持已停止很久後可以在DNS緩存層中持續一段更長的時間。

結論

如果說之前的劫持是警告，那麼這些事件表明互聯網基礎設施正在直接遭到攻擊。遺憾的是，預計針對互聯網的這種類型的攻擊會有增無減。

正如NTT通信公司的喬布?斯尼基德斯（Job Snijders）所說，我們只希望可以充分利用互聯網行業的整合優勢、為己所用。他最近寫信給我：

如果知名DNS服務提供商（包括權威和遞歸服務）使用RPKI簽名路由，並驗證通過EBGP收到的路由，那麼這種攻擊的影響會減小，因為可以來回建立受到保護的路徑。一小部分高度連接的組織需要部署基於RPKI的BGP源驗證（BGP Origin Validation），為數十億最終用戶確保良好的互聯網體驗。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！