经过BGP实现流量劫持

 

BGP

BGP全称是Border Gateway Protocol，翻译成中文是边界网关协议，用于全球各个AS之间的路由。它的地位是毋庸置疑的，若是没有它就没有全球的因特网。由于全球各个AS都等价的维护一个BGP也带来一些安全性问题，只要任意一个节点的BGP信息配置失误均可能对全球网络产生影响。

像国内BAT这样的企业都是经过互联网交换中心用BGP与其余各大运营商创建的链接关系对外提供服务的。固然更多的中小型公司没有实力本身另起一个AS与运营商创建BGP邻居，这时他们能够“寄生”在其余运营商中来对外提供服务（好比我接入联通的网络，使用联通提供的ip地址来对外提供服务。此时对于其余AS的网民来说我就是联通提供给他们的服务）。

注：每个AS都是一个独立的总体网络，一个AS全部者能够是一家公司，也能够是一个组织。一个组织内的服务器想要对因特网上的网民提供服务就须要经过BGP将本身AS内的ip地址宣告给其余AS，好让其余AS内的用户知道你这有响应服务提供。 换言之，一个AS就好像一个部落，你要想和其余部落进行贸易往来就须要修条路通往其余部落，这条路就是BGP。

 

 

由于全球的AS都是用BGP来学习路由，因此咱们只须要对BGP稍微“动点手脚”就能够达到流量劫持的目的，下面介绍两种经常使用方法：

 

背景：1.1.1.0/24属于AS100并经过BGP路由宣告出去，AS200和AS300的用户经过BGP学习到1.1.1.0/24的路由，实际访问的时候将流量转发至AS100　

　　　

一、利用“地理位置”对流量进行截胡：AS400通过攻击者操控后，将本不属于它的1.1.1.0/24网段宣告进BGP，这样AS200和AS300就从两个方向都学到了1.1.1.0/24的路由。AS200和AS300这时会比较两个方向的AS-PATH属性，哪一个短走哪边，结果AS300发现从AS400发来的AS-PATH通过的路径更少，而后将本应该给AS100的1.1.1.0/24的流量就丢给了AS400，AS400从而达成了流量劫持的目的。

 

二、更细的子网掩码：AS400通过攻击者操控后，宣告一个子网掩码更细的网段1.1.1.0/25进BGP，这样AS200和AS300的路由表中的就都学到了一条更精细化的路由1.1.1.0/25。根据“子网掩码越大越优先”的路由选路原则，AS200和AS300此后就会将1.1.1.0/25的流量转发至AS400，AS400从而达成了流量劫持的目的。

 

总结：BGP网络是全球全部人共同维护的一张网络，你对BGP的任何一次操做均可能影响全球用户，因此在对BGP进行操做时必定要当心再当心！