Ученые придумали, как "обрушить" Интернет

Ученые придумали, как "обрушить" Интернет

Макс Шукард вместе со своими коллегами из Миннесотского университета (г. Миннеаполис, США) заявил, что его группе удалось найти способ нарушить работу Интернета в глобальном масштабе.

Суть этого способа заключается в запуске распределенной атаки на отказ в обслуживании, причем мишенью этой атаки должны стать так называемые «пограничные роутеры», обслуживающие протокол BGP (Border Gateway Protocol – протокол граничных шлюзов). Именно такие роутеры используются для подключения национальных магистральных сетей к сетям других государств.

Протокол BGP имеет огромную важность для работы современного Интернета. Фактически, это протокол маршрутизации, который используется для обмена информацией о маршрутах по всему Интернету. Без протокола BGP Интернет-провайдеры не могут подключать свои сети друг к другу, а пользователи, соответственно, не могут подключаться к веб-сайтам и веб-сервисам вне своего локального интранета. Поскольку конфигурация сетевых подключений и роутеров постоянно меняется, роутеры и коммутаторы, обслуживающие протокол BGP, должны постоянно работать, чтобы поддерживать актуальность сетевых карт для Интернета в целом. Проще говоря, работоспособность Интернета в глобальном масштабе зависит от BGP-роутеров.

В своей статье для отраслевого издания ACM (Association for Computing Machinery – ассоциация по вычислительной технике) «Losing control of the Internet: using the data plane to attack the control plane» (Потеря контроля над Интернетом: использование уровня данных для атаки уровня управления) Шукард описывает теоретическое нападение, как «Скоординированное межуровневое прерывание сеансов» (CXPST – Coordinated Cross Plane Session Termination). Фактически, это распределенная DDoS-атака на управляющий уровень Интернета. Концепция CXPST расширяет прежние работы, в которых показана уязвимость в роутерах, помогающая злоумышленникам разъединить пару роутеров, используя лишь трафик на уровне данных. Точный выбор BGP-сеанса для прерывания позволяет нанести «хирургический удар» и запустить целую волну BGP-обновлений, которые будут отображаться практически на всех ключевых роутерах Интернета. Волна BGP-обновлений превосходит вычислительные возможности атакуемых роутеров, так что эти роутеры не смогут корректно принимать решения о маршрутизации пакетов.

Принцип CXPST-атаки предусматривает использование порядка 250 тысяч ПК, объединенных в ботнет. Если цифра кажется невероятной, стоит помнить, что современные ботнеты включают в себя до 12,7 млн. ПК, как это доказано для «ботнета» Mariposa. Получается, что по меркам современных ботнетов 250 тысяч ПК для CXPST-атаки – это совсем немного.

Когда ботнет для скоординированной атаки 250 тыс. ПК будет создан, концепция CXPST предлагает использовать алгоритм, который Шукард назвал ZMW по фамилиям авторов - Zhang, Mao и Wang (Чжан, Мао и Ван). Эти трое исследователей описали алгоритм ZMW-атаки в своей работе «A Low-Rate TCP-Targeted DoS Attack Disrupts Internet Routing» (Нацеленная на протокол TCP атака малого масштаба нарушает роутинг в Интернете). Чжан, Мао и Ван обнаружили, что сеансы BGP-маршрутизации в серийных роутерах подвержены действию удаленных атак, что ведет к сбросу сеансов и серьезным нарушениям в стабильности маршрутизации и доступности внешних сетей.

Работа Шукарда с соавторами показывает, хотя и в теории, что уже сейчас существуют методы для нарушения работы Интернета в глобальном масштабе. Источник таких атак довольно трудно отследить, а вот последствия могут оказаться разрушительными. В зависимости от конкретного атакованного BGP-роутера пострадать может отдельное учреждение или Интернет в масштабах целого государства. Предполагается, что на уровне государства можно остановить распространение сбоев, отключив национальный сегмент Интернета от глобальных магистральных сетей.


По материалам: www.securitylab.ru
Читайте также: