Глава 12. Атака на протоколы маршрутизации

Как нам теперь известно, весь Интернет целиком представляет собой очень большое единое целое, состоящее из большого числа более мелких сетевых сред. Эти сети меньшего размера связаны друг с другом посредством неких протоколов маршрутизации. Тем самым, это означает, что когда всякий компьютер подключён к Интернету, такая вычислительная система выступает частью сети меньшего размера - эта меньшая сеть с точки зрения построения сетевых сред носит название автономной системы (Autonomous System, AS -АС).

Эти AS подключаются через EGP (Exterior Gateway Protocol, протокол внешнего шлюза), а потому, скажем, если компьютер из, допустим, AS-1 желает взаимодействовать с другим компьютером в AS-2, этот обмен происходит через соответствующий EGP. Неким примером EGP выступает BGP (Border Gateway Protocol, протокол пограничного шлюза).

Таким образом, когда, следуя аналогичной концепции, компьютерам внутри AS-1 необходимо взаимодействовать друг с другом, они пользуются соответствующим IGP. Образцами IGP являются RIP (Routing Information Protocol), OSPF (Open Shortest Path First), IGRP (Interior Gateway Routing Protocol), EIGRP (Enhanced Interior Gateway Protocol) и IS-IS (Intermediate System-Intermediate System).

Итак, прежде чем погружаться глубже в протоколы маршрутизации, давайте разберёмся с EGP и IGP при помощи следующей простой схемы:

Как это показано на Рисунке 12.1, две автономные системы взаимодействуют друг с другом через протокол маршрутизации EGP, а имеющиеся между ними маршрутизаторы подключаются через протоколы маршрутизации IGP.

Следовательно, теперь, когда мы разобрались с собственно AS и архитектурой маршрутизации, давайте перейдём для начала к пониманию того, как соответствующие протоколы IGP работают в промышленных средах.

IGP применяется для передачи сведений о маршрутизации в виде таблиц маршрутизации для взаимодействующих маршрутизаторов. В данном случае IGP отвечают исключительно за передачу сведений в сторону верных получателей (в сетевых средах это IP адреса). Когда протоколы маршрутизации не заданы надлежащим образом, такие сообщения в соответствующих сетевых каналах будут либо путать пункт назначения, либо будут отбрасываться в своём подключённом следом сетевом устройстве. Таким образом, злоумышленники также пользуются неверными настройками таких протоколов маршрутизации для перехвата или подделки имеющихся сообщений.

Ладно, давайте разберёмся с поведением некоторых из главным образом применяемых в организациях протоколами маршрутизации.

RIP это один из наиболее широко применяемых видов IGP во внутренних сетевых средах. RIP пользуется методологией счётчика скачков (hop) для выявления изменений в сети, а также для распознавания того как далеко может доставать это взаимодействие в сетевой среде.

Технология счётчика скачков определяется как значение числа соединений (здесь перенаправлений), которые имеются между самим источником и его получателем. Данная технология помогает RIP выявлять наиболее лучшие и самые короткие пути между пунктом возникновения данного сообщения и целью получения такого сообщения.

RIP работает по UDP (User Datagram Protocol) и пользуется портом 520.

Итак, давайте при помощи Packet Tracer разберёмся как работает RIP.

Как показано на Рисунке 12.2, RIP сконфигурирован и все пакеты запросто выполняют обмен из сети 192.168.2.0 в 192.168.1.0.

Давайте воспользуемся встроенными средствами наблюдения Packet Tracer и проанализируем RIP:

Как это отражено на Рисунке 12.3, при помощи средства наблюдения Packet Tracer успешно отслежено представление пакета.

Итак теперь, раз мы поняли собственно поведение протокола RIP, давайте разберёмся с другим протоколом маршрутизации - OSPF.

Протокол OSPF, как и предполагает его название {Open Shortest Path First}, это протокол маршрутизации состояния канала IGP, применяемый для обмена пакетами посредством фильтрации кратчайших путей в AS {автономной системе}. В наши дни OSPF очень популярен в организациях, поскольку он передаёт пакеты с очень высокой скоростью, причём даже в AS большого размера.

Способ, коим работает OSPF, достаточно прямолинеен. Все имеющиеся в его AS маршрутизаторы будут совместно пользоваться LSA (Link-State Advertisements, уведомлениями о состоянии каналов) при помощи соседнего или смежного с ним маршрутизатора, а все имеющиеся маршрутизаторы будут поддерживать LSD (Link-State Databases, базы данных состояния канала). Затем, на основании этого, вычисляется кратчайший путь между соответствующими маршрутизаторами. Следовательно, всякий раз, когда отправителю приходится выполнять обмен каким бы то ни было пакетом в некой AS из одной машины в другую, имеющиеся в данной топологии маршрутизаторы выявляют самый короткий путь и затем осуществляют обмен такими пакетами.

Когда OSPF был представлен, он был очень успешен для сетевых сред меньшего размера, однако когда данный алгоритм маршрутизации вводился для организаций большего размера с большим числом маршрутизаторов в AS, OSPF начинал отказывать, поскольку он требовал большого времени на вычисление кратчайших каналов между всеми маршрутизаторами. Однако даже после подобного неудобства, OSPF всё ещё один из основных реализуемых в организациях алгоритмов маршрутизации по причине большого числа его преимуществ. Вот перечисление некоторых из таких преимуществ протокола OSPF:

OSPF работает по порту 89 и поддерживает как IPv4, так и IPv6. Текущая поддерживаемая версия для IPv4 это v2, а для IPv6 v3.

Итсак, давайте разберёмся с OSPF по следующему снимку экрана:

Как отображено на Рисунке 12.4, рассмотрим очень небольшую AS с пятью наборами маршрутизаторов - теперь предположим что маршрутизатор A пожелал бы создать свою LSD, а потому отправит необходимые LSA обновления каждому подключённому маршрутизатору для обновления своей таблицы. Затем эти маршрутизаторы будут отправлять такое LSA другому подключённому маршрутизатору, а когда все присоединённые маршрутизаторы обновят свои таблицы, они отправят обновление маршрутизатору A, а маршрутизатор A обновит свою LSD.

Однако тут возникает вопрос - как маршрутизатор A или любые иные подключённые маршрутизаторы вычисляют значение кратчайшего или самого быстрого пути?

Таким образом, ответ очень прост. Сам протокол OSPF вычисляет длину пути через имеющееся назначенным значение COST (стоимости), а затем добавляет величину общей стоимости достижения такого маршрутизатора. Это показывается следующим образом.

Итак, допустим, маршрутизатор A пожелает отправить пакет маршрутизатору C, а потому давайте вычислим значение общей стоимости по множеству путей:

Следовательно, из произведённых вычислений дин путей, самый короткий (или наибыстрейший) путь это A + E + C = 50. Отсюда, когда некая подключённая к маршрутизатору A машина захочет отправить сообщение подключённой к маршрутизатору C машине, кратчайшим путём будет A + E + C. Аналогичная методика применяется также и для всех прочих маршрутизаторов в матрице.

Тем самым, давайте разберёмся с этим путём простой демонстрации, выглядящей так:

Как отображено на Рисунке 12.5, два смежных маршрутизатора настроены друг на друга, а также соединены со своими соответствующими компьютерами. Теперь PC0 отправил сообщение к PC1 и это сообщение успешно доставлено при помощи протокола маршрутизации OSPF.

Значит, мы подробно разобрались с RIP и OSPF, давайте поймём поведение протокола IS-IS.

IS-IS это протокол маршрутизации состояния канала, который был намеренно разработан для модели OSI (Open Systems Interconnect) самой ISO (International Standards Organization). IS-IS намеренно применяется всеми ISP (Internet Service Provider, поставщиками Интернет услуг) по причине его глубокого масштабирования.

Вот некоторые характеристики протокола IS-IS:

Теперь, когда мы ознакомились с поведением самого протокола IS-IS, давайте разберёмся с IS-IS поглубже.

Когда IS-IS был первоначально обнародован, он применялся в качестве EGP на соответствующем уровне OSI, однако по мере развития данной технологии IS-IS был изменён на поддержку протокола TCP/IP, а потому он получил название Дуального IS-IS или Интегрированного IS-IS.

Дуальный IS-IS был разработан для поддержки:

Теперь давайте перейдём к другой концепции в IS-IS, именуемой CLNP (Connectionless Network - Address - Protocol, протоколом передачи данных без предварительного установления соединения).

Некий адрес CLNP, также носящий название сетевого адреса, если коротко, используется для назначения некого адреса соответствующему маршрутизатору на Уровне 3 в качестве замены для его адреса IP. Тем самым, CLNP превратился в чрезвычайно популярный усилиями CISCO и был адаптирован в компаниях крупного размера. Адрес CLNP составляется тремя основными полями, определяемыми следующим образом:

Таким образом, комбинируя эти значения, соответствующий адрес CLNP будет представлен следующим образом:

49.0001.1111.1111.1111.00  --  CLNP или Net Address
 	   

IS-IS поддерживает два уровня иерархии:

IS-IS способен работать также на обоих уровнях одновременно. Мы можем определять значение соответствующих уровней в IS-IS вручную, но когда оно не задано, значением по умолчанию будет L1/L2.

Теперь давайте настроим IS-IS:

Как показано на Рисунке 12.6, два маршрутизатора успешно соединены и готовы к взаимодействию друг с другом с применением протокола IS-IS. Поэтому давайте настроим соответствующий протокол IS-IS в обоих маршрутизаторах:

Как отображено на Рисунке 12.7, конфигурация IS-IS успешно построена и наши маршрутизаторы теперь начнут взаимодействовать друг с другом.

Итак, теперь, когда мы изучили работу и поведение различных сетевых протоколов маршрутизации, давайте сейчас рассмотрим некоторые лазейки таких протоколов маршрутизации.

Подделка (фальсификация) маршрутизатора это атака в которой злоумышленник отправляет поддельные или фальшивые сведения маршрутизации в атакуемую сеть. После того как все промежуточно подключённые узлы (в данном случае маршрутизаторы) принимают такую фальшивую информацию маршрутизацию, такую как поддельные LSA (в варианте OSPF), маршрутизаторы обладают тенденцией обновлять свои таблицы маршрутизации. Такие атаки могут оказаться опасными, ибо они влекут за собой фишинг вебсайтов, атаки MITM, прослушиванию и мистификацию DNS.

Для выполнения атак фальсификации требуется достичь некоторых предположений в их цели. Самое первое предположение состоит в том, что сам злоумышленник не может быть получателем, однако он должен выступать первоисточником. Это означает что машина злоумышленника обязана быть способной быть порождающей необходимые фальшивые сведения маршрутизации и должна действовать в качестве ретранслятора таких фальсифицированных данных маршрутизации вместо того чтобы просто обладать возможностью получения такой информации.

Действующий в качестве инициатора фальсификации злоумышленник описывается так:

Таким образом, именно это является фальсификацией маршрутизации OSPF через отправку поддельных LSA. Теперь у нас имеется понимание о подобных атаках на протоколы маршрутизации и давайте взглянем на некоторые иные атаки на протоколы маршрутизации.

Сейчас, перед более глубоким погружением в собственно этап атаки, давайте сначала поймём некоторые из основ построения сетей для определения DDoS (Distributed Denial-of-Service, распределённого отказа в обслуживании) на плоскости контроля.

Плоскости в сетевой среде просто определяются как те измерения, которые определяют как будет передаваться от своего источника к его получателю пакет данных, а также как он будет обрабатываться в процессе передачи данных и собственно методы отслеживания такой передачи данных.

Теперь, эти плоскости, в терминологии построения сетей, подразделяются на три категории:

 

Плоскость контроля

Плоскость контроля принимает решения о том как переправлять соответствующие данные, что подразумевает как эти данные будут передаваться от источника к получателю. Сам процесс создания таблицы маршрутизации при котором соответствующий маршрутизатор сохраняет необходимые пути маршрутизации это часть такой плоскости контроля.

 

Плоскость данных

Теперь, когда имеющаяся плоскость контроля приняла решение относительно перемещения данных, имеющаяся плоскость данных будет ответственной за обмен пакетами данных. Такая плоскость данных также именуется плоскостью продвижения.

 

Плоскость управления

Плоскость управления это то место, в котором инженеры настраивают и отслеживают имеющиеся сетевые устройства. Такая плоскость управления запущена на том же самом процессоре что и её плоскость контроля.

Итак, когда теперь мы разобрались с сетевыми плоскостями, давайте взглянем на атаки на плоскость контроля.

Атака DoS (Denial-of-Service, отказа в обслуживании) это попытка отправлять большое число пакетов, которые отсекут соединение между пользователями и имеющимися сетевыми устройствами путём увеличения текущей нагрузки на сетевую среду или использования машинных ресурсов. В таком случае пользователи не будут способны получать доступ к чему бы то ни было в своей сетевой среде.

Теперь, DDoS, с другой стороны, выполняет такую же атаку, но в распределённом виде. Многие Боты будут отправлять гигантское число пакетов дабы задействовать все ресурсы, что в конечном счёте приведёт к отключению данного устройства и пользователи в его сетевой среде не смогут получать к нему доступ.

Тогда, в случае DDoS атаки уровня контроля, злоумышленники отправят гигантское число пакетов контроля к плоскости управления такого устройства, что приведёт к исчерпанию ресурсов и чрезмерной нагрузке на такой маршрутизатор и нарушит сетевое взаимодействие.

Атаки отражения на имеющийся уровень контроля - это ещё один вид DoS атак, который обычно отличается от оригинальной DoS или DDoS атаки. Подобная атака отражения осуществляется в два этапа:

Итак, на данный момент мы изучили различные атаки на уровне контроля, давайте взглянем на некоторые существующие атаки в плоскости управления.

Таблицы маршрутизации определены как устанавливаемый набор правил и сведений, представляемых в табличной форме, которые задают собственно маршрут необходимого обмена в данной сетевой среде. Такая таблица маршрутизации выступает наиболее важной частью всякого протокола маршрутизации, ибо представляет ту конфигурацию своих маршрутизаторов, которая относится ко всем IP адресам и напрямую подключается к соседним маршрутизаторам.

Подобная таблица маршрутизации обычно составлена из IP адресов получателей, масок подсетей и интерфейсов. Это отображается следующим образом:

Таблица 12-1. Таблица маршрутизации

Адрес назначения	Маска подсети	Интерфейс
192.168.1.0/24	255.255.255.0	FastEthernet0/0
192.168.2.0/24	255.255.255.0	FastEthernet0/1
Default		FastEthernet0/1

Соответствующая запись шлюза по умолчанию к адресу получателя в таблице маршрутизации это всегда 0.0.0.0, а значение его маски всегда установлено в 255.255.255.255.

Теперь, как нам известно, пакет маршрутизации содержит полные сведения относительно адресов своих источника и получателя. Эта информация помогает построению надлежащей таблицы маршрутизации, поскольку такой протокол маршрутизации способен принимать решение относительно наилучшего пути, как мы это уже наблюдали для протокола OSPF, а после выбора такого наилучшего и кратчайшего пути эти сведения также сохраняются в данной таблице маршрутизации.

Тем самым, при отправке соответствующих пакетов от любого источника к его получателю, наша таблица маршрутизации инструктирует своё устройство отправлять пакеты к следующему скачку. При помощи каждой записи в своей таблице маршрутизации сохраняются такие записи:

Как показано на Рисунке 12.11, команда show IP route применяется для выставления сведений своей таблицы маршрутизации.

Давайте взглянем на непосредственно подключённые устройства, как это отображено на приводимом ниже снимке экрана:

Как отображено на Рисунке 12.12, команда show IP route connected показывает значением следующего скачка непосредственно подключённого к Router0, в который и последует передача данного пакета.

Теперь, прежде чем изучать отравление таблицы маршрутизации, давайте поймём сначала основную проблему в протоколе DVR (Distance Vector Routing, дистанционной векторной маршрутизации).

Основная проблема с DVR заключается в том, что когда какой- то из маршрутизаторов отказывает, прочим маршрутизаторам потребуется некоторое время для получения уведомления о подобном отказе, и между тем, прочие имеющиеся маршрутизаторы начнут отправлять соответствующие пакеты данных, что в конечном счёте создаст бесконечный цикл. Давайте разберёмся с этим при помощи некого образца:

Как отображено на Рисунке 12.13, имеется три подключённых маршрутизатора (R0 -> R1 -> R2). Теперь воспользуемся этим образцом - от R1 к R2 общая стоимость пакета равна 1, а от R0 к R2 это 2.

Через какое- то время R2 падает, а соединение между R1 и R2 разъединяется. Теперь, раз R1 знает о данном отказе, он автоматически удалит данный путь из своей таблицы. Однако прежде чем отправить обновление к R0, R1 получает обновление от R0. Теперь R1 отправит обратно некое обновление, которое составит общую стоимость достижения R2 равной 3, а затем, раз R0 получит обновление, он отправит свой следующий пакет со стоимостью 4 и данный цикл продолжится. Это носит название Проблемы счётчика бесконечности, при которой все маршрутизаторы продолжают отправлять друг другу фальшивые сведения относительно значения стоимости и путей в не имеющем окончания цикле.

Данная проблема имеет перечисленные ниже два решения:

Теперь, когда соответствующие маршрутизаторы получают значение бесконечности, все эти маршрутизаторы получают эту информацию и вносят изменение в свою таблицу маршрутизации. Однако основная проблема отравления маршрута заключается в том, что значение числа объявлений увеличивается, что может повлечь наводнение в данной среде.

На данный момент мы разобрались с самой таблицей маршрутизации, её проблемами и тем почему может вводиться отравление маршрутизации. Сейчас задумайтесь о перспективе злоумышленника ка если бы негодяй начал отправлять фальшивые объявления в свою сетевую среду и мог бы изменять имеющиеся таблицы маршрутизации, это в конечном итоге вызвало бы неверную работу такой сети или её полную компрометацию.

В таком случае мы можем создавать такие пакеты и маршруты для фальшивых записей таблицы маршрутизации - для этого существует некое написанное Frederico средство автоматизации. Вы можете найти его здесь.

Приводимый далее рисунок показывает атаку таким инструментом автоматизации:

Как это отражено на Рисунке 12.14, 1 000 фальшивых пакетов осуществляют затопление и будут отравлять имеющиеся таблицы маршрутизации поддельными записями.

Теперь, атаки аналогичного типа могут осуществляться на уровне управления и в них злоумышленник атакует и контролирует имеющиеся коммутаторы:

На текущий момент мы рассмотрели атаки на коммутаторы и маршрутизаторы, давайте бросим взгляд на конфигурации безопасности для маршрутизаторов.

В наши дни построение сетевых сред намного сложнее чем раньше. Выполнение относящихся к сети тестов является более сложной задачей для сетевых администраторов, в особенности с точки зрения проверки пропускной способности, всяких сбоев, которые влекут за собой отключение промежуточных сетевых устройств от этой сетевой среды или отслеживания потери пакетов между хостом и сервером.

Таким образом, для устранения неполадок в сетевой среде жизненно важную роль играет генерация пакетов. Таким образом, выработка пакетов это некий вид производства обмена, который определяет собственно поток необходимых пакетов и источников данных между исследуемыми клиентом и сервером в сети коммутации пакетов. Например, в случае веб служб обмен отправляется в виде веб- пакетов, которые подлежат получению и отправляются браузером пользователя.

Следовательно выработка обмена определяет сам поток конкретного обмена между отправителем и получателем в заданных формате и сетевой среде, таких как сотовые сети или вычислительные сети.

Теперь, для данной книги и главы, мы сосредоточимся на вычислительных сетевых средах, однако не запрещаем вам также изучать и сотовый обмен.

Для анализа производительности обмена в реальном масштабе времени существует великое множество присутствующих в Интернете средств, таких как Bwping или iperf. Тем не менее, согласно моим наблюдениям, в целом, сетевые администраторы предпочитают применять iperf, поскольку он очень дружественен пользователям, поставляется со множеством опций, совместим с Windows и Linux (обоих предпочтений), предоставляет точные подробности и, что наиболее важно, способен производить пакеты и для TCP, и для UDP.

Итак, давайте анализировать полосу пропускания обмена вырабатывая определённое число пакетов между своими клиентом и сервером.

На данный момент, для генерации обмена между двумя хостами, нам потребуется создать с одной из сторон пребывающий в ожидании сервер, что показано на следующем снимке экрана:

Как это отображено на Рисунке 12.17, ожидающий элемент это установка с одной из сторон нашей сетевой среды. Теперь давайте установим с другой стороны своей сети клиента, как это демонстрирует приводимый ниже снимок экрана:

Как видно из Рисунка 12.18, эта машина с другого конца соединена с машиной, в которой открыто ожидание и, как мы можем наблюдать, имеется обмен сообщениями с полосой пропускания 35.4Гбит/с.

Мы можем отслеживать те же самые моменты в окне системного монитора, в котором достигается пик графика использования памяти в процессе обмена сообщениями или выработки обмена:

Как это наблюдается на Рисунке 12.19, прежде чем наш клиент соединится с машиной в ожидании, наш обмен был обычным, а использование ЦПУ низким, однако как только наш клиент подключается к своему серверу, имеется обмен сообщениями, вызывающий немедленный рост использования ЦПУ и проявляющийся как заметный пик в этой сетевой среде.

Вот, атаки на уровне данных аналогичны тем типам атак, которые мы наблюдали исполняющимися на уровне управления, однако сама природа такой атаки будет совершенно иной.

Итак, как нам изветсно, плоскость данных это носитель пакетов данных - таким, ниже приводятся уровни атак, которые могут здесь осуществляться:

Итак, давайте взглянем на атаку DoS в плоскости данных:

Как показано на Рисунке 12.20, эта атака запускается по порту 80 в сервере, который исполняется в 192.168.64.130. Через некоторое время этот сервер недоступен:

Как показывает Рисунок 12.21, данная служба упала. На данный момент мы рассмотрели множество атак на на марщрутизаторы и протоколы маршрутизации, давайте бросим взгляд на конфигурации безопасности со стороны самого маршрутизатора.

На данный момент мы рассмотрели разнообразные типы атак на маршрутизаторы, теперь давайте взглянем на рекомендации безопасности верхнего уровня, которые можно применять к вашим маршрутизаторам для защиты от различных уровней нападений:

Таким образом, для SSH должен быть настроен сильный пароль регистрации. Дополнительно к этому, все администраторы должны пользоваться сильным механизмом шифрования для аутентификации самих администраторов на уровне настроек IOS маршрутизатора. Этого можно достигать посредством применения команды enable secret.

Другой реализацией безопасности, о которой надлежит побеспокоиться, это реализация сервера управления паролями TACACS+ или Radius. Они включают запросы аутентификации для первоначальной проверки значения уровня доступа, предоставляемого соответствующим пользователям или группам, а затем основываются на установках допущений для предоставления или отказа в доступе.

Сетевым администраторам к тому же следует настраивать функциональность запреа входа в маршрутизаторы нежелательных пользователей. Именно это воспрепятствует и заблокирует всякого пользователя после трёх- пяти неудачных попыток:

Помимо инфраструктуры ACL существуют и прочие виды ACL, имеющие название VLAN ACL (VACL). Эти VACL усилят правила обмена передаваемые к- или из- внутренних VLAN или внешних VLAN. Такие VACL защищают имеющуюся среду применяя как сегментацию, так и разделение. Например, среды SWIFT зачастую помещаются в некую изолированную зону и она отделяется от всей среды при помощи VACL:

BGP это некий EGP, представленный в качестве v1 в 1984 году для направления сетевых пакетов путём выбора наилучшего пути маршрутизации. Тем самым, BGP также носит название протокола динамической маршрутизации.

Итак, по мере развития во времени, Интернет начал расти и сетевой обмен в конечном счёте начал помещать в имеющиеся коммуникационные каналы нагрузки большего размера. Таким образом сам BGP подвергался изменениям и было введено множество версий. Текущей версией BGP является v4.

На данный момент, как нам известно, для осуществляющих взаимодействие вне собственной AS (автономной системы) маршрутизаторов, им требуются настройки BGP. Администратору локальной сети не будет известно под какой номер AS им следует выполнять настройку. А потому, для разрешения всех необходимых AS и проблем конфигурации BGP все организации берут необходимые конфигурации AS от своих ISP (поставщиков сетевых услуг). Следовательно, этот ISP помещает маршрутизатор такой сетевой среды под свою собственную автономную систему, превращая её в единственную AS для направления обмена от этой организации в глобальный Интернет.

Итак, как и в случае с OSPF, BGP также передаёт необходимые данные выбирая наилучший для передачи путь, однако не тем способом, которым это делают параметры OSPF. BGP работает с параметрами пути для выбора наилучших, например, на основе значения числа скачков (hops), что в терминологии сетевых сред носит название значения расстояния вектора протокола. Таким образом, данный протокол маршрутизации будет вычислять значение числа скачков между своими источником и получателем. Это отображается следующим образом:

Как отражено на Рисунке 12.22, наша AS источника, A100, отправляет запросы и собирает получаемые отклики от обоих векторов расстояния. Теперь, на основании вычисления расстояния вектора, BGP выберет в качестве наилучшего пути Distance vector 2, так как он обладает лишь двумя скачками AS для достижения своего получателя.

Далее, в BGP имеется другое очень важное понятие - он не настроен на умную работу во избежание перспективы зацикливания. Это означает, что когда AS источника получает зацикливание автономных систем своим собственным номером, замыкая цикл, тогда она просто отвергает такой путь и выбирает после этого второй наилучший путь. Давайте разберёмся с этим при помощи приводимой далее схемы:

Как показано на Рисунке 12.23, самый первый вектор расстояния, который получает BGP формирует цикл, а следовательно, BGP просто отбросит этот путь. Итак, давайте сейчас взглянем на таблицы и сообщения BGP.

BGP создаёт три таблицы:

BGP пользуется четырьмя различными типами сообщений:

Итак, теперь мы рассмотрели все операции BGP. Давайте теперь бросим взгляд на то, как работает BGP в реальном масштабе времени посредством имитации в Packet Tracer:

Как отражено на Рисунке 12.24, наш BGP сконфигурирован для Router1 и та же самая настройка осуществлена в Router0 и Router2. Теперь, раз всем маршрутизаторам известно обо всех подключённых узлах, тогда наш источник способен приступать к передаче данных.

На данном этапе мы глубоко ознакомились с BGP. Давайте взглянем на некоторые из имеющихся изъянов BGP.

Угон BGP по простому определяется как перенаправление исходящего обмена от одной автономной системы (AS) в другую AS, которая целиком во власти злоумышленников. Угон BGP также именуется угоном префикса, маршрута или IP.

Давайте разберёмся с этим на простом примере. Представим себе, что каждый день все получают утром различные маршруты из дома для достижения одного и того же пункта назначения, который обладает лишь одной дорогой для возврата к ним. Теперь, внезапно, в один из дней, угонщиками разрабатывается иная дорога и, в качестве извещения, устанавливается некий знак, который сигнализирует что именно это кратчайший путь до пункта назначения, а потому все сворачивают именно на эту вновь отстроенную дорогу. После этого, весь имеющийся обмен будет в конечном счёте угнан злоумышленником. Давайте сведём это в простую схему, как это показано на рисунке далее:

Как отражает Рисунок 12.25, злоумышленник или угонщик создаёт фальшивую дорогу просто параллельно другой дороге, а потому весь имеющийся обмен будет перенаправляться на эту поддельную дорогу.

Таким образом, аналогичная мысль может быть применена к угону BGP. Теперь, злоумышленники взламывают имеющуюся таблицу маршрутизации Интернета и незаконно забирают имеющиеся IP адреса. Для осуществления этого злоумышленники завладеют неким маршрутизатором и заявлять значение IP адресов, которые в настоящее время не назначены маршрутизатору злоумышленника. Такой запрос предложит прочим маршрутизаторам направить свой обмен по кратчайшему пути, а исходный маршрутизатор добавит идентификатор этого маршрутизатора в таблицу маршрутизации BGP, что в конечном счёте перенаправит весь обмен на собственный IP адрес злоумышленника. Полный шаблон атаки отображён на снимке экрана ниже:

Как показано на Рисунке 12.26, злоумышленник заявляет IP адрес с кратчайшим маршрутом до заданного пункта назначения.

Далее, когда мы изучили угон BGP, давайте взглянем на то что бы произошло при угоне BGP:

Тому будет множество примеров, например, как выполнившие в 2018 году захват BGP хакеры, которые смогли украсть около 152 000 долларов США в виде цифровых денег или криптовалюты.

Теперь давайте продемонстрируем угон BGP в ситуации реального масштаба времени, как это отражено на следующем рисунке:

Как показано на Рисунке 12.27, ткущая конфигурация для соответствующего следующего скачка в маршрутизаторе R5 для его сети 1.0.0.0 это 9.0.6.1/9.0.7.1 и аналогично также и для прочих сетей.

Теперь злоумышленник создаст неконтролируемую автономную систему (AS) и подделает сведения о маршруте для отправки всего обмена через такую поддельную AS, как это показано на следующем рисунке:

Как отображено на Рисунке 12.28, при помощи фальшивой AS имеется новая запись к сети 1.0.0.0 с соответствующим следующим скачком, выполняемом через 9.0.8.2/9.0.5.2. Теперь весь обмен будет направляться через эти новые настройки сети.

На текущий момент мы разобрались с тем насколько опасен был бы угон протокола BGP. Итак, давайте поймём как мы можем защитить его.

Для предотвращения угона BGP могут применяться следующие методы:

В данной главе мы глубоко изучили типы IGP и EGP, такие как OSPF, RIP, BGP и IS-IS, а также провели их соответствующий анализ с применением разнообразных средств наблюдения сети (снифферов) и имитаций сетевой среди на основе графического интерфейса, таких как Packet Tracer и GNS3. Далее мы изучили BGP. Помимо протоколов маршрутизации, мы выполнили различные практические демонстрации атак, таких как отравление таблицы маршрутизации и угон BGP, а также ознакомились с различными методиками облегчения условий протоколов маршрутизации и того как мы можем безопасно настраивать свои маршрутизаторы.

Теперь, в своей следующей главе, мы ознакомимся с очень важным протоколом с точки зрения злоумышленника, а именно, DNS (Domain Name Service ), анализом его поведения с применением средств наблюдения сети, а также с практическими демонстрациями различных атак на DNS в реальном масштабе времени.