BGP چیست و سرقت آن به چه معنی است؟
مدتی پیش خبری مبنی بر سرقت BGP تلگرام توسط شرکت مخابرات منتشر شده بود؛ اما سرقت BGP چیست؟
روز سهشنبه، نهم خردادماه، شاهد انتشار خبری مبنی بر سرقت BGP یا پروتکل دروازهای مرزی تلگرام توسط مخابرات بودیم.
این خبر با واکنش محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات همراه شد؛
وی تصریح کرد که سازمان تنظیم مقررات مأمور شده تا گزارشی را در این رابطه تهیه کند و شرکت مخابرات نیز بر اساس آن جریمه خواهد شد.
اما برای بسیاری از کاربران سوال این است که پروتکل دروازهای مرزی چیست و سرقت آن چگونه صورت میگیرد؟
اگر شما هم کنجکاو هستید تا اطلاعات بیشتری در این زمینه کسب کنید، تا انتها ما را همراهی کنید.
پروتکل دروازهای مرزی چیست؟
فرض کنید در شهری بزرگ به دنبال مطب پزشکی موسوم به «دکتر امیر علوی» هستید؛
اما آدرس مطب را در اختیار ندارید. احتمالا برای پیدا کردن آدرس به دفترچهی تلفن یا کتابچههای آدرس رجوع میکنید تا آدرس مورد نظر را پیدا کنید.
اما چالش بعدی برای رسیدن به مطب، پیدا کردن سریعترین مسیر بین خانهی شما تا مطب دکتر است؛
احتمالا برای این کار از یک نقشه کمک میگیرید تا سریعترین مسیر را به شما نشان دهد. چنین مسئلهای در رابطه با اینترنت نیز صدق میکند.
ابزارهای متصل به اینترنت نیز دارای آدرسی اختصاصی موسوم به ip هستند و برای یافتن ip سایتها و سرویسهای مختلف از سامانهای موسوم به «سامانهی نام دامنه» یا DNS استفاده میشود.
برای مثال، وقتی آدرس www.saranmarket.com را در مرورگر خود تایپ میکنید، سامانهی DNS به شما کمک میکند تا ip مربوط به این آدرس را پیدا کنید؛ در چنین حالتی، DNS نقش کتابچهی آدرس در مثال بالا را بازی میکند. اما در گسترهی شبکهی اینترنت، مسیرهای متعددی برای تبادل اطلاعات میان رایانهی شما و ip-های مختلف وجود دارد.
اینجا است که پای پروتکل BGP به میدان باز میشود؛ در حقیقت، BGP وظیفهی همان نقشهای را ایفا میکند که به بهترین مسیر از مبدا تا مقصد را به شما نشان میدهد.
پروتکل دروازهای مرزی یا BGP، پروتکل مسیردهی اینترنت است؛ این پروتکل امکان جابهجایی بهینهی ترافیک از یک ip به ip دیگر را فراهم میکند.
سرقت پروتکل دروازهای مرزی چیست؟
پیش از اینکه به تشریح سرقت پروتکل دروازهای مرزی یا BGP Hijacking بپردازیم،
لازم است تا با مفهوم «سامانهی خودگردان» یا Autonomous System در اینترنت آشنا شویم. یک سامانهی خودگردان شبکهای بزرگ یا مجموعهای از شبکهها است که به یک فراهمکنندهی خدمات اینترنت (ISP) یا سازمانی بسیار بزرگ تعلق دارد.
برای هر سامانهی خودگردان نیز شمارهای در نظر گرفته میشود که اصطلاحا ASN (Autonomous System Number) نامیده میشود. سرقت پروتکل دروازهای مرزی زمانی روی میدهد که یکی از این سامانههای خودگردان، بر خلاف واقع، ادعا کند مجموعهای از ip-ها به وی تعلق دارند؛ البته باید توجه داشت که چنین رویدادی همواره عمدی نیست و گاهی به دلیل خطاهای پیکربندی اتفاق میافتد.
از آنجا که پروتکل دروازهای مرزی به گونهای طراحی شده تا بهینهترین مسیر برای تبادل اطلاعات بین دو رایانه برگزیده شود، سرقت پروتکل دروازهای مرزی همواره موفق نیست. برای موفقیت چنین سرقتهایی، باید یکی از دو شرط زیر برقرار شوند:
۱. حمله کننده باید مسیری با محدودهی کوچکتری از ip-ها را ارائه دهد؛
به گونهای که این محدوده کوچکتر از محدودهی ip-های سامانهی خودگردان اصلی باشد.
۲. مسیر ارائه شده برای برخی از بلوکهای ip باید کوتاهتر از مسیر اصلی باشد.
در صورت موفقیت سرقت پروتکل دروازهای مرزی، جداول مسیردهی در سراسر اینترنت تغییر خواهند کرد و حمله کننده ترافیک مربوط به قربانی را در اختیار خواهد گرفت.
چنین حملاتی تا زمان آگاهی از آنها و اصلاح مسیر همچنان ادامه خواهند یافت. مشکل اینجا است که پروتکل دروازهای مرزی در دورانی تدوین شده که امنیت یکی از نگرانیهای اصلی نبوده است.
بر اساس این پروتکل، تمام شبکهها قابل اعتماد هستند و هیچ مکانیزم داخلی برای تعیین صحت مسیرها پیشبینی نشده است.
حتی اگر به دنبال ایجاد ساز و کاری برای تعیین صحت مسیرها باشیم، این حقیقت که اینترنت شبکهای جهانی و بسیار گسترده است، کار را بسیار سخت میکند؛ چرا که در این شبکهی گسترده نمیتوان منبعی واحد برای کسب اطلاعات معتبر پیدا کرد.
نتایج سرقت پروتکل دروازهای مرزی چیست؟
در نتیجهی چنین حملاتی، ترافیک اینترنت در مسیرهایی اشتباه به حرکت درمیآید؛ نظارت بر ترافیک رد و بدل شده یکی از نتایج چنین سرقتهایی است.
همچنین، سرقت پروتکل دروازهای مرزی میتواند منجر به هدایت ترافیک به سمت «چالههایسیاه» شود؛ در چنین حالتی، ترافیک ارسالی اصطلاحاً «گُم» شده و به مقصد نمیرسد.
در برخی موارد نیز حمله کننده نقش یک میانجی ناخواسته را بازی میکند؛ این میانجی میتواند ترافیک رد و بدل شده را تغییر دهد یا آن را سرقت کند.
ارسالکنندگان هرزنامهها (Spammer-ها) نیز گاهی از چنین حملاتی استفاده میکنند تا ip-های نادرست را جایگزین ip-های معتبر کنند.
یکی از پیامدهای سرقت پروتکل دروازهای مرزی برای کاربران، کاهش سرعت تبادل اطلاعات است؛ چرا که در نتیجهی این حملات، دادههای ارسالی از بهینهترین مسیر ممکن عبور نمیکنند.
در بهترین سناریو، چنین حملهای تنها موجب کاهش سرعت ارسال و دریافت اطلاعات میشود؛ اما در بدترین حالت ممکن، چنین حملاتی ممکن است به سرقت اطلاعات حیاتی منتهی شوند. به کمک این حملات، مهاجمان میتوانند کاربران را به سمت وبسایتهایی راهنمایی کنند که ظاهری شبیه به وبسایتهای معتبر دارند؛ اما در حقیقت نسخههایی تقلبی از این وبسایتها هستند.
پیشینهی سرقت پروتکل دروازهای مرزی
یکی از قابلتوجهترین سرقتها در ماه آوریل سال جاری میلادی رخ داد. در این سرقت، یک ISP از روسیه، بهطور عمدی مجموعهای از ip-ها را متعلق به خود اعلام کرد؛ این در حالی بود که این آدرسها در حقیقت به یکی از مسیرهای سامانهی DNS آمازون تعلق داشت.
در نتیجهی این حمله، کاربرانی که میخواستند به یکی از وبسایتهای نقل و انتقال ارز رمزپایه دسترسی پیدا کنند، به سمت نسخهای تقلبی از این وبسایت هدایت میشدند. در نتیجهی این حمله، هکرها توانسته بودند مبلغی معادل ۱۵۲ هزار دلار را به سرقت ببرند.
اما موارد ناخواسته و اتفاقی سرقت پروتکل دروازهای مرزی هم کاملا رایج هستند. در سال ۲۰۰۸، شرکت مخابرات پاکستان که قصد داشت دسترسی به وبسایت یوتیوب را در پاکستان مسدود کند، مسیرهای پروتکل دروازهای مرزی خود را برای وبسایت یوتیوب بهروزرسانی کرد. این تغییرات به شرکتهای فراهمکنندهی سرویس اینترنت (ISP-ها) نیز منتقل شده و در نهایت در سراسر اینترنت پخش شد. به ناگاه، تمام تقاضاهای مربوط به وبسایت یوتیوب به سمت شرکت مخابرات پاکستان روانه شدند. این مسئله باعث شد تا به مدت چند ساعت، دسترسی به یوتیوب برای اکثر کاربران در جهان غیرممکن شود.
راهکار کشف و مقابله با سرقت پروتکل دروازهای مرزی چیست؟
افزایش وقفه (Latency)، کاهش کارایی شبکه و اشتباه در هدایت ترافیک در اینترنت از جمله نشانههای سرقت پروتکل دروازهای مرزی هستند. بسیاری از شبکهها به طور منظم بهروزرسانیهای جداول پروتکل دروازهای مرزی را مورد بررسی قرار میدهند تا اطمینان حاصل کنند که کاربرانشان با مشکل افزایش وقفه مواجه نمیشوند. برخی از پژوهشگران نیز ترافیک اینترنت را مورد پایش قرار میدهند و یافتههای خود را منتشر میکنند.
از آنجا که در زمان تدوین پروتکل دروازهای مرزی، ویژگیهای امنیتی به عنوان یک اولویت در نظر گرفته نشدهاند؛ بهکارگیری راهکارهای امنتر برای مسیردهی در اینترنت میتواند به عنوان یک گزینهی اساسی در نظر گرفته شود.
در حال حاضر چنین راهکارهایی در دست توسعه هستند؛ اما فاصلهی زیادی تا بهکارگیری گستردهی آنها وجود دارد. یکی از این راهکارها، افزونهای موسوم به BGPSec برای BGP است که امکان بررسی و تایید رمزنگاری شدهی تغییرات در مسیرهای مربوط به سامانههای خودگردان را فراهم میکند.
نباید فراموش کرد که اینترنت بستری جهانی است و سازمانی واحد نمیتواند مسئولیت تامین امنیت آن را بر عهده بگیرد؛ پس تمام شرکتهای فراهم کنندهی ارتباط اینترنت باید تلاش کنند تا امنیت این شبکهی جهانی تضمین شود. یکی از راهکارهای تضمین امنیت شبکه، پیروی از «معیارهای توافقشدهی دوطرفه برای امنیت مسیردهی» است که به اختصار MANRS (Mutually Agreed Norms for Routing Security) نامیده میشود. MANRS اقدامی گروهی از سوی برخی اپراتورها و نقاط تبادل اینترنت (IXP-ها) است که مبنایی را در زمینهی انتظارات امنیتی جهت مسیردهی امن فراهم میکند.
از جمله اقدامات پیشبینی شده در چهارچوب MANRS، میتوان به فیلترینگ اشاره کرد. بر اساس اصل فیلترینگ، اغلب شبکهها تنها باید در صورت نیاز اعلامیههای مالکیت ip-ها را مورد پذیرش قرار دهند. همچنین، اعلام تملک بر ip-ها باید محدود به شبکههایی خاص و نه تمامی اینترنت باشد. چنین اقداماتی، خطاهای مربوط به مسیردهی را کاهش میدهند و ار پذیرش مسیرهای جعلی نیز جلوگیری میکند. بررسی و تایید جهانی مسیرها و ایجاد ابزارهای نظارتی و اشکالزدایی نیز از جمله اقداماتی هستند که در قالب MANRS پیشبینی شدهاند؛ اما حقیقت این است که اعمال چنین ضوابطی در عمل آسان نیست.
منابع: InternetSociety CloudFlare Zoomit