BGP چیست و سرقت آن به چه معنی است؟

مدتی پیش خبری مبنی بر سرقت BGP تلگرام توسط شرکت مخابرات منتشر شده بود؛ اما سرقت BGP چیست؟
روز سه‌شنبه، نهم خردادماه، شاهد انتشار خبری مبنی بر سرقت BGP یا پروتکل دروازه‌ای مرزی تلگرام توسط مخابرات بودیم.

این خبر با واکنش محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات همراه شد؛

وی تصریح کرد که سازمان تنظیم مقررات مأمور شده تا گزارشی را در این رابطه تهیه کند و شرکت مخابرات نیز بر اساس آن جریمه خواهد شد.
اما برای بسیاری از کاربران سوال این است که پروتکل دروازه‌ای مرزی چیست و سرقت آن چگونه صورت می‌گیرد؟

اگر شما هم کنجکاو هستید تا اطلاعات بیشتری در این زمینه کسب کنید، تا انتها ما را همراهی کنید.

 

پروتکل دروازه‌ای مرزی چیست؟
فرض کنید در شهری بزرگ به دنبال مطب پزشکی موسوم به «دکتر امیر علوی» هستید؛

اما آدرس مطب را در اختیار ندارید. احتمالا برای پیدا کردن آدرس به دفترچه‌ی تلفن یا کتابچه‌های آدرس رجوع می‌کنید تا آدرس مورد نظر را پیدا کنید.

اما چالش بعدی برای رسیدن به مطب، پیدا کردن سریع‌ترین مسیر بین خانه‌ی شما تا مطب دکتر است؛

احتمالا برای این کار از یک نقشه کمک می‌گیرید تا سریع‌ترین مسیر را به شما نشان دهد. چنین مسئله‌ای در رابطه با اینترنت نیز صدق می‌کند.

ابزارهای متصل به اینترنت نیز دارای آدرسی اختصاصی موسوم به ip هستند و برای یافتن ip سایت‌ها و سرویس‌های مختلف از سامانه‌ای موسوم به «سامانه‌ی نام دامنه» یا DNS استفاده می‌شود.

برای مثال، وقتی آدرس www.saranmarket.com را در مرورگر خود تایپ می‌کنید، سامانه‌ی DNS به شما کمک می‌کند تا ip مربوط به این آدرس را پیدا کنید؛ در چنین حالتی، DNS نقش کتابچه‌ی آدرس در مثال بالا را بازی می‌کند. اما در گستره‌ی شبکه‌ی اینترنت، مسیرهای متعددی برای تبادل اطلاعات میان رایانه‌ی شما و ip-های مختلف وجود دارد.

این‌جا است که پای پروتکل BGP به میدان باز می‌شود؛ در حقیقت، BGP وظیفه‌ی همان نقشه‌ای را ایفا می‌کند که به بهترین مسیر از مبدا تا مقصد را به شما نشان می‌دهد.

پروتکل دروازه‌ای مرزی یا BGP، پروتکل مسیردهی اینترنت است؛ این پروتکل امکان جابه‌جایی بهینه‌ی ترافیک از یک ip به ip دیگر را فراهم می‌کند.

سرقت پروتکل دروازه‌ای مرزی چیست؟
پیش از این‌که به تشریح سرقت پروتکل دروازه‌ای مرزی یا BGP Hijacking بپردازیم،

لازم است تا با مفهوم «سامانه‌ی خودگردان» یا Autonomous System در اینترنت آشنا شویم. یک سامانه‌ی خودگردان شبکه‌ای بزرگ یا مجموعه‌ای از شبکه‌ها است که به یک فراهم‌کننده‌ی خدمات اینترنت (ISP) یا سازمانی بسیار بزرگ تعلق دارد.

برای هر سامانه‌ی خودگردان نیز شماره‌ای در نظر گرفته می‌شود که اصطلاحا ASN (Autonomous System Number) نامیده می‌شود. سرقت پروتکل دروازه‌ای مرزی زمانی روی می‌دهد که یکی از این سامانه‌های خودگردان، بر خلاف واقع، ادعا کند مجموعه‌ای از ip-ها به وی تعلق دارند؛ البته باید توجه داشت که چنین رویدادی همواره عمدی نیست و گاهی به دلیل خطاهای پیکربندی اتفاق می‌افتد.
از آن‌جا که پروتکل دروازه‌ای مرزی به گونه‌ای طراحی شده تا بهینه‌ترین مسیر برای تبادل اطلاعات بین دو رایانه برگزیده شود، سرقت پروتکل دروازه‌ای مرزی همواره موفق نیست. برای موفقیت چنین سرقت‌هایی، باید یکی از دو شرط زیر برقرار شوند:
۱. حمله کننده باید مسیری با محدوده‌ی کوچک‌تری از ip-ها را ارائه دهد؛

به گونه‌ای که این محدوده کوچکتر از محدوده‌ی ip-های سامانه‌ی خودگردان اصلی باشد.
۲. مسیر ارائه شده برای برخی از بلوک‌های ip باید کوتاه‌تر از مسیر اصلی باشد.
در صورت موفقیت سرقت پروتکل دروازه‌ای مرزی، جداول مسیردهی در سراسر اینترنت تغییر خواهند کرد و حمله کننده ترافیک مربوط به قربانی را در اختیار خواهد گرفت.

چنین حملاتی تا زمان آگاهی از آن‌ها و اصلاح مسیر همچنان ادامه خواهند یافت. مشکل اینجا است که پروتکل دروازه‌ای مرزی در دورانی تدوین شده که امنیت یکی از نگرانی‌های اصلی نبوده است.

بر اساس این پروتکل، تمام شبکه‌ها قابل اعتماد هستند و هیچ مکانیزم داخلی برای تعیین صحت مسیرها پیش‌بینی نشده است.

حتی اگر به دنبال ایجاد ساز و کاری برای تعیین صحت مسیرها باشیم، این حقیقت که اینترنت شبکه‌ای جهانی و بسیار گسترده است، کار را بسیار سخت می‌کند؛ چرا که در این شبکه‌ی گسترده نمی‌توان منبعی واحد برای کسب اطلاعات معتبر پیدا کرد.

نتایج سرقت پروتکل دروازه‌ای مرزی چیست؟

در نتیجه‌ی چنین حملاتی، ترافیک اینترنت در مسیرهایی اشتباه به حرکت درمی‌آید؛ نظارت بر ترافیک رد و بدل شده یکی از نتایج چنین سرقت‌هایی است.

همچنین، سرقت پروتکل دروازه‌ای مرزی  می‌تواند منجر به هدایت ترافیک به سمت «چاله‌های‌سیاه» شود؛ در چنین حالتی، ترافیک ارسالی اصطلاحاً «گُم» شده و به مقصد نمی‌رسد.

در برخی موارد نیز حمله کننده نقش یک میانجی ناخواسته را بازی می‌کند؛ این میانجی می‌تواند ترافیک رد و بدل شده را تغییر دهد یا آن را سرقت کند.

ارسال‌کنندگان هرزنامه‌ها (Spammer-ها) نیز گاهی از چنین حملاتی استفاده می‌کنند تا ip-های نادرست را جایگزین ip-های معتبر کنند.
یکی از پیامدهای سرقت پروتکل دروازه‌ای مرزی برای کاربران، کاهش سرعت تبادل اطلاعات است؛ چرا که در نتیجه‌ی این حملات، داده‌های ارسالی از بهینه‌ترین مسیر ممکن عبور نمی‌کنند.

در بهترین سناریو، چنین حمله‌ای تنها موجب کاهش سرعت ارسال و دریافت اطلاعات می‌شود؛ اما در بدترین حالت ممکن، چنین حملاتی ممکن است به سرقت اطلاعات حیاتی منتهی شوند. به کمک این حملات، مهاجمان می‌توانند کاربران را به سمت وب‌سایت‌هایی راهنمایی کنند که ظاهری شبیه به وب‌سایت‌های معتبر دارند؛ اما در حقیقت نسخه‌هایی تقلبی از این وب‌سایت‌ها هستند.

پیشینه‌ی سرقت پروتکل دروازه‌ای مرزی

یکی از قابل‌توجه‌ترین سرقت‌ها در ماه آوریل سال جاری میلادی رخ داد. در این سرقت، یک ISP از روسیه، به‌طور عمدی مجموعه‌ای از ip-ها را متعلق به خود اعلام کرد؛ این در حالی بود که این آدرس‌ها در حقیقت به یکی از مسیرهای سامانه‌ی DNS آمازون تعلق داشت.

در نتیجه‌ی این حمله، کاربرانی که می‌خواستند به یکی از وب‌سایت‌های نقل و انتقال ارز رمزپایه دسترسی پیدا کنند، به سمت نسخه‌ای تقلبی از این وب‌سایت هدایت می‌شدند. در نتیجه‌ی این حمله، هکرها توانسته بودند مبلغی معادل ۱۵۲ هزار دلار را به سرقت ببرند.
اما موارد ناخواسته و اتفاقی سرقت پروتکل دروازه‌ای مرزی هم کاملا رایج هستند. در سال ۲۰۰۸، شرکت مخابرات پاکستان که قصد داشت دسترسی به وب‌سایت یوتیوب را در پاکستان مسدود کند، مسیرهای پروتکل دروازه‌ای مرزی خود را برای وب‌سایت یوتیوب به‌روزرسانی کرد. این تغییرات به شرکت‌های فراهم‌کننده‌ی سرویس اینترنت (ISP-ها) نیز منتقل شده و در نهایت در سراسر اینترنت پخش شد. به ناگاه، تمام تقاضاهای مربوط به وب‌سایت یوتیوب به سمت شرکت مخابرات پاکستان روانه شدند. این مسئله باعث شد تا به مدت چند ساعت، دسترسی به یوتیوب برای اکثر کاربران در جهان غیرممکن شود.

راهکار کشف و مقابله با سرقت پروتکل دروازه‌ای مرزی چیست؟

افزایش وقفه (Latency)، کاهش کارایی شبکه و اشتباه در هدایت ترافیک در اینترنت از جمله نشانه‌های سرقت پروتکل دروازه‌ای مرزی هستند. بسیاری از شبکه‌ها به طور منظم به‌روزرسانی‌های جداول پروتکل دروازه‌ای مرزی را مورد بررسی قرار می‌دهند تا اطمینان حاصل کنند که کاربران‌شان با مشکل افزایش وقفه مواجه نمی‌شوند. برخی از پژوهشگران نیز ترافیک اینترنت را مورد پایش قرار می‌دهند و یافته‌های خود را منتشر می‌کنند.
از آن‌جا که در زمان تدوین پروتکل دروازه‌ای مرزی، ویژگی‌های امنیتی به عنوان یک اولویت در نظر گرفته نشده‌اند؛ به‌کارگیری راهکارهای امن‌تر برای مسیردهی در اینترنت می‌تواند به‌ عنوان یک گزینه‌ی اساسی در نظر گرفته شود.

در حال حاضر چنین راهکارهایی در دست توسعه هستند؛ اما فاصله‌ی زیادی تا به‌کارگیری گسترده‌ی آن‌ها وجود دارد. یکی از این راهکارها، افزونه‌ای موسوم به BGPSec برای BGP است که امکان بررسی و تایید رمزنگاری شده‌ی تغییرات در مسیرهای مربوط به سامانه‌های خودگردان را فراهم می‌کند.
نباید فراموش کرد که اینترنت بستری جهانی است و سازمانی واحد نمی‌تواند مسئولیت تامین امنیت آن را بر عهده بگیرد؛ پس تمام شرکت‌های فراهم کننده‌ی ارتباط اینترنت باید تلاش کنند تا امنیت این شبکه‌ی جهانی تضمین شود. یکی از راهکارهای تضمین امنیت شبکه، پیروی از «معیارهای توافق‌شده‌ی دوطرفه برای امنیت مسیردهی» است که به اختصار MANRS (Mutually Agreed Norms for Routing Security) نامیده می‌شود. MANRS اقدامی گروهی از سوی برخی اپراتورها و نقاط تبادل اینترنت (IXP-ها) است که مبنایی را در زمینه‌ی انتظارات امنیتی جهت مسیردهی امن فراهم می‌کند.
از جمله اقدامات پیش‌بینی شده در چهارچوب MANRS، می‌توان به فیلترینگ اشاره کرد. بر اساس اصل فیلترینگ، اغلب شبکه‌ها تنها باید در صورت نیاز اعلامیه‌های مالکیت ip-ها را مورد پذیرش قرار دهند. همچنین، اعلام تملک بر ip-ها باید محدود به شبکه‌هایی خاص و نه تمامی اینترنت باشد. چنین اقداماتی، خطاهای مربوط به مسیردهی را کاهش می‌دهند و ار پذیرش مسیرهای جعلی نیز جلوگیری می‌کند. بررسی و تایید جهانی مسیرها و ایجاد ابزارهای نظارتی و اشکال‌زدایی نیز از جمله اقداماتی هستند که در قالب MANRS پیش‌بینی شده‌اند؛ اما حقیقت این است که اعمال چنین ضوابطی در عمل آسان نیست.

منابع: InternetSociety CloudFlare Zoomit