Перехват и блокировка трафика: рунет подвергся новому виду атак

Их устраивали украинские провайдеры при помощи протокола динамической маршрутизации BGP. Что о таком способе говорят специалисты?

После начала спецоперации некоторые украинские провайдеры перехватывали и блокировали трафик российских интернет-ресурсов. В результате доступ к ряду сайтов был затруднен или вообще невозможен.

В апреле этого года перехват российского трафика организовывал украинский провайдер Lurenet — он умышленно перенастраивал на себя маршруты к некоторым интернет-ресурсам при помощи протокола динамической маршрутизации BGP. По информации «Ведомостей», пострадали «Мегафон», «Билайн» и МТС. Правда, по словам представителя «Мегафона», никакого негативного влияния на сеть оператора отмечено не было.

О том, что атаки типа BGP Hijacking в принципе возможны, известно давно. Но на практике злоумышленники их почти не применяли, поскольку это удовольствие не из дешевых. А причиной является несовершенство устаревшего протокола динамической маршрутизации, говорит гендиректор Qrator Labs Александр Лямин:

Александр Лямин гендиректор Qrator Labs «Это штука, которая управляет течением трафика в интернете, так называемый протокол маршрутизации. И создавался он на заре интернета, он надежен и выдерживает даже атомные войны, но атаки инсайдеров он выдерживает плохо, он построен в основном на доверии. Да, есть метод, который частично помогает защищать от этого, именно поэтому тот значимый инцидент с Lurenet, про который мы писали, имел распространение, но весьма ограниченное».

Для организации атак BGP Hijacking надо напрямую подключиться к магистральному провайдеру, а затем передать в его сеть заведомо ложный маршрут к атакуемым ресурсам. Допустим, злоумышленники объявляют, что сайт VK или любой другой находится у них. На самом деле его там, конечно, нет. Но оборудование, которое обеспечивает прохождение трафика, начинает направлять запросы к этому сайту в сеть организаторов атаки, и там они просто теряются, уходят в никуда. А может, и не теряются, а тщательно анализируются на предмет наличия конфиденциальной информации. Тут возможны варианты. Сами владельцы атакуемых сайтов никак не могут этому противостоять. Проблему можно решить только на стороне магистральных провайдеров.

Основатель интернет-провайдера «Марьино.net» Дмитрий Шолтыш не сталкивался с такого рода атаками. Но, по его словам, в последнее время количество других атак в российском сегменте интернета заметно выросло:

Дмитрий Шолтыш основатель интернет-провайдера «Марьино.net» «Мы не сталкивались, у нас такой проблемы не было, я говорю конкретно про свою компанию. По поводу DDoS-атак — да, есть увеличение активности, есть увеличение активности каких-то аномальных атак и каких-то непонятных вещей, это мне наши технические службы сообщили. То есть это временно может приводить к какой-то деградации скорости, но в целом на работу интернета не влияет принципиально. Так или иначе эти атаки отбиваются, фильтруются, и работоспособность восстанавливается».

Ну и можно напомнить, к чему приводят «шутки» с протоколом динамической маршрутизации. В феврале 2008-го власти Пакистана решили заблокировать YouTube из-за антиисламских роликов. И местные провайдеры не придумали ничего лучше, как подменить сетевые маршруты к видеохостингу, отправив весь его трафик в черную дыру. Предполагалось, что это затронет только сам Пакистан. Но вышло иначе: две трети пользователей по всему миру на несколько часов лишились доступа к YouTube.