アカウント名:
パスワード:
BGP、もしくは下のTCPのところを突っついてあげると・・・げふんげふん。 peerにmd5(コリジョンの話はさておいても)を使っていないケースも多々ありますし、uRPFと連動させてますっていうのも、どれくらいいるのか。
単純に、フィルタが緩いところなんかに/24より更に細かいprefixを注入してあげれば、あっというまにルータの特にFIB周りが溢れます。 溢れるとリブートしたり、スタックしたりしちゃうんで、それだけでもインターネットの一部を崩せます。 一部が崩れると、経路のupdateが世界を巡り、update過多でお亡くなりになる古いルータもいるでしょう。
存外脆いもんです、インターネットなんて。
TCPのアレは脆弱性ではなく仕様もあるのでなんというか・・・。
その辺の対策はしてない方が多数派なんじゃないでしょうか。既存の設備を利用しているプロバイダが多数であると考えるなら・・。
細かくしなくても/24の代わりに/2とか入れるんでもトラフィックが集まって広告し始めたルータから順番にばっつんばっつん落ちていきますよ。
>溢れるとリブートしたり、スタックしたりしちゃうんで、それだけでもインターネットの一部を崩せます。>一部が崩れると、経路のupdateが世界を巡り、update過多でお亡くなりになる古いルータもいるでしょう。
もし「30分でインターネットを落とせる」が意図するところが、地域限定の障害範囲であるならBGPの経路ハイジャックも有望でしょうね。まあ、Youtube経路ハイジャック事件 [nikkeibp.co.jp]がコンフィグミスでおこったように、故意でやってもあまり誇ることでないような。
障害範囲が全部だったら、root DNSに対する物理・論理を問わない同時アタックぐらいしか思いつかない。
意外と知られてませんが、root DNSはL3レベルのanycastingにより、物理的には3ケタの台数があります。同時に攻撃するったって限度があるでしょう。DoSにせよ物理的にせよ。
ところで、あなたはほぼ答に辿りついているにも関わらず、答から目を逸らしてしまいました。もし、BGPの経路ハイジャックを root DNS が入っているASに実行できたら? とか思うとどうでしょうか。
実際にできるかどうか知りませんけどね。
# どっちみち、BGPは仕様からして穴だらけだけどね。
# # GoogleのサーバのportをRSTしまくる、という攻撃も地味に嫌かも
総務省が「経路乗っ取り」防止の監視網構築に着手http://srad.jp/it/article.pl?sid=05/06/09/2236229 [srad.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
やっぱりBGPだろうなあ (スコア:5, 興味深い)
BGP、もしくは下のTCPのところを突っついてあげると・・・げふんげふん。
peerにmd5(コリジョンの話はさておいても)を使っていないケースも多々ありますし、uRPFと連動させてますっていうのも、どれくらいいるのか。
単純に、フィルタが緩いところなんかに/24より更に細かいprefixを注入してあげれば、あっというまにルータの特にFIB周りが溢れます。
溢れるとリブートしたり、スタックしたりしちゃうんで、それだけでもインターネットの一部を崩せます。
一部が崩れると、経路のupdateが世界を巡り、update過多でお亡くなりになる古いルータもいるでしょう。
存外脆いもんです、インターネットなんて。
Re:やっぱりBGPだろうなあ (スコア:2, 興味深い)
TCPのアレは脆弱性ではなく仕様もあるのでなんというか・・・。
その辺の対策はしてない方が多数派なんじゃないでしょうか。既存の設備を利用しているプロバイダが多数であると考えるなら・・。
細かくしなくても/24の代わりに/2とか入れるんでもトラフィックが集まって広告し始めたルータから順番にばっつんばっつん落ちていきますよ。
◆IZUMI162i6 [mailto]
Re:やっぱりBGPだろうなあ (スコア:1, 参考になる)
>溢れるとリブートしたり、スタックしたりしちゃうんで、それだけでもインターネットの一部を崩せます。
>一部が崩れると、経路のupdateが世界を巡り、update過多でお亡くなりになる古いルータもいるでしょう。
もし「30分でインターネットを落とせる」が意図するところが、地域限定の障害範囲であるならBGPの経路ハイジャックも有望でしょうね。
まあ、Youtube経路ハイジャック事件 [nikkeibp.co.jp]がコンフィグミスでおこったように、故意でやってもあまり誇ることでないような。
障害範囲が全部だったら、root DNSに対する物理・論理を問わない同時アタックぐらいしか思いつかない。
Re:やっぱりBGPだろうなあ (スコア:1, 参考になる)
意外と知られてませんが、root DNSはL3レベルのanycastingにより、物理的には3ケタの台数があります。同時に攻撃するったって限度があるでしょう。DoSにせよ物理的にせよ。
ところで、あなたはほぼ答に辿りついているにも関わらず、答から目を逸らしてしまいました。もし、BGPの経路ハイジャックを root DNS が入っているASに実行できたら? とか思うとどうでしょうか。
実際にできるかどうか知りませんけどね。
# どっちみち、BGPは仕様からして穴だらけだけどね。
# # GoogleのサーバのportをRSTしまくる、という攻撃も地味に嫌かも
Re: (スコア:0)
総務省が「経路乗っ取り」防止の監視網構築に着手
http://srad.jp/it/article.pl?sid=05/06/09/2236229 [srad.jp]
Re: (スコア:0)
>一部が崩れると、経路のupdateが世界を巡り、update過多でお亡くなりになる古いルータもいるでしょう。
その昔、IIJからフルルートが流れてAGSが落ちまくった件は黒歴史なのか?
学んだ人は対策を考えていると思うが。