圖片來源: 

Oracle

甲骨文(Oracle)上周揭露另一起BGP挾持攻擊,指出駭客先入侵了位於印尼及馬來西亞的兩家ISP業者,散布錯誤的路由資訊,以將美國三大支付業者Datawire、Vantiv與Mercury Payment Systems的流量導至駭客所控制的伺服器,手法類似今年4月的攻擊行動

Border Gateway Protocol(BGP,邊界閘道協定)是藉由IP路由表或前綴(Prefix)來實現自治系統(AS)之間的可達性,大多數ISP業者必須利用BGP與其它ISP建立路由連線。BGP挾持(BGP hijacking)即是先駭進ISP業者或其它網路架構供應商的BGP伺服器,再散布錯誤的路由來干預流量。

甲骨文Dyn網路分析總監Doug Madory說明,駭客集團在今年7月間藉由入侵印尼Digital Wireless與馬來西亞Extreme Broadband兩大ISP業者以竄改Datawire、Vantiv及Mercury Payment Systems的路由,讓假冒的DNS伺服器能夠傳遞偽造的回應,把原本要造訪這三大支付業者的使用者導至惡意網站。

此外,駭客還在偽造的回應中採用更長的存活期(TTL),讓這些假冒的DNS可在遞迴DNS伺服器中保留到BGP挾持結束為止,以最大化攻擊時間。一般網域的TTL為10分鐘,但在今年7月的攻擊中,駭客把偽造回應的存活期最高設為5天。

駭客的目的是為了竊取支付卡業者的客戶資訊,在展開攻擊的這幾天,使用者經常抱怨無法連上官網。

Madory表示,這些事件展現出網路基礎架構已成為駭客的攻擊目標,未來也很可能看到愈來愈多的相關攻擊,現今唯一的希望就是網路產業應合作以發揮優勢。他引用NTT Communications工程師Job Snijders的看法指出,假如主要的DNS服務供應商以RPKI來簽署路由,並以EBGP來驗證路由,就能減少攻擊事件,而且只有少數提供密集連結的組織需要部署基於RPKI的BGP來源驗證,即可造福數十億的網路用戶。


Advertisement

更多 iThome相關內容