Pull to refresh

Comments 18

Как это скажется на цене криптовалют?
Не думаю, что будут большие скачки курса. Все-таки украли суммарно $83000 с ~20 бирж, не так уж и много. Но я в этом не разбираюсь, так что с уверенностью сказать не могу.
при чем здесь «биржи»?)) про майнинг пулы ведь речь и украли у пользователей, кто майнил. Никак не скажется это на цене.
А как зелёно сделать? Вроде, нормальный заголовок, дает понять, что речь идет о хакерах, криптовалюте и подмене BGP-анонсов. Или, может, я уже деформировался, и только мне заголовок кажется нормальным.
Извиняюсь я прочитал не «Хакеры воровали криптовалюту» а «Хакеры взломали криптовалюту»
>Есть три версии:
Почему три, когда на самом деле четыре?
Просто какой-то ISP не фильтровал получаемые от какого-то клиента анонсы. После получения матюгов начал фильтровать. Не такое уж и редкое дело.

Если есть информация, из какой AS исходил левый анонс, или хотя бы про какой префикс шла речь, то можно попробовать поискать детали. Хоть даже BGPlay.

А вообще, красивая атака. Красив именно тот факт, что анонс был кратковременный, а последствия для попавших под раздачу клиентов долговременные. Если владелец сервиса не мониторит это дело, то заметить подмену тяжело. А вот завернули бы это дело хотя бы в SSL — ничего бы не было.
Откройте статью по ссылке, там внизу Appendix A с указанием ASок.
Не такое уж и редкое дело.

Я думал, что после диких факапов связанных с тем, что провайдер не проверяет может ли клиент анонсировать то, что анонсирует — проверка стала обязательной. Выходит это просто рекомендация, которой много кто не придерживается?
Не «много кто», а «мало кто». Но да, не фильтрующие есть. И что значит «обязательная проверка»? Проверять это некому кроме самого клиента.

Пару лет назад кто-то в Китае вообще покушался на гугловые блоки адресов (ютуб)… Но те аккуратно мониторят такие вещи и сразу забили тревогу.
т.е. как в поговорке: Спасение утопающих- дело самих утопающих)
Ну а что делать?

ЕМНИП, самая продвинутая в этом плане страна (с ОГРОМНЫМ отрывом от остальных) — … Эквадор :) У них RPKI внедрен для практически 100% адресного пространства, по всем провайдерам страны, и фильтрация анонсов от клиентов работает абсолютно везде. Вы не сможете анонсом эквадорского префикса (даже с более длинной маской) из своей AS испортить жизнь его обитателям. Но ведь и это вовсе не единственный (хотя и самый простой и эффективный) способ пустить через себя чужой трафик. И в других странах вовсе не все провайдеры это поддерживают.

Магистралы, за исключением RPKI, по определению не могут нормально фильтровать на стыке с другими операторами.

Так что да, единственный вариант, покрывающий все атаки — постоянно через looking glass'ы в разных точках Сети анализировать AS PATH для ваших префиксов. При выявлении аномалий звонить ближайшему к вражине провайдеру и вежливо просить прекратить безобразие.
Спасибо, буду знать)
Хотя, если изменится анонс, то упадет куча ipsec`ов… и тысячи людей, оперативнее любого мониторинга, прийдут по мою душу:)

PS хотя аномалии могут быть разными, туннели могу и не упасть, а новый as-path с участием моей сетки (с меньшей маской и участком который не используется в данный момент) может где то и засветится не в том месте.
А когда придут — вы, как и любой нормальный человек, потратите впустую N минут на траблшутинг VPN серверов и не сразу сообразите попросить у пользователей трассировку, и лишь через какое-то время сообразите, что в трассировке какой-то совсем неправильный путь пакетов :) Так что превентивный мониторинг таких вещей — дело все-таки благое.
ipsec site2site, поэтому в ситуации когда они падают, сразу начинаешь контактировать с сетевиками клиентов, в такой ситуации мозговой штурм из нескольких специалистов с разной стороны позволяет быстрее найти проблему.
Но суть я понял, проактивность наше все) К тому же обычно такие детали и ускользают от внимания)
Хех, подменой BGP-анонсов можно сделать всё что угодно.
Не понял только, зачем последние 5 строчек прятать под кат.
Sign up to leave a comment.

Articles