BGP hijacking

rdf:langString IP hijacking

rdf:langString Nell'ambito della sicurezza informatica, l'IP hijacking (ovvero il dirottamento IP, a volte anche chiamato BGP hijacking, prefix hijacking o route hijacking) è l'acquisizione illegittima di gruppi di indirizzi IP effettuata corrompendo le tabelle di routing. A causa della natura dinamica della rete Internet, ad ogni router devono essere regolarmente fornite delle routing table aggiornate. Ad un livello globale, gli indirizzi IP individuali sono raggruppati in prefissi. Questi prefissi saranno creati, o detenuti, da un autonomous system (AS), e le tabelle di routing tra gli AS mantenute usando il protocollo Border Gateway Protocol (BGP). Un gruppo di reti che operano sotto un'unica politica di routing esterno è conosciuto come un sistema autonomo. A titolo di esempio, Sprint, Verizon e AT&T possono essere definiti come AS. Ogni AS ha il suo unico numero identificativo di AS. BGP è il protocollo di routing standard usato per scambiare informazioni circa il routing IP tra autonomous systems. Ogni AS usa BGP per segnalare i prefissi verso i quali può comunicare. Ad esempio, se il prefisso di rete 192.0.2.0/24 è dentro AS 64496, allora quell'AS segnalerà ai suoi provider e/o peer la possibilità di inviare traffico destinato a 192.0.2.0/24. L'IP hijacking può verificarsi volutamente o accidentalmente in vari modi: * Un AS annuncia l'origine di un prefisso che in realtà non ha originato. * Un AS annuncia un prefisso più specifico di quello che potrebbe essere annunciato dal vero AS originatore. * Un AS annuncia che può instradare il traffico all'AS dirottato attraverso una strada più breve di quella già disponibile, a prescindere dal fatto che il percorso esista realmente. Conseguenza comune di questi problemi è l'interruzione del normale instradamento di rete: i pacchetti finiscono per essere inoltrati verso la parte sbagliata della rete. In questo modo o entrano in un ciclo infinito (per poi essere scartati), o finiscono a disposizione dell'AS compromettente. Tipicamente gli ISP filtrano il traffico BGP, permettendo agli annunci BGP provenienti dalle reti downstream di contenere solo spazi IP validi. Nella pratica, incidenti passati dimostrano che non è sempre questo il caso. La (RPKI) è progettata per autenticare le route origins grazie a catene di certificati crittografici atti a dimostrare la proprietà del blocco di indirizzi, ma non è ancora largamente adottato. Una volta adottato, il dirottamento IP (sia accidentale che intenzionale) dovrebbe essere rilevabile e quindi evitabile. L'IP hijacking è a volte usato da utenti malintenzionati per ottenere indirizzi IP da usare per lo spamming o per attacchi distributed denial-of-service.