前言

在2018年4月，Oracle曾详细描述了针对亚马逊权威DNS服务的BGP劫持事件，那次攻击目的是将用户重定向到一个钓鱼网站。

在过去一个月里，Oracle观察到了对权威DNS服务器实施BGP劫持的另外几起事件，手法于上文中提到的相似。这次目标包括美国支付处理公司。与亚马逊案例一样，最近的这几次BGP劫持使得假冒的DNS服务器能够返回伪造的DNS响应，将不知情的用户导向至恶意网站。由于在伪造的响应中使用了很长的TTL（生存时间）值，递归的DNS服务器在BGP劫持完成很久后，仍将这些伪造的DNS条目保存在缓存中，延长了攻击的持续时间。

劫持者

2018年7月6日 23:37:18（UTC），Digital Wireless Indonesia（AS38146）将下列前缀通告了约30分钟。

> 64.243.142.0/24 Savvis

> 64.57.1​​50.0/24 Vantiv，LLC

> 64.57.1​​54.0/24 Vantiv，LLC 

> 69.46.100.0/24 Q9 Networks Inc.

> 216.220.36.0/24 Q9 Networks Inc.

其中3条是现有路由的具体公告（64.243.142.0/24、69.46.100.0/24、216.220.36.0/24）。

在2018年7月10日 22:17:37（UTC），马来西亚运营商Extreme Broadband（AS38182）也将上述前缀通告了约30分钟。由于时间不是很长，这些劫持前缀没有广泛传播。

在23:37:47（UTC），这些前缀再次被通告了约15分钟，不过这次是针对更广的范围，包括48个peer。BGP community从24218:1120变成24218:1，似乎加大了路由传播范围。

Datawire是一种“可以通过公共互联网安全可靠地将金融交易传输到支付处理系统”的专利技术。Datawire的服务器ns1.datawire.net和ns2.datawire.net分别解析至216.220.36.76和69.46.100.71，这些地址在上面显示的被劫持网络中。

Vantiv和First Third Processing是美国知名的支付处理服务Worldpay的曾用名。Vantiv服务器ns1.ftpsllc.net和ns2.ftpsllc.net分别解析到64.57.150.53和64.57.154.53，这些地址在上面显示的被劫持网络上。

2018年7月11日 00:29:24（UTC），AS38182开始在两次单独的事件中劫持一组新的前缀，每次持续了几分钟。

> 209.235.25.0/24 Mercury Payment Systems

> 63.111.40.0/24 Mercury Payment Systems

> 8.25.204.0/24 Level 3

> 12.130.236.0/24 CERFnet

Mercury Payment Systems是一家信用卡处理服务公司，由Worldpay拥有。Mercury服务器ns1.mercurypay.com和ns2.mercurypay.com分别解析到209.235.25.13和63.111.40.13。这些IP地址被劫持为209.235.25.0/24和63.111.40.0/24的一部分。在2018年7月12日 21:51:36（UTC），AS38182开始劫持与以前两次目标相同的五个路由。

> 64.243.142.0/24 Savvis 

>64.57.1​​50.0/24 Vantiv，LLC  

>64.57.1​​54.0/24 Vantiv，LLC 

>69.46.100.0/24 Q9 Networks Inc.

>216.220.36.0/24 Q9 Networks Inc.

这些劫持持续了近三个小时，如下图所示：如下图所示，Q9显然已经注意到他们的路由被劫持，开始通告同样的路由以重新控制IP地址空间。

2018年7月12日 23:06:32（UTC），AS38182开始劫持各路由，包括面向知名DNS服务提供商UltraDNS的两条路由，约10分钟。

> 199.7.68.0/24 UltraDNS Corporation

> 199.7.69.0/24 UltraDNS Corporation

> 204.74.108.0/24 UltraDNS Corp

> 204.74.109.0/24 Internet Media Network

> 204.74.114.0/24 Internet Media Network

> 204.74.115.0/24 Internet Media Network

> 65.118.49.0/24 CenturyLink

伪造的DNS响应

7月10日至13日之间的被动DNS观察显示* .datawire.net域名解析到45.227.252.17，IP地址注册地为荷兰加勒比海岛库拉索岛，但是路由却经由乌克兰东部卢汉斯克区域发出。

同样的是，4月亚马逊Route53服务被劫持后被指向46.161.42.42，IP注册地为德国，但路由同样经由乌克兰东部卢汉斯克发出。

这些相似之处表明这两起DNS服务器的BGP劫持可能是相关的。

在上个月的劫持中，黑客很注意细节，将伪造响应的TTL设为~5天。目标域的正常TTL是10分钟（600秒）。通过配置很长的TTL，伪造的记录在BGP劫持已停止很久后可以在DNS缓存层中持续一段时间。

结论

这些事件表明互联网基础设施正在遭受直接攻击，而且将会有增无减。

来自NTT Communications的Job Snijders表示：“我们唯一的希望就是利用互联网行业的整合来发挥我们的优势。如果知名DNS服务提供商（包括官方和递归服务）使用RPKI签名路由，并验证通过EBGP收到的路由，那么这种攻击不会造成太大的影响，因为可以建立受到保护的闭合路径。只有一小部分密集连接的组织和机构需要部署基于RPKI的BGP源验证（BGP Origin Validation），确保为数十亿终端用户提供良好的互联网体验。”

*参考来源：Oracle官方博客 ，周大涛编译，转载请注明来自FreeBuf.COM