18.3.1-Prefix Hijacking (Önek Ele Geçirme)

  • Nasıl yapılır? Saldırgan, kendisine ait olmayan bir IP bloğunu (örneğin 192.0.2.0/24) BGP üzerinden duyurur.

  • Etki: Trafik saldırganın ağına yönelir. Bu sayede veri dinlenebilir (MITM) ya da kesintiye uğratılabilir.

  • Gerçek vakalar: 2008 YouTube Pakistan Telekom örneği.

BGP Prefix Hijacking Nedir?:

Prefix Hijacking, bir saldırganın kendisine ait olmayan IP adres bloklarını (prefix) BGP üzerinden sahte olarak duyurması ve bu sayede bu IP bloklarına gelen trafiği kendi ağına yönlendirmesi saldırısıdır.

Nasıl Çalışır? (Teknik Aşamalar)

1. Saldırgan, sahte BGP update gönderir.

  • Saldırgan, kendi yönlendiricisinde (router) kendisine ait olmayan bir IP bloğunu (örneğin 192.0.2.0/24) duyuracak şekilde BGP update mesajı oluşturur.

  • Örnek BGP komutu (Cisco):

    network 192.0.2.0 mask 255.255.255.0

2. Komşu yönlendirici bu bilgiyi alır ve yayar.

  • BGP doğası gereği, aldığı rotaları diğer komşularına da duyurur (path propagation).

  • Sahte prefix artık birçok ASN'e yayılmış olur.

3. BGP en kısa yolu seçer.

  • İnternetin geri kalanında bulunan sistemler, bu sahte rotayı daha kısa gördüklerinde bu yolu tercih eder.

  • Sonuç olarak, trafik saldırganın ağına akar.

Neden Etkilidir?

BGP’nin eksikleri:

  • Kimlik doğrulaması yoktur: BGP update’leri, kaynağın gerçekten yetkili bir AS olup olmadığını kontrol etmez.

  • İnternet ölçeğinde merkezi bir doğrulama yoktur: BGP, dağıtık bir sistemdir; IP bloklarının sahipliği küresel olarak anında doğrulanmaz.

  • Spesifik prefix’ler önceliklidir: Daha spesifik prefix (örnek: /24 yerine /25) duyurusu yapıldığında, tüm yönlendiriciler bu yolu seçer.

Neden Gerçekleşir? (Sebep Olan Faktörler)

Faktör
Açıklama

Zayıf BGP filtreleme

Operatörler gelen prefix'leri doğru filtrelemezse sahte prefix yayılır.

RPKI eksikliği

Prefix doğrulama sistemi kullanılmazsa yanlış sahiplik iddiaları engellenemez.

BGP oturum güvenliği yok

MD5/TCP-AO gibi oturum güvenliği eklenmemişse sahte bağlantılar kurulabilir.

Konfigürasyon hataları

Operatör hatası ile yanlışlıkla başka bir prefix duyurulabilir (örneğin Pakistan Telekom örneği).

Gerçek Dünya Vakası: YouTube – Pakistan Telekom (2008)

Olayın Özeti:

  • Pakistan Telekom, hükümet kararıyla YouTube'a erişimi engellemek istedi.

  • 208.65.153.0/24 bloğunu sahte olarak kendi BGP router’ından duyurdu.

  • Global bir taşıyıcı (PCCW) bu duyuruyu filtrelemeden internetin geri kalanına yaydı.

  • Sonuç: YouTube global ölçekte yaklaşık 2 saat erişilemez hale geldi.

Etkileri

Etki Türü
Açıklama

Trafik sapması

Trafik saldırganın ya da yanlış AS’ye yönlenir.

Veri ihlali (MITM)

Trafik okunabilir, değiştirilebilir.

Servis kesintisi (DoS)

IP'ye ulaşım durabilir.

Hizmet sağlayıcılarda prestij kaybı

Ağ yöneticilerinin hataları küresel etki yaratabilir.

Ticari zarar

CDN’ler, bankalar, kritik altyapılar doğrudan etkilenebilir.

Çözüm Yolları (En İnce Ayrıntısına Kadar)

1. RPKI (Resource Public Key Infrastructure) kullanımı

  • IP bloklarının kim tarafından duyurulabileceğini tanımlar.

  • BGP update mesajları, ROA (Route Origin Authorization) ile doğrulanır.

  • BGP router'ı, gelen güncellemeleri 'valid', 'invalid', 'not found' olarak değerlendirir.

  • Örnek çözüm: Cisco IOS’da bgp rpki komutlarıyla uygulanır.

2. Prefix filtreleme (Prefix-List / Route-Map)

  • Komşu AS'lerden gelen prefix'leri yalnızca izin verilenlerle sınırla.

  • Örnek:

    ip prefix-list ALLOW-YOUTUBE seq 5 permit 208.65.153.0/24
route-map IN-FILTER permit 10
 match ip address prefix-list ALLOW-YOUTUBE
neighbor x.x.x.x route-map IN-FILTER in

3. BGP Session Güvenliği (MD5 veya TCP-AO)

  • BGP TCP oturumlarını sahte bağlantılara karşı korur.

  • Cisco’da örnek:

    neighbor x.x.x.x password s3cr3t

4. Max Prefix Limit Ayarı

  • Bir komşudan belirli sayıda prefix gelirse, BGP oturumu kesilir.

    neighbor x.x.x.x maximum-prefix 1000

5. BGP Monitoring ve Alert Sistemleri

  • Örneğin:

    • BGPMon, RIPE RIS, ARIN ROA Validator, MANRS gibi sistemlerle prefix değişimi anlık izlenebilir.

  • Otomatik uyarı ve analiz yapılabilir.

Sonuç

Prefix Hijacking, internetin merkezindeki zayıflıklardan doğan ve dünya çapında etkili olabilen kritik bir saldırıdır. RPKI'nin tam uygulanması, ISP'lerin sıkı prefix filtreleme politikaları ve güvenlik bilinci bu tehdidin azaltılmasında olmazsa olmazdır.

Previous18.3-SaldırılarNext18.3.1.1-Prefix Saldırısı

Last updated