Американские эксперты придумали, как "завалить" Интернет

Макс Шукард вместе со своими коллегами из Миннесотского университета (г. Миннеаполис, США) заявил, что его группе удалось найти способ нарушить работу Интернета в глобальном масштабе.

Суть этого способа заключается в запуске распределенной атаки на отказ в обслуживании, причем мишенью этой атаки должны стать так называемые "пограничные роутеры", обслуживающие протокол BGP (Border Gateway Protocol - протокол граничных шлюзов). Именно такие роутеры используются для подключения национальных магистральных сетей к сетям других государств, отмечает Internet.ua.

Протокол BGP имеет огромную важность для работы современного Интернета. Фактически, это протокол маршрутизации, который используется для обмена информацией о маршрутах по всему Интернету. Без протокола BGP Интернет-провайдеры не могут подключать свои сети друг к другу, а пользователи, соответственно, не могут подключаться к веб-сайтам и веб-сервисам вне своего локального интранета. Поскольку конфигурация сетевых подключений и роутеров постоянно меняется, роутеры и коммутаторы, обслуживающие протокол BGP, должны постоянно работать, чтобы поддерживать актуальность сетевых карт для Интернета в целом. Проще говоря, работоспособность Интернета в глобальном масштабе зависит от BGP-роутеров.

В своей статье для отраслевого издания ACM Шукард описывает теоретическое нападение, как "Скоординированное межуровневое прерывание сеансов" (CXPST - Coordinated Cross Plane Session Termination). Фактически, это распределенная DDoS-атака на управляющий уровень Интернета. Концепция CXPST расширяет прежние работы, в которых показана уязвимость в роутерах, помогающая злоумышленникам разъединить пару роутеров, используя лишь трафик на уровне данных. Точный выбор BGP-сеанса для прерывания позволяет нанести "хирургический удар" и запустить целую волну BGP-обновлений, которые будут отображаться практически на всех ключевых роутерах Интернета. Волна BGP-обновлений превосходит вычислительные возможности атакуемых роутеров, так что эти роутеры не смогут корректно принимать решения о маршрутизации пакетов.

Принцип CXPST-атаки предусматривает использование порядка 250 тысяч ПК, объединенных в ботнет. Если цифра кажется невероятной, стоит помнить, что современные ботнеты включают в себя до 12,7 млн ПК, как это доказано для "ботнета" Mariposa. Получается, что по меркам современных ботнетов 250 тысяч ПК для CXPST-атаки - это совсем немного.

Когда ботнет для скоординированной атаки 250 тыс. ПК будет создан, концепция CXPST предлагает использовать алгоритм, который Шукард назвал ZMW по фамилиям авторов - Zhang, Mao и Wang (Чжан, Мао и Ван). Эти трое исследователей описали алгоритм ZMW-атаки в своей работе "A Low-Rate TCP-Targeted DoS Attack Disrupts Internet Routing" (Нацеленная на протокол TCP атака малого масштаба нарушает роутинг в Интернете). Чжан, Мао и Ван обнаружили, что сеансы BGP-маршрутизации в серийных роутерах подвержены действию удаленных атак, что ведет к сбросу сеансов и серьезным нарушениям в стабильности маршрутизации и доступности внешних сетей.

Работа Шукарда с соавторами показывает, хотя и в теории, что уже сейчас существуют методы для нарушения работы Интернета в глобальном масштабе. Источник таких атак довольно трудно отследить, а вот последствия могут оказаться разрушительными. В зависимости от конкретного атакованного BGP-роутера пострадать может отдельное учреждение или Интернет в масштабах целого государства. Предполагается, что на уровне государства можно остановить распространение сбоев, отключив национальный сегмент Интернета от глобальных магистральных сетей.