Reset کردن اینترنت

فکر می کنم, دیگر نمی توان داستان را این چنین خوب تمام کرد مطبوعات اخیرا اعلام کرده اند, Paul Watson یکی از خبرگان امنتیی شبکه راه جدیدی کشف کرده که بتواند در عرض چند ثانیه وقفه های فاجعه باری در اینترنت ایجاد کرد بعضی از گزارشات حاکی از آن است که, یک مهاجم می تواند با ارسال تنها ۴ پکت ارتباط بین چند ISP را از کار بیاندازد

فکر می کنم، دیگر نمی‌توان داستان را این چنین خوب تمام کرد. مطبوعات اخیرا اعلام کرده اند، Paul Watson یکی از خبرگان امنتیی شبکه راه جدیدی کشف کرده که بتواند در عرض چند ثانیه وقفه های فاجعه باری در اینترنت ایجاد کرد. بعضی از گزارشات حاکی از آن است که، یک مهاجم می تواند با ارسال تنها ۴ پکت ارتباط بین چند ISP را از کار بیاندازد. اگر چه این داستان خوبی است، ولی حقیقت جور دیگری است. خشم عمومی هنگامی شروع شد که English National Infrastructure Security Co-ordination Center، یک Vulnerability Advisory منتشر کرد، که توضیح می‌داد چطور یک مهاجم می توانست اتصال برقرار شده TCP میان دو کاربر اینترنت را متوقف سازد.

این حمله می‌تواند علیه هر کد از جلسات TCP نسبتا طولانی longish-lived صورت بگیرد، اما از همه جالب تر حملاتی هستند که از BGP یا Border Gateway Protocol میان ISP پشتیبانی می کند. اگر یک جلسه BGP خاتمه پیدا کند، تمام مسیرهای اینترنت که یک ISP از دیگری گرفته، را غیر قابل دسترسی می کنند. اگر هکرها به دنبال انواع ISP اصلی بودند، آن وقت ممکن بود بخش های بزرگی از اطلاعات اینترنت ناپدید شود .

مشکل اصلی مدتها است که شناخته شده است. در شرایط عادی وقتی که قرار است یک جلسه تمام شود کاربر در یک انتهای این ارتباط TCP به کاربر انتهای دیگر یک پکت TCP می فرستد که یک Reset flag به نام RST را شامل است. مهاجم می تواند کاربر یکی از دو انتهای این ارتباط TCP چنین پکتی بفرستد که آدرس منبع تقلبی میزبان انتهای دیگر را به همراه دارد که موجب ختم ارتباط می شود. اگر TCP اصلی یکسری اعداد با ترتیب خاص به نام Window داشته باشد امکان این حمله محدود می شود. Wilson متوجه شد که حدس زدن یک سری عدد در Window بسیار راحت تر از آن است که تصور می شود. تحت سناریوهای واقعا غیر واقعی، شاید بشود با ۴ حدس این کار را انجام داد، اما در سناریوهای واقعی تر مثل آنچه در جلسات BGP بین چند ISP وجود دارد، حدود ۲۶۰۰۰۰ حدس ضروری است. (در واقع بعضی ها در جراید از عدد چهار حدسی استفاده کرده اند تا داستان را جذاب تر کنند). حمله و بعضی از راههای بسیار آسان تنظیم نرم افزار TCP برای کاهش احتمال حملات به تقریبا صفر را می توان در پیش نویس IETF Internet Draft یافت که چند روز پیش از انتشار Vulnerability Advisory منتشر شده است.

بسیاری از تولید کنندگان، از قبل نرم افزارهایی ساخته اند تا با این موضوع دست و پنجه نرم کنند. مدل هایی برای فیلتر و طراحی شبکه وجود دارد تا احتمال حمله ای که احتمال فرستادن پکت به مسیرهای ISP در آن وجود دارد را، تا حدودی محدود کنند. به علاوه بیشتر روترهایی که در انواع ISPها به کار رفته اند، می توانستند چند سال پشتیبانی Cryptographic خوبی را به لینکهای BGP خود ارائه دهند. البته تعداد ISP هایی که از چنین پشتیبانی استفاده کرده اند بسیار کم است، هر چند که اعضای امنیت شبکه فدرال بشدت این نوع پشتیبانی را لازم می دانستند. تا زمانی هم که این مقاله به دست شما برسد، ISP‌های بیشتری از این نوع پشتیبانی استفاده خواهند کرد.

معلوم شده است که این باگ کشنده اینترنت نبوده و من انتظار ندارم که برای اختلال شبکه راه آسانی پیدا شود، اما هنوز هم باید در طراحی شبکه با احتیاط بیشتری عمل کنیم و آماده واکنش سریع برای مقابله با نقایص موجود باشیم.

نویسنده: Scott Bradner

مترجم: زهره چکنی