- PVSM.RU - https://www.pvsm.ru -
Недавно в интернетах вызвала бурное обсуждение информация, что The Pirate Bay захостился в Северной Корее и это якобы подтверждалось трассировкой и таблицами BGP. Довольно скоро появилось опровержение (1 [1], 2 [1]) с подробным техническим разбором. Изначально я хотел перевести статью по ссылке, но решил написать свою, с исследованием ситуации.

IP 175.45.177.217 принадлежит северокорейскому ISP STAR-KP, кроме того, присутствует характерная задержка в 500мс.
Автор вышеуказанной статьи пускал трассировку на 175.45.177.217 и получил совершенно другой путь, что вызвало первые подозрения. У меня путь получился такой же.
А вот на третий с конца IP трассировка идёт всё-таки правильная, через Китай. Ниже я обьясню подробнее этот момент.
Теперь смотрим маршрут к TPB в BGP таблице.
#sh ip bgp 194.71.107.15
BGP routing table entry for 194.71.107.0/24, version 6376408
Paths: (1 available, best #1, table default)
Multipath: eBGP
Advertised to update-groups:
34 35 36
21011 39138 22351 131279 51040
77.88.200.245 from 77.88.200.245 (88.81.250.22)
Origin IGP, localpref 100, valid, external, best
Community: 21011:400 21011:6777 21011:64528
И обращаем внимание на AS_PATH:
AS51040 — TPB, AS131279 — Северная Корея, AS22351 — Intelsat, AS39138 — rrbone. На первый взляд всё «правильно» — TPB анонсирует свои сети STAR-KP, корейцы анонсируют их Intelsat и так далее.
Однако давайте же посмотрим маршруты к самой AS131279
#sh ip bgp | inc 131279 *> 175.45.176.0/24 77.88.200.245 0 21011 1273 1239 4837 131279 ? *> 175.45.177.0/24 77.88.200.245 0 21011 1273 1239 4837 131279 ? *> 175.45.178.0/24 77.88.200.245 0 21011 1273 1239 4837 131279 ? *> 175.45.179.0/24 77.88.200.245 0 21011 1273 1239 4837 131279 ?
Так вот, у STAR-KP единственный аплинк — China Unicom (AS4837). Никаких пирингов с Intelsat или ещё кем-то у них нет. На всякий случай уточню — такую же информацию показывают все looking glass'ы. На этом этапе уже очевидно, что TPB заанонсили свои сети с «левым» AS_PATH и Северная Корея тут вообще не при делах. Настоящий их аплинк — немецкий провайдер rrbone (AS39138). И, скорее всего, там есть «свои» люди, которые разрешили в фильтрах такое.
Теперь посмотрим, что вообще анонсирует rrbone в Интернет:
#sh ip bgp | inc 39138 *> 5.61.128.0/22 77.88.200.245 0 21011 39138 58243 ? *> 5.61.132.0/22 77.88.200.245 0 21011 39138 58243 ? *> 5.61.136.0/22 77.88.200.245 0 21011 39138 58243 ? *> 5.61.140.0/22 77.88.200.245 0 21011 39138 58243 ? *> 31.172.0.0/17 89.252.35.162 101 0 35297 1299 2914 39138 39138 39138 ? * 77.88.200.245 0 21011 39138 ? *> 83.243.0.0/21 89.252.35.162 101 0 35297 1299 2914 39138 39138 39138 ? * 77.88.200.245 0 21011 39138 ? *> 184.164.242.0/24 77.88.200.245 0 21011 1273 174 2637 47065 39138 47065 i *> 184.164.244.0/24 77.88.200.245 0 21011 3549 7922 88 88 47065 39138 47065 i *> 194.71.107.0 77.88.200.245 0 21011 39138 22351 131279 51040 i * 195.182.2.0 77.88.200.245 0 21011 39138 ? *> 89.252.35.162 101 0 35297 9031 3549 4436 23352 39138 i
Удивительно, но они не анонсируют ни одной сети Intelsat или STAR-KP. Только одинокий маршрут к TPB со странным AS_PATH.
Снова посмотрев на трассу к thepiratebay.se, можно делать вывод, что последний настоящий хоп — ams-ix.as39138.net (195.69.147.245). Шестой хоп (не отвечает) — шлюз TPB, и дальше полностью подделанная трасса. Это может быть пачка виртуалок на рабочем тазике Фальквинге. На самом деле, TPB где-то в Германии или, возможно, в другой европейской стране, но уж никак не в Северной Корее.
1. Само по себе подделывание icmp ответов — вещь относительно легко выполнимая (в Интернете практически никто не проверяет source ip) и безобидная, ничего от этого не сломается.
2. Подделывание AS_PATH — уже серьёзная вещь. У TPB, очевидно, есть свои люди в rrbone, которые поправили фильтр, чтоб разрешить такое непотребство. Пока TPB проанонсили туда только свою сеть — как бы всё в порядке, однако если фильтр пропустит другие сети, начнутся серьёзные проблемы. Так можно отрезать от Интернета, например, всю Северную Корею (будет доступна только из Китая, где короче AS_PATH). И подобным образом можно серьёзно поломать Интернет, или же преднамеренно отключить отдельно взятую страну (начинающим кровавым диктаторам на заметку).
3. Почему к TPB и к предпоследнему хопу (175.45.177.217) трассы получаются то разные, то одинаковые? Все пути к Северной Корее идут через Китай, а вот к Китаю уже есть разные пути, и от разных точек мира трассы туда могут быть разные. TPB взяли для подделки одну из них, у меня она совпала с реальной, у кого-то может не совпасть.
4. Почему TPB не могли подделать трассировку к нескольким последним хопам? Для этого им пришлось бы анонсировать чужие сети. Даже если бы фильтры у rrbone такое пропустили, это сломало бы маршрутизацию к проанонсированым сетям. Инцидент бы начали разбирать и лавочку пришлось бы прикрыть.
Автор: Levor
Источник [3]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/fajloobmen/28901
Ссылки в тексте:
[1] 1: https://rdns.im/the-pirate-bay-north-korean-hosting-no-its-fake
[2] хостится: https://www.reg.ru/?rlink=reflink-717
[3] Источник: http://habrahabr.ru/post/171971/
Нажмите здесь для печати.