同意YY妹妹的发言,从基础架构上颠覆现有的网络安全模型是不太可能的。
这里有一些关于这个话题的资料,请各位自己看吧: Dan Kaminsky在blackhat的大会上就这个话题和BGP漏洞的发现者做了深入的交谈,所以他对BGP漏洞应该还是比较了解的,他透露说 这个漏洞还是有一些限制条件的,在一定条件下可以实现流量劫持。不过如果结合几种漏洞一起利用也许会比较可怕。 Dan的blog: The Emergence Of A Theme http://www.doxpara.com/?p=1231 On 8月28日, 下午3时00分, "云舒" <[EMAIL PROTECTED]> wrote: > 估计是YY的。 > 要是有这种漏洞,不太可能这样公布出来。前面那个DNS,YY的程度也很高。 > BGP协议确实可以指引路由,比如绿盟的黑洞,思科的GUARD,通过旁路防御DDOS就是在路由器上面添加BGP协议实现的。 > 但是如果说有这么严重的漏洞,可以随意引流,觉得可能性不大。 > > 2008-08-28 > > 云舒 > > 发件人: 四不象 > 发送时间: 2008-08-28 14:37:37 > 收件人: [email protected] > 抄送: > 主题: [Ph4nt0m] 这个漏洞谁了解?《Internet另一超级漏洞被公布 》 > > Internet 另一超级漏洞被公布 > > 作者: its|发布: 2008-8-27 (15:13)|阅读: 262|评论: 0 > 两名安全研究专家最近演示了一种新技术,可以截获 Internet 上的数据包,这种截获方式以前曾被认为不可能实现。 > > 该技术利用 Internet 路由协议 BGP(Border Gateway Protocol),让入侵者监视世界上任何地方的 Internet > 数据流,甚至可以对数据包进行篡改。 > > 该演示只是为了显示 Internet 核心协议在安全方面的不足,Internet > 核心协议多数开发于70年代,基于当时初生的网络,人们假设网络上的节点都是可信的。这些假设正被一一击破,7月份,Dan Kaminsky 公布了 DNS > 系统一个严重漏洞(参见:DNS 漏洞细节被泄露,攻击即将开始。以及DNS 漏洞发现者 Dan Kaminsky > 访谈录。),安全专家称,新发现的漏洞的受害范围将更广泛。 > > 这是一个非常严重的问题,甚至比 DNS 漏洞更严重,著名安全专家,L0pht 黑客组织前成员 Peiter "Mudge" Zatko 说,Peiter > 1998 年在国会作证的时候曾表示,他可以使用类似 BGP 攻击技术,在30分钟之内将 Internet 干掉,他还私下向政府机构透露如何使用 BGP > 进行窃听。Peiter 说,他研究这个问题已经十几二十年,并向情报局,以及国家安全局讲述过这个问题。 > > 该攻击利用 BGP 协议欺骗路由器将数据转发到窃听网络上。 > > 任何拥有 BGP 路由器的人(ISP 以及在运营商租赁了机房的公司)都可以截获数据,但本攻击只能截获流向目标地址的数据,并不能在网络间自由穿行。 --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [EMAIL PROTECTED] -~----------~----~----~----~------~----~------~--~---
