アカウント名:
パスワード:
BGP、もしくは下のTCPのところを突っついてあげると・・・げふんげふん。 peerにmd5(コリジョンの話はさておいても)を使っていないケースも多々ありますし、uRPFと連動させてますっていうのも、どれくらいいるのか。
単純に、フィルタが緩いところなんかに/24より更に細かいprefixを注入してあげれば、あっというまにルータの特にFIB周りが溢れます。 溢れるとリブートしたり、スタックしたりしちゃうんで、それだけでもインターネットの一部を崩せます。 一部が崩れると、経路のupdateが世界を巡り、update過多でお亡くなりになる古いルータもいるでしょう。
存外脆いもんです、インターネットなんて。
>溢れるとリブートしたり、スタックしたりしちゃうんで、それだけでもインターネットの一部を崩せます。>一部が崩れると、経路のupdateが世界を巡り、update過多でお亡くなりになる古いルータもいるでしょう。
もし「30分でインターネットを落とせる」が意図するところが、地域限定の障害範囲であるならBGPの経路ハイジャックも有望でしょうね。まあ、Youtube経路ハイジャック事件 [nikkeibp.co.jp]がコンフィグミスでおこったように、故意でやってもあまり誇ることでないような。
障害範囲が全部だったら、root DNSに対する物理・論理を問わない同時アタックぐらいしか思いつかない。
意外と知られてませんが、root DNSはL3レベルのanycastingにより、物理的には3ケタの台数があります。同時に攻撃するったって限度があるでしょう。DoSにせよ物理的にせよ。
ところで、あなたはほぼ答に辿りついているにも関わらず、答から目を逸らしてしまいました。もし、BGPの経路ハイジャックを root DNS が入っているASに実行できたら? とか思うとどうでしょうか。
実際にできるかどうか知りませんけどね。
# どっちみち、BGPは仕様からして穴だらけだけどね。
# # GoogleのサーバのportをRSTしまくる、という攻撃も地味に嫌かも
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
やっぱりBGPだろうなあ (スコア:5, 興味深い)
BGP、もしくは下のTCPのところを突っついてあげると・・・げふんげふん。
peerにmd5(コリジョンの話はさておいても)を使っていないケースも多々ありますし、uRPFと連動させてますっていうのも、どれくらいいるのか。
単純に、フィルタが緩いところなんかに/24より更に細かいprefixを注入してあげれば、あっというまにルータの特にFIB周りが溢れます。
溢れるとリブートしたり、スタックしたりしちゃうんで、それだけでもインターネットの一部を崩せます。
一部が崩れると、経路のupdateが世界を巡り、update過多でお亡くなりになる古いルータもいるでしょう。
存外脆いもんです、インターネットなんて。
Re: (スコア:1, 参考になる)
>溢れるとリブートしたり、スタックしたりしちゃうんで、それだけでもインターネットの一部を崩せます。
>一部が崩れると、経路のupdateが世界を巡り、update過多でお亡くなりになる古いルータもいるでしょう。
もし「30分でインターネットを落とせる」が意図するところが、地域限定の障害範囲であるならBGPの経路ハイジャックも有望でしょうね。
まあ、Youtube経路ハイジャック事件 [nikkeibp.co.jp]がコンフィグミスでおこったように、故意でやってもあまり誇ることでないような。
障害範囲が全部だったら、root DNSに対する物理・論理を問わない同時アタックぐらいしか思いつかない。
Re:やっぱりBGPだろうなあ (スコア:1, 参考になる)
意外と知られてませんが、root DNSはL3レベルのanycastingにより、物理的には3ケタの台数があります。同時に攻撃するったって限度があるでしょう。DoSにせよ物理的にせよ。
ところで、あなたはほぼ答に辿りついているにも関わらず、答から目を逸らしてしまいました。もし、BGPの経路ハイジャックを root DNS が入っているASに実行できたら? とか思うとどうでしょうか。
実際にできるかどうか知りませんけどね。
# どっちみち、BGPは仕様からして穴だらけだけどね。
# # GoogleのサーバのportをRSTしまくる、という攻撃も地味に嫌かも