Tanulmány a youtube.com leállásról

Egyfajta DoS tamadast ennel sokkal egyszerubben is lehet csinalni.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

igen, a pakisztani szolgaltato azt mondta, hogy neki van a legrovidebb eleresiutja a youtube fele, ezt a PCCW elhitte (ok szolgaltatjak a fel kozel/tavolkeletnek a netet).
es ezert minden a pccw ala tartozo vegpont pakisztan fele akart kimenni a youtube-re, ok meg a teljes forgalmat betoltak a kukaba.

igazsag szerint itt nem is az a gaz, hogy youtube nem volt elerheto, vagy mondjuk a youtube latogatokat ra tudod "uszitani" egy masik szerverre.
szerintem inkabb az, hogy ha jol ertem, akkor siman megtehettek volna a pakisztaniak, hogy csinalnak egy kamu youtube site-ot, es akik az o altaluk ajanlott routing utvonalat kovetik, azok teljesen megteveszthetoek.

tehat pl. ha en lennek egy isp, es azt mondanam, hogy en tudom a legrovidebb utat az otp bankhoz, ezek utan beroutingolom egy sajat szerveremre az osszes otp-s forgalmat, akkor nagy valoszinuseggel atvennek tolem a magyar csomopontok az infot, es hozzam jonne minden eredetileg az otp-nek szant keres, en meg jol begyujthetnem a szamlaszamokat, jelszavakat, stb.

Tyrael

Ez a cikk gagyi.

A broadcast kifejezésnek köze nincs a routinghoz, itt az advertising-ot kellett volna használni. A lényeg, hogy a "paktel" behírdetett egy /24-et a youtube /22-jéből, amit a pccw elfogadott és továbbhírdetett. Ezt nem kellett volna neki, mivel minden valamire való szolgáltató a downstream vonalain (IP registry DB-ben tároltak alapján, pl. nálunk RIPE) szűri a hozzá érkező hírdetéseket. Mivel a pccw már elég nagy, ezért a többi "nagy" már bízott benne, így klasszul "körbement" a (more specific) prefix, ami a Pakisztánba mutatott.

Persze alapvetően már a /24-es prefixek elfogadásával és kiadásával is gázok vannak, de a "micro-szolgáltatók" netre engedésével sikerült megoldani a global bgp-tábla frankó exponenciális növekedését..

Egy R1 user valoban nem, de te igen, es neked velhetoen elso dolgod lesz ertesiteni az OTP-t, hogy wtf, miert engedik http-n a forgalmat. Es onnan megindul a nyomozas.

Erre nem tudok biztosat mondani, mert ilyen tapasztalatom nincs, de az biztos, hogy https esetén, ha gond van a tanúsítvánnyal, akkor az ügyfelek jórésze betelefonál, függetlenül attól, hogy tudja vagy érti a mögötte húzódó problémát vagy sem. Persze nyilván feltűnő, hisz a böngészők nagy lármát csapnak ilyen esetben (IE7 esetén a piros "tovább (nem javasolt)" feliratra jórészük rá se mer alapból kattintani - szerencsére - :), http esetén meg maximum az tűnhet fel az átlag usernek, hogy "nincs kis lakat" vagy "nem színes a címsor", tehát biztos, hogy kisebb arányban veszik észre és telefonálnak be, de azért - szerintem - lenne olyan viszonylag kis időn belül akinek feltűnik.

Érdekesebb probléma viszont a kifejezetten banki csalásokra kihegyezett malware/trójai programok, amelyeken keresztül a támadók az ügyfél által már felépített https session-be, a hitelesítés után (a jelszó és egyéb egyszeri kód begépelése után) injektálják a saját megbízásaikat, átutalásaikat... ;)

namost peldaul: user beirja: www.otp.hu. normalis esetben ez egy 302-vel atugrik http://www.otp.hu/index.html-re, amiben csak egy meta-refresh van, ami atiranyitja https://www.otpbank.hu/...-re.

tehat a 302es az index.html meg sima http. tegyuk fel, hogy IE-hez van egy exploit, amihez eleg csak megnezni egy oldalt, es mar fertozottek vagyunk. Gonosz ISP szetterjeszti, hogy 195.228.112.250 ip nala van. aztan az index.html-ben nemcsak a metarefresh jon, hanem az expolit is. aztan a https forgalmat mar csak valahogy proxyzza a rendes helyre. nemerdekes mi van a https-ben, az user gepen mar ott a progi.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!