Ingénieur réseau avec une expérience BGP (Border Gateway Protocol) ici.
Oui. Mais généralement, l'attaque devrait concerner un bloc d'adresses plus important et (comme Eevee l'a commenté) nécessiter un attaquant avec des compétences et un accès spécifiques. Si quelqu'un vous appelle et prétend que votre adresse IP est piratée, il s'agit probablement d'un escroc. Raccrochez!
Revenons à la question:
Supposons que la société «bon FAI» se voit attribuer 1.1.0.0/16. Vous êtes un client d'un «bon FAI» et l'adresse IP publique de votre routeur domestique est 1.1.5.5.
«EvilCo» veut vous donner une mauvaise image en téléchargeant du contenu ... inapproprié ... à partir de la version 1.1. 5.5. Ils ont une connexion de protocole de routage BGP non filtrée à Internet et annoncent 1.1.5.5/32.
Cette attaque échoue. Bien que leur connexion BGP ne soit pas filtrée (et nous parlons ici de filtres d'annonce de route, pas de filtres de paquets), les FAI Internet n'acceptent généralement pas les routes IPv4 plus spécifiques qu'un /24.
Donc EvilCo annonce 1.1 .5.0 / 24 en BGP. Cela réussit. Les versions 1.1.5.0/24 et 1.1.0.0/16 existent dans la table de routage Internet principale et la route plus spécifique l'emporte!
Quelques atténuations:
- Les FAI filtrent généralement Connexions BGP à leurs clients et n'acceptent que des itinéraires spécifiques, mais il existe de nombreuses connexions BGP non filtrées (j'ai personnellement eu accès à une dans un travail précédent ... elle était si ancienne qu'elle a été créée avant que le FAI ne resserre ses configurations standard) .
- Les bons opérateurs BGP utilisent un «service de surveillance BGP» qui leur envoie un e-mail lorsque quelqu'un d'autre annonce l'un de leurs blocs assignés. (BGPmon)
- Il existe des «bases de données de registre d'itinéraire» (RADB par exemple) et certains FAI essaient de contrôler leurs itinéraires avec les bases de données, mais ces bases de données sont généralement incomplètes.
- L'exigence attaquer un bloc plus grand (/ 24) rend l'attaque plus évidente, car plusieurs personnes sont affectées et toutes les mises à jour BGP sont enregistrées par plusieurs organisations.
Il est également possible pour un opérateur non autorisé dans «Good ISP» de prendre spécifiquement le contrôle de votre /32.
Il est toujours possible pour n'importe qui d'envoyer du trafic avec une IP source de 1.1.5.5 sans reroutage le blocage, mais cela ne résultera pas en une poignée de main TCP terminée, donc aucun téléchargement ne se produira (les requêtes DNS sont généralement UDP à un seul paquet, il est donc facile pour quelqu'un de forger des requêtes DNS à partir de votre adresse IP pour un domaine inapproprié et de les envoyer à un serveur DNS arbitraire sur lequel la requête peut être enregistrée).
Il y a une assez bonne discussion et un historique des incidents de «piratage BGP» sur Wikipedia. Les organisations d'opérateurs de réseau, y compris le NANOG (North American Network Operators Group), communiquent et coopèrent pour faire face (ou au moins apporter de la visibilité à) ceux-ci lorsqu'ils se produisent.
De nombreux (la plupart?) Incidents de détournement BGP sont des «erreurs d'opérateur »Plutôt qu'intentionnel. Dans certains cas, les entreprises trouvent un espace d'adressage IPv4 attribué à une entité qui n'est plus opérationnelle et l'utilisent pour des opérations commerciales. L'espace d'adressage IPv4 est rare et coûteux en raison de l'épuisement des adresses IP.