两名安全研究专家最近演示了一种新技术，可以截获 Internet 上的数据包，这种截获方式以前曾被认为不可能实现。

该技术利用 Internet 路由协议 BGP（Border Gateway Protocol），让入侵者监视世界上任何地方的 Internet 数据流，甚至可以对数据包进行篡改。

该演示只是为了显示 Internet 核心协议在安全方面的不足，Internet 核心协议多数开发于70年代，基于当时初生的网络，人们假设网络上的节点都是可信的。这些假设正被一一击破，7月份，Dan Kaminsky 公布了 DNS 系统一个严重漏洞（参见：DNS 漏洞细节被泄露，攻击即将开始。以及DNS 漏洞发现者 Dan Kaminsky 访谈录。），安全专家称，新发现的漏洞的受害范围将更广泛。

这是一个非常严重的问题，甚至比 DNS 漏洞更严重，著名安全专家，L0pht 黑客组织前成员 Peiter "Mudge" Zatko
说，Peiter 1998 年在国会作证的时候曾表示，他可以使用类似 BGP 攻击技术，在30分钟之内将 Internet
干掉，他还私下向政府机构透露如何使用 BGP 进行窃听。Peiter
说，他研究这个问题已经十几二十年，并向情报局，以及国家安全局讲述过这个问题。

该攻击利用 BGP 协议欺骗路由器将数据转发到窃听网络上。

任何拥有 BGP 路由器的人（ISP 以及在运营商租赁了机房的公司）都可以截获数据，但本攻击只能截获流向目标地址的数据，并不能在网络间自由穿行。

本文国际来源：http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html
中文节译来源：COMSHARP CMS 官方网站

• 3
• 挖它!