駭客算命攤 x 超。快速入門 - BAD ASN - A BGP Hijack Research / Zuan === https://bgp.he.net/ BGP 可以宣告擁有那些 IP Router 宣告 AS 就可以挾持流量 演講公司是做 IP 地圖的服務商 - - prefix - 泛指/24、/20 等(網段) - BAD ASN - IP mapping location - 找到很多衝突 - 有些 prefix 好像不應該在這個位置? - prefix和ISN被做壞事 - 我好像沒做壞事 但是就是被放進去了(?? - 營運商會有地理位置上的限制 - ex) 中華電信只會出現在台灣 - 第五個情況: - 宣告IP段和現實對應位置很奇怪 - IP擁有權頻繁更動(密集公告及撤銷) - 正常公告的IP段內混和異常IP難以察覺 - 偷ASN的目的? - 垃圾郵件(SPAM) - 代理服務(匿名) - 爬蟲 - 大量的IP少次數爬(難以防治) - RBL tool可以看到各家檢測的IP黑名單結果 - EX: https://www.spamhaus.org/ - 其他濫用? - IP由INA分配(給區域性的組織) - 像是台灣區域有TWNIC - 中華電信再和TWNIC申請IP - IPV4分配不夠->IP買賣 - 歐洲很多ISP管理不太嚴 - AS3266: BitCanal hijack factory, courtesy of Cogent, GTT, and Level3 - 常偷幹別人的IP - 劫持工廠(hijack factory) - 審查不嚴?同流合汙? - AS197426 UP/DownStream - 上游:接近ISP的位置 - 下游:接近user side - 為什麼美國的公司會跑到歐洲? - ASN3266死灰復燃，總會有人(ISP)幫忙公告(竊取的IP位址) - BGP特性可以要回IP - 大區段的公告優先權低於小區段的宣告 - 100.0.0.0/8-150.0.0.0/8 低於100.0.0.0/8-110.0.0.0/8 (中間沒聽懂在幹嘛 木有筆記QQ) 就只是說很多地方的IP都被偷(台灣香港 中國合肥) - BAD ASN in IPv6 - different table but same protocol - 別人沒用的IP段容易被別人偷偷拿去公告XD很難發現(很少用)也很難抓(隱藏在正常網段內) ###### tags: `HITCONCMT2019`,`HITCONCMT`,`HITCON`