Commençons par le protocole Border Gateway . Internet est composé de milliers de points d'extrémité appelés AS (systèmes autonomes) et achemine les données avec un protocole appelé BGP (Border Gateway Protocol). Ces dernières années, la taille de la table de routage BGP a augmenté de façon exponentielle, dépassant largement les 100 000 entrées. Même avec l'augmentation de la puissance du matériel de routage, il est à peine capable de suivre le rythme de la taille sans cesse croissante de la table de routage BGP.
La partie délicate de notre scénario MITM est que BGP approuve implicitement les itinéraires fournis par d’autres systèmes autonomes, ce qui signifie qu’avec suffisamment de spams provenant d’un AS, tout itinéraire peut mener à tout système autonome. C’est le moyen le plus évident d’accéder au trafic MITM, et ce n’est pas que théorique: le site de la convention de sécurité Defcon a été redirigé vers le site Web d’un chercheur en sécurité en 2007 pour démontrer l’attaque. Youtube était en panne dans plusieurs pays asiatiques lorsque le Pakistan a censuré le site et déclaré à tort que sa propre voie (morte) était la meilleure pour plusieurs AS en dehors du Pakistan.
Une poignée de groupes académiques collectent des informations de routage BGP auprès d'AS coopérants pour surveiller les mises à jour BGP modifiant les chemins de trafic. Mais sans contexte, il peut être difficile de distinguer un changement légitime d'un détournement malveillant. Les voies de circulation changent constamment pour faire face aux catastrophes naturelles, aux fusions d’entreprises, etc.
Ensuite, la liste des "vecteurs d’attaque MITM globaux" est DNS ( Domain Name System ).
Bien que le serveur BIND d'ISDN de BSI ait résisté à l'épreuve du temps et soit resté relativement indemne (tout comme les offres DNS de Microsoft et de Cisco), quelques vulnérabilités remarquables ont été découvertes qui pourraient potentiellement compromettre tout le trafic utilisant des noms canonisés sur Internet (c'est-à-dire trafic).
Je ne me donnerai même pas la peine de parler des recherches de Dan Kaminsky sur l'attaque par empoisonnement par cache DNS, qui a été battu à mort ailleurs, mais s'est vu décerner le «bogue le plus surhypé de tous les temps» par Blackhat - Las Vegas. Cependant, il existe plusieurs autres bogues DNS qui ont gravement compromis la sécurité Internet.
Le bogue Dynamic Zone Zone plantait les serveurs DNS et risquait de compromettre à distance les machines et les caches DNS.
Le bogue Transaction Signatures permettait la compromission de la racine distante complète de tout serveur exécutant BIND au moment de l'annonce de la vulnérabilité, permettant bien évidemment de compromettre les entrées DNS.
Enfin , nous devons discuter ARP Poisoning , 802.11q retracing , STP-Trunk Détournement , injection d'informations de routage RIPv1 et la flopée d'attaques pourréseaux OSPF.
Ces attaques sont les "familiers" d'un administrateur réseau pour une entreprise indépendante (à juste titre, considérant qu'il peut s'agir des seules sur lesquelles ils ont le contrôle). Discuter des détails techniques de chacune de ces attaques est légèrement ennuyeux à ce stade, car tous ceux qui sont familiarisés avec la sécurité de base des informations ou TCP ont appris l’empoisonnement ARP. Les autres attaques sont probablement un visage familier pour de nombreux administrateurs de réseau ou aficionados de la sécurité des serveurs. Si cela vous concerne, il existe de nombreux très bons utilitaires de défense du réseau, allant des utilitaires gratuits et Open Source comme Snort aux logiciels d'entreprise de Cisco et HP.. Vous pouvez également, de nombreux livres d' information portent sur ces sujets, trop nombreux pour discuter, mais plusieurs ont trouvé I utiles dans la poursuite de la sécurité du réseau comprennent le Tao du réseau de surveillance de la sécurité , du réseau Architectures de sécurité , et le classique réseau Guerrier
En tout cas, je trouve quelque peu troublant que les gens supposent que ce type d’attaque nécessite un accès au niveau des FAI ou du gouvernement. Ils n'ont pas besoin de plus que la moyenne des connaissances en réseau de CCIE et des outils appropriés (HPING et Netcat, pas exactement des outils théoriques). Restez vigilant si vous voulez rester en sécurité.