BGP es el pegamento de Internet. Para el protocolo, que se dibujó en dos servilletas en 1989, es a la vez sorprendente y terrible que maneje casi todas las interacciones entre los ISP, siendo una parte fundamental de Internet.

BGP tiene una mala reputación principalmente debido a la naturaleza confiable de los vínculos entre pares por defecto y la difícil tarea de verificar la legitimidad de las rutas. Es por eso que en todas partes escuchamos acerca de los ataques de BGP de diversos grados de severidad: desde cambiar la ruta de todo YouTube a AWS Route 53 .

Pero para comprender la naturaleza de estos hacks, debe comprender la topología de Internet. Comencemos con un enrutador solitario:



Un solo enrutador es de poca utilidad si no puede enrutar nada. Por lo tanto, conectaremos otro enrutador a nivel físico (puede ser cualquier cosa: desde Ethernet de cobre y fibra óptica subacuática hasta enlaces Wi-Fi 802.11).

Luego, dos enrutadores conectados (en nuestro caso, rojo y azul) deben entender que pueden enrutar el tráfico el uno para el otro. Después de todo, el objetivo de los enrutadores es enrutar el tráfico de un destino a otro.

Como se mencionó anteriormente, una forma común de hacer esto entre los ISP es instalar BGP en ambos lados y dejar que "se anuncien" entre sí que pueden enrutar el tráfico:



Pero no es muy útil si solo hablan entre sí, ¿de repente los enrutadores rojo y azul no están conectados directamente? Cuantos más enrutadores conectemos, más compleja será la topología de enrutamiento que formaremos. Esto es posible porque cada par BGP comparte tablas de enrutamiento con los otros pares a los que está conectado:



La forma en que los enrutadores intercambian información entre sí depende de la política de configuración, y esto generalmente depende de las condiciones del mundo real para los nodos vecinos. Hay varias configuraciones para clientes, acuerdos de intercambio de tráfico y proveedores superiores.

Debido a esto, los enrutadores requieren un conjunto de instrucciones programadas para filtrar lo que no quieren dar o tomar de otros nodos. Pero de vez en cuando, los atacantes obtienen acceso a un enrutador que está conectado a otro enrutador que no tiene tales filtros. Arreglar esto a nivel de software es increíblemente difícil , porque requiere cambios en los enrutadores de cada proveedor. Los intentos anteriores no están muy extendidos .

BGP tiene una forma de codificar información usando una ruta llamada comunidad. Está definido en RFC1997 (desafortunadamente, escrito en 1996, se perdió un poco). La comunidad se puede adjuntar a una declaración de ruta y consta de un número de 32 bits. En la práctica, este valor se divide en dos números de 16 bits (uno para el ASN y otro para la señal asociada con / para este ASN):



Se utilizan para transmitir información adicional sobre la ruta, por ejemplo, donde el proveedor tomó esta ruta:



Esto es útil en términos de filtrado. Por ejemplo, si tiene muchos proveedores e intenta no dejar salir el tráfico fuera del país, puede utilizar la comunidad adecuada para dirigir el tráfico a lo largo de estas rutas.

Me hizo pensar ¿Qué más puedo señalar a través de la comunidad? ¿Y hasta dónde puedes llegar?

Después de algunas pruebas, resultó que cada red de Nivel 1 borra la comunidad, excepto el anterior Nivel 3 , que permite la transferencia de la comunidad desde el enrutador de origen al cliente. También significa que un enrutador puede enviar información a otros, incluso sin una conexión directa.

Batalla naval

Conociendo la existencia de un canal de comunicación indirecta a través de BGP, quería usar esto de alguna manera para establecer algunas comunicaciones no tradicionales. Elegí "batalla naval" como medio, porque este juego requiere la transmisión de una cantidad mínima de información (coordenadas X e Y, así como información sobre el último disparo: acierto o errado).

Dos juegos en BGP se crearon dos comunidades.



Todo el juego cabe en dos números de 16 bits, lo que permite un juego confiable en dos comunidades.

Como el combate naval es un juego para dos, invité a AS203729 a jugar. Está conectado a BGP en Nueva York, y mi instalación funciona en Londres.

Al planear el juego, asumimos que debido a la frecuencia de actualización de las rutas, podríamos amortiguar el tráfico de BGP . Dado que ambos estamos sentados en el tráfico de producción real, acordamos establecer un temporizador de 30 segundos para cada movimiento, porque la amortiguación causará fallas en los servidores de producción.

Otro tráfico también pasó a través de los enrutadores del juego, así que tuve que mantener el demonio de enrutamiento en línea y fue imposible usar el demonio BGP especial. Para evitar esta limitación, el binario del juego generó y volvió a cargar la configuración de BIRD utilizando el zócalo de control del demonio para sondear los cambios de ruta.

Con esta configuración, el 16 de mayo de 2018, AS206924 y AS203729 probablemente jugaron el primer juego de mesa de la historia que se realizó exclusivamente en BGP.



El juego transcurrió sin problemas, con la excepción de una pausa de 45 minutos debido a la amortiguación anterior. Esto sucedió de mi lado e hizo que el Nivel 3 aplicara la ruta menos óptima para mi tráfico durante 45 minutos. Para evitar que se repita la situación, decidimos cambiar a un período de 90 segundos entre movimientos.

A pesar de esto, el último golpe a la flota de mi amigo AS203729 se realizó en la jugada 68. Lo que me convierte en el primer ganador de un juego de mesa realizado utilizando un protocolo de enrutamiento público de Internet.

¿Fue eso lógico? Probablemente no. ¿Fue divertido? Gosh, si.

El código fuente ha sido publicado en ambos lados, aunque no propongo repetir este experimento.

¡Hasta la próxima!