BGP Hijacking: ইন্টারনেটের ট্রাফিক রুট পরিবর্তন করে বিশাল সাইবার আক্রমণ!

Border Gateway Protocol হলো একটি Path Vector Routing Protocol যা ১৯৮৯ সালে প্রথম প্রকাশিত হয়। BGP-র Version 4 (BGP-4) ১৯৯৪ সাল থেকে আজ পর্যন্ত ব্যবহৃত হচ্ছে। প্রতিটি বড় ISP, Cloud Provider, এবং Multi-Homed Enterprise তাদের নিজস্ব Autonomous System Number বা ASN পরিচালনা করে। বিশ্বে বর্তমানে প্রায় ১,০০,০০০-এর বেশি Active ASN রয়েছে।

BGP দুই ধরনের রয়েছে— External BGP বা eBGP যা ভিন্ন AS-এর মধ্যে Routing Information বিনিময় করে, এবং Internal BGP বা iBGP যা একই AS-এর Router-গুলোর মধ্যে ব্যবহৃত হয়। BGP Speaker-রা TCP Port 179-এ Persistent Connection স্থাপন করে এবং Update Message-এর মাধ্যমে Route Advertise বা Withdraw করে।

প্রতিটি BGP Update Message-এ NLRI বা Network Layer Reachability Information থাকে যা একটি IP Prefix এবং তার সাথে যুক্ত Path Attribute নির্দেশ করে। AS_PATH Attribute দেখায় কোন কোন AS-এর মধ্য দিয়ে এই Prefix পৌঁছানো যাবে। Next-Hop Attribute Indicate করে পরবর্তী Router-এর IP Address।

BGP-র সবচেয়ে গুরুত্বপূর্ণ এবং বিপজ্জনক বৈশিষ্ট্য হলো এটি কোনো Authentication বা Verification ছাড়াই Route গ্রহণ করে। যদি AS 100 ঘোষণা করে "আমি 192.0.2.0/24-এর মালিক", অন্যান্য AS-গুলো সাধারণত এটি বিশ্বাস করে নেয়। Longest Prefix Match-এর নীতি অনুযায়ী যদি একই Prefix-এর জন্য একাধিক Announcement আসে, সবচেয়ে Specific (Longer Prefix) টি বেছে নেওয়া হয়। এই দুটি বৈশিষ্ট্যই BGP Hijacking-এর মূল কারণ।

Prefix Hijacking

সবচেয়ে সাধারণ ধরন হলো Prefix Hijacking যেখানে আক্রমণকারী AS ঘোষণা করে যে সে একটি IP Prefix-এর মালিক, যা আসলে অন্য AS-এর। উদাহরণস্বরূপ, যদি AS 666 ঘোষণা করে "আমি 8.8.8.0/24-এর মালিক", তাহলে অনেক ISP এই ঘোষণা গ্রহণ করবে এবং Google-এর Public DNS-এর জন্য নির্ধারিত ট্রাফিক AS 666-এ চলে যাবে।

আরও Sophisticated Variant হলো Sub-Prefix Hijacking যেখানে আক্রমণকারী আরও Specific Prefix Announce করে। Google যদি 8.8.8.0/24 Announce করে, আক্রমণকারী 8.8.8.0/25 Announce করতে পারে। Longest Prefix Match-এর কারণে আক্রমণকারীর Route জিতে যাবে।

Path Manipulation

Path Manipulation Attack-এ আক্রমণকারী AS_PATH Attribute Manipulate করে। যেমন, একটি AS আরেকটি AS-এর Route-কে আরও Attractive করে দেখাতে AS_PATH ছোট করতে পারে। এর বিপরীত হলো AS_PATH Prepending যেখানে নিজের AS-কে একাধিকবার Path-এ যুক্ত করে Route-কে Less Preferred করে দেখানো হয়, সাধারণত Traffic Engineering-এর জন্য ব্যবহৃত হলেও Misuse করা যায়।

Route Leak

Route Leak হলো এমন একটি ঘটনা যেখানে একটি AS তার Upstream Provider থেকে শেখা Route-গুলো অন্য Upstream Provider বা Peer-এর কাছে অপ্রত্যাশিতভাবে Announce করে দেয়। এটি প্রায়ই Misconfiguration-এর কারণে হয় কিন্তু ফলাফল ভয়াবহ হতে পারে।

২০১৭ সালে Level 3 (এখন CenturyLink) একটি Massive Route Leak ঘটিয়েছিল যা আমেরিকার অনেক অংশে Internet Outage সৃষ্টি করেছিল। ২০১৯ সালে Verizon-এর Route Leak Cloudflare, AWS, এবং Facebook-এর Performance-কে কয়েক ঘণ্টার জন্য মারাত্মকভাবে প্রভাবিত করেছিল।

২০০৮ সালের YouTube Hijacking ঘটনাটি BGP Security-র গুরুত্ব বিশ্বের সামনে এনেছিল। পাকিস্তান টেলিকম YouTube-কে দেশের ভেতর Block করার জন্য YouTube-এর IP Prefix নিজের Network-এ Black Hole করেছিল। কিন্তু ভুলবশত এই Announcement তাদের Upstream PCCW-এর কাছে চলে যায় এবং সেখান থেকে পুরো ইন্টারনেটে ছড়িয়ে পড়ে। ফলে বিশ্বব্যাপী YouTube প্রায় দুই ঘণ্টা Down ছিল।

২০১৮ সালে Amazon-এর Route 53 DNS Service Hijack করা হয়। আক্রমণকারীরা একটি Cryptocurrency Exchange MyEtherWallet-এর ব্যবহারকারীদের DNS Request Hijack করে একটি Phishing Site-এ Redirect করে। প্রায় ১৫০,০০০ ডলার সমমানের Ethereum চুরি হয়েছিল।

২০১৪ সালে একটি অজ্ঞাত আক্রমণকারী Canadian ISP-র মাধ্যমে Bitcoin Mining Pool-গুলোর ট্রাফিক Hijack করে এবং প্রায় ৮৩,০০০ ডলার সমমানের Bitcoin চুরি করে। চার মাস ধরে এই Hijack চলেছিল।

China Telecom-এর বিরুদ্ধে বারবার অভিযোগ উঠেছে যে তারা Sensitive Government এবং Corporate Network-এর ট্রাফিক ঘুরিয়ে নিজের Network দিয়ে নিয়েছে। ২০১০ সালে US-China Economic and Security Review Commission রিপোর্ট প্রকাশ করে যে China Telecom ১৮ মিনিটের জন্য বিশ্বের ১৫% Internet Traffic Hijack করেছিল।

Man-in-the-Middle Hijack

সাধারণ Hijack-এ ট্রাফিক আক্রমণকারীর কাছে পৌঁছায় কিন্তু Destination-এ পৌঁছায় না, যা সহজে Detect হয়। আরও Sophisticated Man-in-the-Middle Hijack-এ আক্রমণকারী ট্রাফিক Intercept করে কিন্তু তারপর সঠিক Destination-এ Forward করে। ফলে User কিছু বুঝতেও পারে না কিন্তু আক্রমণকারী সব Unencrypted Data পড়তে পারে।

এই কৌশলের জন্য আক্রমণকারীকে এমনভাবে Announcement করতে হয় যাতে Legitimate AS-এর কাছে নিজের Hijack-এর Route না পৌঁছায়। এজন্য Selective AS-এ Route Announce করে এবং অন্যদিকে No-Export Community ব্যবহার করে।

Bitcoin এবং Cryptocurrency আক্রমণ

Cryptocurrency Network-গুলো BGP Hijacking-এর জন্য বিশেষ আকর্ষণীয় টার্গেট। Bitcoin Network Node-গুলো IP Address-এর মাধ্যমে Peer-to-Peer Connection স্থাপন করে। যদি আক্রমণকারী Mining Pool বা Major Exchange-এর IP Hijack করতে পারে, তাহলে সে Double Spending বা Block Withholding Attack চালাতে পারে।

ETH Zürich-এর গবেষকরা ২০১৭ সালে দেখিয়েছেন যে BGP Hijacking-এর মাধ্যমে Bitcoin Network-এ Partition Attack চালানো সম্ভব। মাত্র কয়েকটি ASN Hijack করেই বিশ্বের ৫০% Bitcoin Mining Power-কে অন্য অংশ থেকে বিচ্ছিন্ন করা যায়।

RPKI: Resource Public Key Infrastructure

Resource Public Key Infrastructure বা RPKI হলো BGP Security-র সবচেয়ে গুরুত্বপূর্ণ আধুনিক উদ্যোগ। RPKI-তে IP Address Allocation-এর Cryptographic Verification থাকে। প্রতিটি IP Prefix-এর Owner একটি Route Origin Authorization বা ROA Sign করে যেখানে নির্দিষ্ট করা থাকে কোন ASN সেই Prefix Announce করতে পারবে।

Receiving Router RPKI Validator-এর সাথে যোগাযোগ করে যাচাই করে যে কোনো Received Announcement Valid ROA-এর সাথে Match করে কিনা। যদি না করে, সেই Route Invalid হিসেবে চিহ্নিত হয় এবং Drop করা হয়।

২০২০ সালের পর থেকে RPKI Adoption দ্রুত বৃদ্ধি পাচ্ছে। বর্তমানে বিশ্বের প্রায় ৪০% IP Prefix RPKI-Signed এবং Cloudflare, AT&T, Telia, GTT-এর মতো বড় ISP RPKI Validation প্রয়োগ করেছে। MANRS বা Mutually Agreed Norms for Routing Security ক্যাম্পেইন বিশ্বব্যাপী ISP-দের RPKI গ্রহণে উৎসাহিত করছে।

BGP Monitoring ও Detection

RPKI সব ধরনের Hijack প্রতিরোধ করতে পারে না, বিশেষত AS_PATH Manipulation। তাই Continuous Monitoring অপরিহার্য। BGPmon, Cisco Crosswork Cloud, RIPE NCC RIS, এবং Cloudflare Radar-এর মতো Service ২৪/৭ BGP Routing Table পর্যবেক্ষণ করে এবং অস্বাভাবিক পরিবর্তন Detect করে Alert পাঠায়।

ARTEMIS হলো একটি Open Source Tool যা সংস্থাগুলোকে নিজস্ব Prefix-এর Hijack Detect করতে সাহায্য করে। PeeringDB এবং RIPE Atlas Distributed Measurement Capability প্রদান করে যা Route Leak এবং Hijack চিহ্নিত করতে সক্ষম।

Best Practice ও MANRS

MANRS-এর চারটি প্রধান Action রয়েছে। প্রথমত, Filtering— নিজের গ্রাহক এবং Peer-দের Announcement Validate করুন। Prefix Filter, AS Path Filter, এবং Max Prefix Limit সেট করুন। দ্বিতীয়ত, Anti-Spoofing— Source Address Validation প্রয়োগ করুন যাতে আপনার Network থেকে Spoofed Packet বাইরে না যায়।

তৃতীয়ত, Coordination— সঠিক Contact Information PeeringDB এবং RIR Database-এ আপডেট রাখুন যাতে অন্য Operator-রা সমস্যার সময় দ্রুত যোগাযোগ করতে পারে। চতুর্থত, Global Validation— RPKI ROA Publish করুন এবং অন্যদের Announcement Validate করুন।

Encryption ও End-to-End Security

BGP Hijacking-এর কারণে যে Data Exposure ঘটে তা প্রায়ই Unencrypted Traffic-এর কারণে। HTTPS, TLS 1.3, এবং DNSSEC-এর মতো End-to-End Encryption প্রযুক্তি ব্যবহার করুন। HSTS Header সক্রিয় করুন যাতে Downgrade Attack প্রতিরোধ হয়। Certificate Transparency Log Monitor করুন যাতে কেউ আপনার Domain-এর জন্য Unauthorized Certificate Issue করলে দ্রুত শনাক্ত হয়।

DNS-over-HTTPS এবং DNS-over-TLS ব্যবহার করুন যা DNS Query-কে Encrypt এবং Authenticate করে। DNS-over-HTTPS বিশেষভাবে কার্যকর কারণ এটি Standard HTTPS Port ব্যবহার করে যা সহজে Block করা যায় না।

Enterprise Network-এর জন্য

Enterprise Network-এ Multi-Homing গ্রহণ করুন একাধিক ISP-র সাথে। কোনো একটি ISP Hijack-এর শিকার হলে অন্যটির মাধ্যমে Traffic চলবে। RPKI Validation Implement করুন আপনার BGP Edge Router-এ। আপনার Public IP Prefix-এর জন্য ROA Sign করুন।

DDoS Protection Service যেমন Cloudflare, Akamai, Imperva ব্যবহার করুন যারা নিজস্ব BGP Hijacking Detection এবং Mitigation Capability রাখে। Anycast Network-এর সুবিধা গ্রহণ করুন যা একই IP একাধিক Location থেকে Announce করে এবং Hijack-এর Impact কমায়।