Beim Besuch einer Website finden im Hintergrund viele Abläufe statt, die normalen Benutzern verborgen bleiben. Zunächst muss der Browser herausfinden, mit welcher IP-Adresse er kommunizieren soll. Nutzer geben zwar einen Domainnamen ein, etwa it-administrator.de, aber mit diesem lässt sich ohne das Domain Name System (DNS) kein Server ausmachen, der die Anfrage beantworten kann. Der Browser bittet also das Betriebssystem, ihm den Namen beim eingestellten DNS-Server zu einer IP-Adresse aufzulösen und diese zurückzugeben. Anschließend kommt eine Verbindung zu dieser IP-Adresse zustande – egal ob mittels IPv4 oder IPv6.

Damit die DNS-Anfrage des Betriebssystems und auch die Datenpakete mit der Anfrage den Server im Internet überhaupt erreichen, müssen alle beteiligten Systeme wissen, welcher Weg am schnellsten zum Zielserver führt. Der Austausch der dafür notwendigen Erreichbarkeitsinformationen, auf Englisch "Network Layer Reachability Information" (NLRI), funktioniert über das Border Gateway Protocol (BGP). BGP ist also eine Art Navigationssystem des Internets. Die Datenpakete folgen den Routen, die zuvor über das Protokoll ausgetauscht wurden.

Obwohl BGP und die Offenheit des Protokolls ein wesentlicher Faktor für den Erfolg des Internets sind, weist der Ansatz in Sachen IT-Sicherheit bis heute auch Schwächen auf. Jedes Autonome System (AS) – also vereinfacht gesagt: Providernetz – ist nämlich selbst für den Versand der Erreichbarkeitsinformationen seiner eigenen IP-Adressbereiche verantwortlich. Eine zentrale, vertrauenswürdige Instanz gibt es dafür nicht. Das bedeutet eben auch, dass AS nicht nur die eigenen Subnetze anbieten können, sondern auch die Subnetze anderer Systeme.

Prefix-Hijacking

Jeder der im Internet aktiven Provider kann also im Grunde sich selbst als Ziel für beliebige IP-Adressbereiche anbieten. Einmal als Erreichbarkeitsinformation an die verbundenen Router gesendet, verwenden diese die Angaben für die Weiterleitung der Pakete zum Ziel. Bietet ein System nun den Adressbereich eines anderen an, können Pakete mittels dieser Informationen fehlgeleitet werden. Das nennt sich dann Prefix-Hijacking. Eine Übersicht über aktuelle Routingprobleme wie auch -angriffe bietet Cloudflare Radar an.

Bevor wir uns einen kürzlich aufgetretenen Fall ansehen und die Folgen besprechen, vergleichen wir den Vorgang noch einmal mit der Zustellung eines Pakets im echten Leben. Stellen Sie sich vor, in Ihrer Nachbarschaft würden Sendungen ausschließlich auf Basis der Hausnummer zugestellt. Zwar gibt es Namen am Klingelschild, ein Adressaufkleber auf dem Paket muss aber trotzdem immer die Hausnummer angeben. In einer Straße werden Hausnummern üblicherweise aufsteigend vergeben, das muss im Internet nicht zwingend der Fall sein.

Nehmen wir nun an, einer Ihrer Nachbarn hängt (versehentlich oder mit Absicht) die Hausnummer eines anderen Hauses an sein eigenes. Kommt der Paketbote nun von Norden in die Straße, erreicht er zuerst das richtige Haus für die angegebene Hausnummer. Er stellt das Paket also fehlerfrei zu. Kommt er aber am nächsten Tag von Süden in die Straße, sieht er zuerst die falsche Hausnummer am Haus des Nachbarn – und gibt die Bestellung dort ab. Dieser Vorgang spiegelt im Grunde genau das wider, was im Fall eines Prefix-Hijackings mit BGP passiert. Jemand gibt vor, ein Prefix zu besitzen, das ihm nicht gehört, und ein Teil des Datenverkehrs wird zu ihm statt zum legitimen Ziel umgeleitet.

Man-in-the- Middle-Angriffe möglich

Falsch zugestellte Pakete führen im Internet unweigerlich zu Problemen im Routing. Dabei gibt es unterschiedliche Szenarien, um die Folgen von Prefix-Hijacking zu beschreiben. Angenommen, es handelt sich um eine gezielte Attacke gegen Ihren IP-Adressbereich. Ein Angreifer veröffentlicht dann Erreichbarkeitsinformationen für Ihren Prefix und kann anschließend mit den zu ihm geleiteten Paketen beliebig verfahren.

So hat er die Möglichkeit, die Daten einfach zu verwerfen, um die Erreichbarkeit Ihres angebotenen Dienstes einzuschränken – eine Art von Denial of Service. Dieses sogenannte Blackholing wird mitunter in repressiven Staaten eingesetzt, um die Benutzung unerwünschter Dienste zu verhindern. Ein Angreifer kann mitunter aber auch die empfangenen Daten als Man-in-the-Middle mitlesen, vielleicht sogar manipulieren und anschließend an den eigentlichen Empfänger weiterleiten.

Wie im Beispiel der falschen Nummer am Haus werden auch beim Prefix-Hijacking nicht alle Pakete fehlgeleitet. Je nachdem, wo sich ein System befindet, kann es sein, dass der kürzeste Weg zum legitimen Besitzer des betroffenen Prefixes führt. Ein Vorfall ist also nicht immer im gesamten Internet erkennbar und für das betroffene AS ist er ohne zusätzliche externe Hilfe in der Regel gar nicht auszumachen.

Cloudflare-DNS-Server nicht erreichbar

Am 14. Juli diesen Jahres führten fehlerhafte Erreichbarkeitsinformation des Prefixes 1.1.1.0/24 dazu, dass der vom Unternehmen Cloudflare gemeinsam mit dem APNIC, der amerikanischen Internetregistrierung, betriebene DNS-Server mit der IP-Adresse 1.1.1.1 für etwa eine Stunde nicht zuverlässig erreichbar war. Dieser DNS-Server wird von vielen Privatpersonen und Firmen als DNS-Server eingesetzt, etwa wenn der eigene Provider keine eigenen DNS-Dienste anbietet, oder die DNS-Server des Providers nicht zum Einsatz kommen sollen.

Analysten gingen zunächst davon aus, dass es sich hier um einen Prefix-Hijacking-Vorfall handelt. Auch wenn das am Ende nicht der Fall war, gibt es dennoch andere Beispiele, wo Prefix-Hijacking gegen DNS-Infrastruktur weitreichende Folgen hatte. Einem Angreifer wäre dann nämlich möglich gewesen, eigene DNS-Server zu betreiben und damit das Namenssystem des Internets massiv zu stören. So geschehen etwa im Jahr 2018, als der Adressbereich des DNS-Resolvers von Amazons AWS-Instanzen übernommen wurde.

Mit den gefälschten DNS-Daten wurden in letzter Konsequenz geschürfte Cryptowährungen in die Wallets des Angreifers umgeleitet. Neben DNS wurden natürlich auch schon andere Dienste durch Prefix-Hijacking gestört. Vielleicht haben Sie das YouTube-Hijacking von 2008 damals mitbekommen, wo ein pakistanischer Anbieter durch einen Konfigurationsfehler die interne Zensierung von YouTube öffentlich machte, was zu einer globalen Nichterreichbarkeit führte.

Prefixe schützen

Das grundlegende Problem liegt in der fehlenden Verifikation der verbreiteten Erreichbarkeitsinformationen, denn historisch bedingt vertrauen sich alle Systeme im Internet gegenseitig. Natürlich ist der beschriebene Fall nicht der erste dieser Art, daher haben Forscher und Routingexperten immer wieder versucht, Maßnahmen zu implementieren, um die Folgen von Prefix-Hijacking eindämmen.

Um Ihre eigenen Prefixe vor Hijacking zu schützen, gibt es eigentlich nur einen wirklich vielversprechenden Ansatz: Mittels der Resource Public Key Infrastructure (RPKI) können Sie die von Ihnen verbreiteten Erreichbarkeitsinformationen digital signieren. Regionale Internet-Registries, in Europa das RIPE (Réseaux IP Européens) Network Coordination Centre, stellen die zugehörigen Zertifikate aus. Eine solche Route Origin Authorization (ROA) lässt sich beim Erhalt von Routinginformationen durch die anderen Provider prüfen und fehlerhafte Angaben werden direkt verworfen.

Derzeit ist bereits mehr als die Hälfte der aktiven Prefixe im Internet mittels RPKI geschützt. Dabei kommt der Standard vor allem im europäischen Teil des Internets zum Einsatz. Es schützt Sie aber eben nur dann, wenn Sie die erhaltenen Erreichbarkeitsinformationen auch zuverlässig prüfen. Als Besitzer eines Prefixes können Sie also die sichere Verwendung anbieten, doch ob andere Systeme dieses Angebot auch annehmen, liegt nicht in Ihrem Einflussbereich. Über die Grenzen Europas hinaus ist die Verbreitung von RPKI schon deutlich geringer. Und das ist natürlich auch für die hiesigen Systeme ein Problem, denn wenn das Angebot zur Verifikation der Informationen nicht wahrgenommen wird, ist eine Prüfung auch nicht möglich.

Damit Sie auch erfahren, wenn ein anderes System im Internet fälschlicherweise Ihren Adressbereich annonciert, müssen Sie in den meisten Fällen externe Dienstleister in Anspruch nehmen. Diese unterhalten an unterschiedlichen Stellen des Internets Dienste, die Erreichbarkeitsinformationen sammeln und zentral bereitstellen. Einer der ersten kommerziellen Dienste ist das mittlerweile zu Cisco gehörende BPGMon. Sie können aber auch auf das Archiv des RIPE zurückgreifen und alle gesammelten Erreichbarkeitsinformationen eigenständig nach Ihren eigenen Prefixen überwachen.

Fazit

BGP ist ein historisches Protokoll und bisher nicht maßgeblich erneuert worden. Der Security-Tipp hat Ihnen gezeigt, warum das gegenseitige Vertrauen aller Systeme im Internet mitunter zu problematischen Situationen und weitreichender Nichterreichbarkeit führen kann, mit teilweise weitreichenden Folgen und wie Sie sich dank RPKI schützen. Für Admins bedeutet das: Prüfen Sie, ob Ihre eigenen Prefixe korrekt über RPKI abgesichert sind, und setzen Sie idealerweise zusätzlich auf Provider, die eine Validierung empfangener Routen durchführen. Ergänzend sollten Sie ein kontinuierliches Monitoring Ihrer Prefixe etablieren, um Manipulationsversuche frühzeitig zu erkennen. (dr)

Lesen Sie hier praxisnahe Artikel zum Storage-Management

IT-Administrator September 2025
Storage-Management

Die letzten Jahre waren von einem massiven Datenwachstum in deutschen Unternehmen geprägt. Und dieser Anstieg wird sich fortsetzen, was zu Herausforderungen beim Management und der Nutzung dieser Datenmassen führt. In dieser Ausgabe widmet sich das IT-Administrator Magazin dem Thema und zeigt unter anderem, wie Sie einen hochverfügbaren Speicher mit Storage Spaces Direct planen und mit dem Azure Storage Explorer Ihre Daten im Blick behalten. Zudem stellen wir DSGVO-konforme Anbieter von Cloudspeichern vor und beleuchten die neusten Trends im Datenbankmanagement.

Bestellen Sie hier das Einzelheft – gedruckt oder digital.
Für Abonnenten steht alle Artikel außerdem im Heftarchiv bereit.