Атакующий перенаправляет интернет-трафик, предназначенный для IP-адреса твоего домена, на собственный сервер, ложно заявляя о владении твоим IP-префиксом в глобальной системе маршрутизации BGP. Твой домен всё ещё резолвится на правильный IP через DNS, но пакеты туда не попадают—они маршрутизируются в другое место.
Это принципиально отличается от DNS-перехвата. Тогда как DNS-отравление перенаправляет имя твоего домена на поддельный IP, BGP-перехват перехватывает трафик в пути к легитимному IP. Атакующий объявляет более специфичный BGP-маршрут (например, 203.0.113.0/25 вместо 203.0.113.0/24) и пограничные маршрутизаторы предпочитают более специфичный префикс, отводя твой трафик на их инфраструктуру.
Почему это важно: BGP-перехваты редки, но катастрофичны. Они обходят DNS-безопасность (DNSSEC не поможет), TLS-сертификаты (если атакующий может MITM-соединение) и большинство стандартных защит. Известные инциденты включают 2014 Indosat-перехват, 2017 Verizon/AWS-маршруты и 2021 Facebook/Cloudflare-отказ.
Митигация требует принятия RPKI (Resource Public Key Infrastructure) на твоём ISP и апстрим-провайдерах—по сути криптографическое доказательство владения IP. Большинство маленьких операторов лишены этой защиты. Если ты запускаешь критическую инфраструктуру, требуй валидации RPKI от хостинг-провайдера.