尽管互联网本身最初被设想为一种实现健壮、容错通信的方式,但作为其基础的全球路由基础设施却相对脆弱。一个简单的错误,比如在全球路由中心的7000到10000个网络中的一个中错误配置路由信息,就可能导致大范围的中断,而蓄意的行为,比如防止使用欺骗源IP地址的流量,就可能导致分布式拒绝服务(DDoS)攻击。
的互联网协会(ISOC组织)作为互联网工程任务组(Internet Engineering Task Force, IETF)标准机构的母公司,一个以事业为导向的非营利性组织正在努力改变这一现状,该组织寻求促进互联网的开放开发、演变和使用。2014年,ISOC引入了它路由安全协议(MANRS)倡议。今天,ISOC宣布,在最初的两年里,倡议成员增加了三倍多,从最初的9家网络运营商增长到现在的42家网络运营商。
最新的成员是SUNET和NORDUnet,这是斯堪的纳维亚两个领先的研究和教育网络。MANRS的42个成员目前在21个国家运营自主系统网络(ASNs)。MANRS倡议现已在亚洲、北美和南美、非洲和欧洲建立。
ISOC技术项目经理安德烈·罗巴切夫斯基说:“我们看到很多人接受和意识到这一点。”“有超过5万个网络参与全球路由。也许7000到10000个网络真正定义了全局路由的工作方式。如果我们能让1万个网络加入MANRS,我们将看到全球路由的显著改善。”
巴基斯坦杀死了这位视频明星
罗巴切夫斯基举例说,如果ISOC能获得足够的asn来支持MANRS中建议的措施,就能防止类似2008年巴基斯坦在全球三分之二的地区连续几个小时将YouTube从互联网上屏蔽的事件。
在那次事件中,巴基斯坦试图在其境内屏蔽YouTube。由于反伊斯兰的视频,巴基斯坦电信部门已经命令70家网络服务提供商封锁对该网站的访问。作为回应,巴基斯坦电信(Pakistan Telecom),该国领先的电信公司,将其路由信息设置为任何试图访问YouTube网络地址的人的合法目的地(尽管它实际上根本没有指向YouTube)。
此举只是为了让YouTube在巴基斯坦境内无法使用,但路由信息却传播到了国外。很快,不仅全球三分之二的人无法访问YouTube,巴基斯坦电信也受到了DDoS攻击的折磨。
罗巴切夫斯基表示:“有两个多小时,互联网上的大量内容都无法访问YouTube。”“巴基斯坦电信(Pakistan Telecom)只是被埋在了这种流量之下,被埋在了自己制造的DDoS攻击之下。这类事故每天都在互联网上发生。这些事件中的大多数都是错误配置。原则上,如果不采取额外措施,任何人都可能造成这种错误配置并造成混乱。”
罗巴切夫斯基指出,MANRS包括网络安全运营商应该采取的四种最低限度、可操作的措施:过滤、反欺骗、协调和全局验证。
“MANRS是非常可行的,”他说。“这是我们希望引入的最低基线,作为一种新规范。这不是一种抱负。这是绝对最小值。我们想把门槛设得不高,这样人们就可以加入。如果大规模实施,我们将看到全球路由系统的显著改善。”
罗巴切夫斯基表示,大多数已加入的运营商已全部实施了这四项措施,其中包括全球最大的宽带运营商之一康卡斯特(Comcast),该公司已通过33个asn实现了这一目标。到目前为止,没有一个成员对少于三起案件采取行动。
过滤以防止不正确路由信息的传播
第一个措施是过滤,它有助于防止错误路由信息的传播。罗巴切夫斯基说,网络运营商需要定义一个明确的路由策略,并实施一个系统,以确保他们自己的路由公告的正确性,以及从客户到邻近网络的公告的前缀和as路径粒度。
网络运营商需要能够与其相邻的网络进行通信,确保其公告是正确的,并在检查其客户公告的正确性时应用尽职调查。他说,这将提供防止“胖手指”错误的保证,“胖手指”错误可能导致劫持指向其他网络的流量。它还将减少“路由泄漏”——路由公告超出预期范围的传播。
防止使用欺骗IP地址的流量
ISOC说,通过实施一个系统,使源地址验证至少对单家存根客户网络、他们自己的终端用户和基础设施,网络运营商可以显著减少DDoS攻击的流行和影响。本质上,网络运营商应该实施防欺骗过滤,防止源IP地址不正确的数据包进出网络。
促进全球网络运营商之间的业务沟通和协调
为了确保顺畅,网络运营商需要保持全球可访问和最新的联系信息,以促进与同行的沟通和协调。罗巴切夫斯基说,这对于减轻事故和更好地保证关系的技术质量至关重要。
在全球范围内促进路由信息的验证
前三项措施是关于清扫自己的人行道,而第四项措施是关于照顾你的同伴。通过促进路由信息的全局验证,您可以限制路由事件的范围,使全局系统作为一个整体更具弹性。
罗巴切夫斯基说,总的来说,这四项措施不仅有助于提高互联网的安全性和弹性,还将创造一个可持续的商业环境,使网络运营商及其客户都能受益。它们将提供更好的保护,防止错误配置导致的流量异常,更干净的设置(导致更容易的故障排除和更低的解决时间(TTR)),改善对等条件,并通过论坛和专业网络与其他运营商协作的机会。
Robachevsky指出,一个MANRS参与者团队已经召集起来起草了一份最佳当前操作实践(BCOP)文件,该文件将指导您完成符合MANRS的步骤。该小组计划将该文件提交给各区域社区成熟的73年本月晚些时候将在马德里举行会议。
这个故事“MANRS是什么,你的网络有吗?”最初是由首席信息官 .