在互联网上向你的邻居传播错误的路由信息不仅是不礼貌的行为,还可能对业务造成不良影响。
这至少是互联网协会(ISOC)想要传播的信息,因为它呼吁互联网交换点(IXPs)来帮助消除对互联网路由系统最常见的威胁。
如果他们这样做了,那么这对他们的成员,互连的网络服务提供商,以及这些网络服务提供商的客户来说是一个好消息,他们将受益于更安全和更强大的互联网访问。
2016年,ISOC邀请网络运营商加入其MANRS(相互同意的路由安全规范)倡议,目前已有超过50家网络运营商这样做。
现在是要求ixp也注册去年,大约1.4万起路由中断或劫持、泄露、欺骗和大规模拒绝服务(DoS)攻击事件导致数据被盗、收入损失和互联网连接企业声誉受损。
ISOC的技术项目经理Andrei Robachevsky说,有三个因素会导致路由不安全,MANRS的目标是防止这种不安全。它们是前缀或路由劫持、路由泄漏和IP地址欺骗。最后一点使许多放大或反射DDoS攻击成为可能。
ixp是链中的关键一环,因为他们运营的路由服务器可能会在一个地区的isp之间传播路由错误,迅速影响到大量的互联网用户,包括消费者和企业。
在ixp中,对客户声明的过滤变得越来越常见,但对等关系大多是未过滤的。
“这主要是一个可伸缩性问题,”Robachevsky说。与此同时,向对等端宣布不正确前缀的错误会因为直接接受它们的对等端数量而被放大,尤其是在使用路由服务器的情况下。并可能导致严重的断电。”
他说,如果IXP实现了过滤,它就节省了对IXP及其成员的路由中断,将路由服务器从一个可扩展性工具变成了一个安全放大器。
参与MANRS IXP计划,一个IXP必须致力于促进预防错误的路由信息的传播,促进MANRS其成员,并实施其他三个行动之一:保护着平台,促进全球运营网络运营商之间的通信,或为其成员提供监控和调试工具。
该项目开始时有10名参与者:
- DE-CIX,位于德国法兰克福
- MSK-IX,在俄罗斯
- Netnod,在瑞典
- TorIX(多伦多互联网交换社区)
- CABASE,在阿根廷
- 都柏林的互联网中立交换协会
- 克里克斯,哥斯达黎加
- RINEX卢旺达互联网交易所
- YYCIX,在加拿大卡尔加里
- 在阿姆斯特丹运营IXP系统的小行星国际公司
PeeringDB.com估计全球大约有614像素,因此MANRS仍有一段路要走,以涵盖所有这些,但DE-CIX, gsk - ix和Netnod,它已经签约了一些世界上最大的。
IXP计划的启动对MANRS计划是一个可喜的推动。ISOC不得不降低对网络运营商支持的雄心,现在希望在2018年底前与100家运营商签约。去年秋天,该公司的目标是届时达到150家。
运营商的动机与ixp不同:他们的网络安全依赖于其他人的行动,因此如果他们实施MANRS措施,他们对其他人的安全做出了贡献,但并不直接造福于自己。