如果你在一张纸上画一条直线,那么找到从A点到B点的最佳路线很容易,但如果A点是你的电脑,而B点是世界另一端的一个网站,事情就有点棘手了。
在后一种情况下,使用全球互联网使用的路由协议BGP (Border Gateway Protocol),根据可达性和路由信息权衡最新的网络状况,寻找最佳路径。BGP管理数据包如何在组成互联网的大型网络之间传递,并使我们所知道的互联网能够有效地运行。
什么是边界网关协议?
BGP已被称为互联网胶水和互联网的邮政服务。一个比较将BGP比较移动电话上的GPS应用。如果您从波士顿开车到洛杉矶,GPS应用程序会使用现有的道路状况,交通拥堵以及是否要在收费公路上旅行来决定最佳路线。有时,最短路径并不总是最好的道路。BGP就像具有连续更新的互联网地图,从中选择了当时的最佳路径。
IETF对BGP的定义指出,它的主要功能是“与其他BGP系统交换网络可达性信息”。当它顺利工作时,BGP使这些独立的系统协调工作,以创建互联网。
因特网被称为网络的网络,由一个大组织管理的几组个体网络与其他大组织管理的几组网络连接在一起。这些网络组织被称为自治系统(as),具有as状态的大型组织包括isp、大型政府机构、大学和科学机构。
每个自治系统都为流量在其网络中如何移动创建规则和策略。您的家用计算机可能是由您的ISP管理的AS的一部分,它处理与其AS内任何其他节点之间的通信。但是如果您试图访问自治系统以外的站点,那么就会涉及到BGP。
AS组织在它们自己之间安排对等协议,允许流量在它们的网络之间传输。位于AS网络边缘的BGP路由器向对等体发布自己可以发送流量的IP地址前缀。这些通告通过网络前缀通告定期发布,用于更新每个路由器的路由表。
自治系统对等协议
BGP路由器使用as对等协议中建立的决策算法和策略来分析通过前缀声明收集到的数据,并在任何给定时间选择发送每个包流到哪个对等体。在大多数情况下,会选择网络跳数最少的路径,但由于拥塞和延迟,另一条更长的路径实际上可能更快。当流量通过一个AS到达另一个与不同AS相连的BGP路由器时,这个过程会重复一遍,直到数据到达目的站点所在的AS。
在大多数情况下,为了连接到因特网,计算机,电话和其他设备使用ISP。这些访问提供商的网络连接到逐步更大的ISP网络,直到它们最终访问了互联网骨干。来自起始点的流量通过网络分层到骨干网,然后再次向下返回目标IP地址。
(BGP也可以用于在AS内部路由,但它不是必需的,因为还有其他路由协议也是如此。当它使用时,它被称为内部边界网关协议,内部BGP(IBGP)。)
为了让网络运营商在自己的网络中控制路由,并与其他isp交换路由信息,使用了自治系统号(ASN)。这些号码由互联网号码分配机构(IANA)分配,并通过区域互联网注册机构分配给isp和其他网络运营商。与IP地址一样,ASN也包括16位(2字节)和32位(4字节)数字。到2021年1月,已经有了全球近10万个ASNs其中约29%位于美国
什么是bgp劫持?
随着ASNS不断加入Internet并为流量提供新的路线,BGP广告的数量增加,创建更大且较大的攻击表面。因为BGP假定每个都是讲述关于IP地址的真实性,所以它拥有的IP地址和它共享的路由信息,这导致了称为BGP劫持的问题。
通过这种攻击,对手操纵BGP路由表以具有泄露的路由器,通告尚未分配给它。如果这些错误的广告表明,如果比合法路径有更好的路径,则可以将流量指向,只有路径导致可以窃取凭据的恶意服务器,下载恶意软件,并执行其他损坏活动。所有虽然最终用户认为他们正在访问合法的网站。
一个备受瞩目的BGP劫持事件发生在2018年当时一家俄罗斯ISP错误地宣布了一些实际上属于亚马逊DNS服务器组的IP前缀。试图登录加密货币网站的用户被重定向到一个伪造网站,黑客在那里窃取了价值约15.2万美元的加密货币。
在另一个文献良好的事件中,巴基斯坦电信在其作为ISP的作用中,在2008年尝试通过向网站广告自己的BGP路线向审查YouTube进行审查,因此试图达到它将被阻止。但是,新的路线还宣布给ISP的上游提供商,然后将其播放到互联网的其余部分。因此,YouTube的Web请求被引导到巴基斯坦电信,这不仅导致了该网站的大规模中断,而且也不耗尽ISP。
如何打击BGP劫持
有几种防御BGP劫持的策略,包括使用IP地址前缀过滤来阻止来自已知由恶意行为者控制的网络的入站网络流量。另一种是BGP劫持检测监控,它可以发现可疑的延迟增加、网络性能下降或误导的互联网流量,这些流量可能标志着劫持企图。
BGPsec
安全扩展名,BGPSec使用广告路由的加密验证,并允许骨干路由器将数字签名应用于其路由更新广告。这使得未经授权的攻击者更加困难,以便为ASES进行广告差别,以及防止错误配置。但是,实施这将需要整个互联网采用它,并且几乎同时。想象一下,宣布整个互联网需要下降10分钟,以便更新本身,并且您可以看到每个人都会有多么好。
曼
不过,还是有希望的。2020年9月,一个名为“路由安全相互商定规范”(MANRS)的组织成立了一个工作组,帮助内容交付网络和其他云服务采用过滤器和加密技术来保护BGP安全。该组织成立于2014年,旨在“致力于六项增强安全措施定义的路由安全基线,其中五项是必须实施的。”
行动:
- 防止错误路由信息的传播
- 防止具有非法源IP地址的流量
- 促进全球业务沟通和协调
- 促进全球规模的路由信息验证
- 鼓励MANRS收养
- 为对等合作伙伴提供监视和调试工具(可选)。
MANRS正在推广使用路由公钥基础设施(RPKI),这是一个经过加密签名以证明其可信赖性的路由公共数据库。虽然RPKI的用户发布他们提供的路由,并检查数据库以确认其他人的路由,但系统只有在每个人都在使用它时才能消除泄漏和中断。否则,为了保持互联网的运行,BGP路由器将被迫接受未经验证的广告。
另一家公司正在采取公开羞辱的方式,试图说服公司支持RPKI。在网站上"BGP安全了吗?,用户可以获得正在实施RPKI的isp的更新阅读常见问题解答关于情况。更重要的是,他们可以单击一个按钮查看他们的ISP是否安全。
虽然本网站可能会作为宣传特技,但其存在会指出问题的持续严重性。
(Keith Shaw是一家自由技术记者,在各种技术主题上写了20多年,包括网络,消费电子,机器人和工作的未来。)