BGP安全了吗？

BGP安全了吗？

边境网关协议（BGP）是互联网的邮政服务。它负责查看数据可以传播的所有可用路径，并选择最佳路线。

不幸的是，它不安全，因此出现了一些严重的互联网中断。但幸运的是，有一种方法可以确保它的安全。

ISP和其他主要互联网播放器（Sprint、Verizon等）需要实施一个名为RPKI的认证系统。

31家主要运营商状态

什么是BGP劫持？

为了更好地了解为什么BGP缺乏安全性如此有问题，让我们看看如何使用BGP路由互联网数据包的简化模型。

互联网不仅仅是由一家公司运营的。它由数千个自主系统组成，节点分布在世界各地，以海量图表形式相互连接。

本质上，BGP的工作方式是，每个节点必须确定如何仅使用它从直接连接的节点中知道的东西来路由数据包。

例如，在简单的网络A-B-C-D-E中，节点A只知道如何根据从B收到的信息到达E。节点B从A和C了解网络。等等。

当恶意节点欺骗另一个节点，谎报邻居的路由时，就会发生BGP劫持。没有任何安全协议，这种错误信息可能会在节点之间传播到另一个节点，直到现在大量节点知道并试图使用这些不正确、不存在或恶意的路由。

单击“劫持请求”以可视化数据包的重新路由方式：

为了确保BGP的安全，我们需要一些方法来防止这种错误信息的传播。由于互联网是如此开放和分布式，我们一开始就无法阻止恶意节点试图欺骗其他节点。因此，我们需要让节点能够验证他们收到的信息，这样他们就可以自己拒绝这些不想要的路由。

输入资源公钥基础设施（RPKI），这是一种将路由与自治系统关联的安全框架方法。这有点技术性，但基本想法是RPKI使用加密技术为节点提供进行此验证的方法。

启用RPKI后，让我们看看BGP劫持尝试后数据包会发生什么。单击“尝试劫持”以可视化RPKI如何允许网络通过取消恶意路由来保护自己：

常见问题

什么是BGP？

边境网关协议（BGP）是互联网的邮政服务。当有人将信件放入邮箱时，邮政服务会处理该邮件，并选择快速、高效的路线将信件发送给收件人。同样，当有人通过互联网提交数据时，BGP负责查看数据可以传播的所有可用路径，并选择最佳路线，这通常意味着在自治系统之间跳跃。了解更多→

为什么BGP不安全？

默认情况下，BGP不嵌入任何安全协议。每个自治系统都有责任实现“错误路线”的过滤。泄露的路线可能会使部分互联网无法到达，从而破坏它们。这通常是配置错误的结果。虽然，这并不总是偶然的。一种被称为BGP劫持的做法包括将流量重定向到另一个自治系统以窃取信息（例如通过网络钓鱼或被动收听）。

如果所有自治系统（AS）只宣布合法路线，BGP就可以安全。当资源所有者允许其公告时，路由被定义为合法的。需要构建过滤器，以确保只接受合法的路线。BGP路由验证有几种方法在可靠性和效率方面各不相同。一个成熟的实现是RPKI。

什么是RPKI？

互联网上有80万条以上的路由，无法手动检查它们。资源公钥基础设施（RPKI）是一种将路由与自治系统关联的安全框架方法。它使用加密技术在传递到路由器之前验证信息。您可以在Cloudflare博客上阅读有关RPKI的更多信息。

5月14日，NTT的Job Snijders将举办免费的RPKI 101网络研讨会。

测试是如何工作的？

为了测试您的ISP是否安全地实施BGP，我们宣布了一条合法路线，但我们确保公告无效。如果您可以加载我们在该路线上托管的网站，这意味着您的ISP接受了无效的路线。泄露或被劫持的路线也可能被接受。

测试你的ISP地址

测试你的ISP地址：https://isbgpsafeyet.com

本文链接：https://www.ahhhhfs.com/8780/