了解BGP 的缺陷以及解决方法 (产品供销 - 电脑配件)

网络广告(中国) > 产品供销 > 电脑配件 > 了解BGP 的缺陷以及解决方法

信息号码: 2947371 类别: 产品供销 - 电脑配件

了解BGP 的缺陷以及解决方法


在2004年,一家名为TTNet的土耳其ISP意外地向相邻的网络发布了错误的BGP路由。这些路由声称,TTNet自己是互联网上所有流量的***佳目的地。随着这些路由不断传播到越来越多的自治系统,发生了一次大规模的中断,导致持续一天的危机,世界各地很多人都无法访问部分或全部互联网。

同样,在2008年,一家巴基斯坦ISP尝试使用一个BGP路由来阻止巴基斯坦用户访问YouTube。该IPS随后意外地将这些路由发给了邻近的自治系统,该路由在互联网上的BGP网络中迅速传播开来。这个路由将尝试访问YouTube的用户发送到一个无效的目的地,导致YouTube数小时内无法访问。

这些是所谓 BGP劫持的实例,而这种情况并不总是意外发生的。2018年4月,攻击者故意创建了一个错误的BGP路由,将原定目的地为亚马逊 DNS 服务的流量重定向。通过将这些流量重定向给自己,攻击者成功窃取了价值10万美元的加密货币。

这样的事件之所以会发生,是因为BGP的路由共享功能依赖于信任,自治系统隐式信任与它们共享的路由。当对等网络(有意或无意地)公告不正确的路由信息时,流量就会到达错误的目的地,有可能产生恶意的结果。

幸运的是,在保护BGP方面已经取得了一些进展。***引人注目的是2008年推出的资源公钥基础设施(RPKI)的路由安全框架。RPKI使用被称为路由源授权(RouteOriginAuthorization,ROA)的加密签名记录,以验证哪个网络运营商允许使用BGP来公告某个组织的IP地址。这确保了获授权方才能公告某个组织的前缀。

但仅有RPKI的存在并不足够。如果大型网络未部署RPKI,就有可能传播大规模的劫持攻击。目前,超过50%的***互联网服务提供商在某种程度上支持RPKI,但需要大多数的支持才能完全保障BGP的安全。网络运营商可以通过实施RPKI和使用 Cloudflare路由泄漏检测等网络警报技术来保护其网络。这个功能可以让客户在有未经授权者发布其前缀收到通知,从而预防BGP劫持攻击。

飞机:@cdncloudlisiwen
QQ:2832254781

相关链接: (无)
面向省市区: 全国
面向市区县: 全部
最后更新: 2023-03-23 10:03:59
发 布 者: cdncloudlisiwen
联系电话: (无)
电子邮箱: (无)
浏览次数: 93
网络广告(中国) > 产品供销 > 电脑配件 > 了解BGP 的缺陷以及解决方法
© 2024 网络广告(中国) CNNetAds.com