如果你在一张纸上画一条直线,找到从A点到B点的最佳方法就很容易了,但如果A点是你的电脑,而B点是一个远在地球另一端的网站,事情就变得有点棘手了。
在后一种情况下,边界网关协议(Border Gateway Protocol, BGP)是全球互联网使用的路由协议,它根据网络的可达性和路由信息,权衡最新的网络条件,找到最佳路径。BGP管理数据包如何在组成互联网的大型网络之间传递,使我们所知的互联网能够有效地运行。
什么是边界网关协议?
BGP已被称为互联网胶水和互联网的邮政服务。一个比较将BGP比较移动电话上的GPS应用。如果您从波士顿开车到洛杉矶,GPS应用程序会使用现有的道路状况,交通拥堵以及是否要在收费公路上旅行来决定最佳路线。有时,最短路径并不总是最好的道路。BGP就像具有连续更新的互联网地图,从中选择了当时的最佳路径。
IETF对BGP的定义是,BGP的主要功能是“与其他BGP系统交换网络可达性信息”。当它工作顺利时,BGP会让这些独立的系统和谐地工作,从而创建互联网。
互联网被称为网络的网络,在其中,由一个大型组织管理的个体网络组与由其他大型组织管理的其他网络组相连接。这些网络组被称为自治系统(as),具有自治系统地位的大型组织包括isp、大型政府机构、大学和科学机构。
每个AS创建流量在其网络内如何移动的规则和策略。您的家庭计算机可能是由ISP管理的AS的一部分,它处理与AS内任何其他节点之间的通信。但是如果您试图访问AS之外的站点,那么就会涉及到BGP。
AS组织在它们之间安排对等协议,允许流量在它们的网络之间传输。AS网络边缘的BGP路由器向对等体发布它们可以发送流量的IP地址前缀。这些通告通过网络前缀公告定期发布,用于更新每个路由器的路由表。
自治系统对等协议
BGP路由器使用as对等体协议中建立的决策算法和策略来分析它们通过前缀公告收集的数据,并选择在任何给定的时间将每个包流发送到哪个对等体。在大多数情况下,选择的是网络跳数最少的路径,但由于拥塞和延迟,另一条更长的路径实际上可能更快。当流量通过一个AS到达另一个AS的BGP路由器时,这个过程会重复进行,直到数据到达目的站点所在的AS。
在大多数情况下,为了连接到因特网,计算机,电话和其他设备使用ISP。这些访问提供商的网络连接到逐步更大的ISP网络,直到它们最终访问了互联网骨干。来自起始点的流量通过网络分层到骨干网,然后再次向下返回目标IP地址。
(BGP也可以用于在AS内部路由,但它不是必需的,因为还有其他路由协议也是如此。当它使用时,它被称为内部边界网关协议,内部BGP(IBGP)。)
为了让网络运营商在自己的网络中控制路由,并与其他isp交换路由信息,自治系统号(ASN)被使用。这些号码由互联网号码分配机构(IANA)分配,并通过区域互联网注册中心分发给isp和其他网络运营商。像IP地址一样,ASN包含16位(2字节)和32位(4字节)数字。截至2021年1月,有全球近10万个asn其中约29%位于美国
什么是bgp劫持?
随着ASNS不断加入Internet并为流量提供新的路线,BGP广告的数量增加,创建更大且较大的攻击表面。因为BGP假定每个都是讲述关于IP地址的真实性,所以它拥有的IP地址和它共享的路由信息,这导致了称为BGP劫持的问题。
通过这种攻击,对手操纵BGP路由表以具有泄露的路由器,通告尚未分配给它。如果这些错误的广告表明,如果比合法路径有更好的路径,则可以将流量指向,只有路径导致可以窃取凭据的恶意服务器,下载恶意软件,并执行其他损坏活动。所有虽然最终用户认为他们正在访问合法的网站。
这是一起备受瞩目的BGP劫持事件发生在2018年当时,一家俄罗斯ISP错误地宣布了一些实际上属于一组亚马逊DNS服务器的IP前缀。试图登录加密货币网站的用户被重定向到一个伪造网站,黑客在那里窃取了大约15.2万美元的加密货币。
在另一个文献良好的事件中,巴基斯坦电信在其作为ISP的作用中,在2008年尝试通过向网站广告自己的BGP路线向审查YouTube进行审查,因此试图达到它将被阻止。但是,新的路线还宣布给ISP的上游提供商,然后将其播放到互联网的其余部分。因此,YouTube的Web请求被引导到巴基斯坦电信,这不仅导致了该网站的大规模中断,而且也不耗尽ISP。
如何打击BGP劫持
有几种防御BGP劫持的策略,包括使用IP地址前缀过滤,阻止来自已知被恶意行为者控制的网络的入站网络流量。另一种是BGP劫持检测监视,它可以寻找可疑的延迟增加、网络性能下降或错误的互联网流量,这些都可能标记出劫持企图。
BGPSec.
安全扩展名,BGPSec使用广告路由的加密验证,并允许骨干路由器将数字签名应用于其路由更新广告。这使得未经授权的攻击者更加困难,以便为ASES进行广告差别,以及防止错误配置。但是,实施这将需要整个互联网采用它,并且几乎同时。想象一下,宣布整个互联网需要下降10分钟,以便更新本身,并且您可以看到每个人都会有多么好。
曼
尽管如此,还是有希望的。2020年9月,一个名为路由安全相互协议规范(MANRS)的组织创建了一个工作组,帮助内容交付网络和其他云服务采用过滤器和加密技术来保护BGP。该组织成立于2014年,旨在“致力于由六项安全增强行动定义的路由安全基线,其中五项是强制性的。”
行动:
- 防止错误路由信息的传播
- 防止具有非法源IP地址的流量
- 促进全球业务沟通和协调
- 促进全球规模的路由信息验证
- 鼓励MANRS收养
- 为对等伙伴提供监视和调试工具(可选)。
MANRS正在推广使用路由公钥基础设施(RPKI),这是一个通过加密签名来证明其可信度的路由公共数据库。当RPKI的用户发布他们提供的路线并检查数据库以确认其他人的路线时,该系统只有在每个人都使用它的情况下才能消除泄漏和中断。否则,为了保证互联网的正常运行,BGP路由器将被迫接受未经验证的广告。
另一家公司正走公开羞辱的路线,试图说服公司支持RPKI。在网站"BGP安全吗?,用户可以获得正在实施RPKI和阅读常见问题解答关于情况。更重要的是,他们可以单击一个按钮查看他们的ISP是否安全。
虽然本网站可能会作为宣传特技,但其存在会指出问题的持续严重性。
(Keith Shaw是一家自由技术记者,在各种技术主题上写了20多年,包括网络,消费电子,机器人和工作的未来。)