dcsimg

BGP安全措施旨在保护关键Internet协议

边界网关协议是互联网的基石,最近的努力希望使其更加安全。

 By 保罗·鲁本斯
第页  |  返回第1页

边界网关协议(BGP) 是使互联网正常工作的重要工具。但是,这也是互联网的软肋,黑客可以而且确实可以利用它来破坏,拦截数据和窃取金钱。矮胖的人类在保护这种柔软的腹部方面一直表现异常差劲,但是好消息是机器人可以帮助我们。

在开始之前,让我们先了解一下。 BGP在各种迭代中,已经帮助数据寻找从Internet上的一个地方到另一个地方的最佳路由。这是一项令人印象深刻的壮举,但与互联网的许多部分一样,它也依赖于信任。

在这种情况下,它依赖于自治系统(AS)–通常是ISP或网络实体–宣布到达正确IP地址块的路由。但是有时候,由于真正的配置错误,或者由于故意劫持流量而导致BGP路由泄漏。 (路由泄漏是由Internet工程任务组(IETF)在 RFC 7908 如“将路由公告的传播超出其预期范围。即,从自治系统(AS)将获知的BGP路由发布到另一个AS的公告违反了接收者,发送者和/或沿先前AS路径的其中一个AS。”

发生路由泄漏时,可能导致流量重定向,从而可能导致窃听或流量分析,并可能或导致过载或“黑洞”。

一个错误的著名例子是,巴基斯坦电信公司在2008年试图通过更改其Google视频网站的BGP路由来审查该国的YouTube流量。这导致所有Google流量最终在巴基斯坦出现黑洞,并且该服务在全球范围内不可用。一家瑞士colo提供商在2019年犯了类似的破坏性错误,导致WhatsApp破产,这些年来还有很多其他例子。

但是,也存在大量恶意路由泄漏。一家俄罗斯提供商在2018年宣布了一组实际上属于Amazon DNS服务器的IP地址。结果是,一个加密货币站点的客户被转移到了一个伪造的站点,许多人因此而蒙受了损失。

加强BGP的措施复杂且实施缓慢。一种举措是资源公钥基础结构(RPKI)。这是一种对记录进行签名的加密方法,该记录将BGP路由公告与正确的原始AS编号相关联。 RPKI在 RFC6480。但是RPKI尚未大流行–尽管据报道Cloudflare试图 可耻的AS 有争议地实施RPKI isbgpsafeyet 网站。一些大型组织,例如AT&T和Cloudflare已采用RPKI。许多其他人没有。

AS还可以根据Internet路由注册表(IRR)系统中的规则过滤路由通告,并可以尝试监视Internet的性能下降,这可能表明存在泄漏。这些可以部分有效,但要依靠观察特定时间的情况。

机器人要救援吗?

那么机器人可以提供什么帮助呢? 麻省理工学院的研究人员 已经使用机器学习至少一年来分析BGP路由通告,并且这些机器学习系统能够发现可疑的BGP恶作剧。研究人员说,他们已经发现了大约800个阴暗的网络,这些网络可能通过识别可疑特征而劫持了数月甚至数年的数据。

其中包括包含来自多个国家/地区的IP地址的单一来源,以及阻止其上网的时间:合法的来源倾向于保持活动状态平均两年,而恶意的信息来源只能持续50天。

但是,机器人并不是完美的:针对DDoS攻击的网络防御的经典形式是使用BGP将恶意流量转移到网站的黑洞,因此​​需要人为干预来区分恶意活动和带来DDoS的尝试例如,攻击受到控制。

但是,麻省理工学院的倡议与RPKI和其他措施一起,在帮助人类培育20世纪29岁生日的BGP时,可能会起到重要作用。

 
本文最初发表于2020年10月24日
通过网络更新新闻获取最新消息