YouTube加赞平台 --油管刷赞平台
网络跟人类文明社会风气一样,都透过某一的准则和法律条文来保证社会风气的正常运转。BGP协定就是网络中的准则众所周知。BGP用于在不同的自治权系统(AS)之间互换互换机重要信息,当两个AS须要互换互换机重要信息时,每一AS都要选定一个运转BGP的结点,来代表AS与其他的AS互换互换机重要信息。
但那些准则可能会被数人或不幸冲破。毁坏 Internet 准则的最常用方式众所周知是 BGP 互换机器通知不属于其他们的 AS 的后缀,换句话说,BGP互换机器违法正式宣布某一后缀,从而将网络流量从其预期出发地链接到它他们的 AS。这称作 BGP 互换机挟持,也称作后缀挟持、互换机挟持和 IP 挟持。
2018 年 4 月,蓄意骇客公布了许多属于 Amazon Web Services 的 IP 后缀,许多企图登入身份验证货币中文网站的使用者被链接到骇客所缔造的不实页面当中,引致了超过 160,000 美元的经济损失。
除了蓄意反击,BGP 挟持的不幸示例也可能产生不良后果。2008 年,阿富汗的一家 ISP 企图透过预览其 BGP 互换机来审核 YouTube,由于在审核过程中实用性严重错误,整座网络中的YouTube 网络流量路全被泵入了阿富汗 ISP,引致了全球 YouTube cycles半小时的受阻。
在介绍 BGP 挟持之前,我们须要先掌控许多BGP的基本知识 。
BGP挟持或许非常常用,很大一部分原因原因在于BGP的斯特默仍未考虑到BGP挟持的几率,并且预设所有 BGP 说话者都在说假话。如果想介绍怎样减低这种风险,首先要介绍 BGP 后缀通知和 BGP 挟持的工作基本原理。
BGP 怎样通知后缀?
AS 由数个互换机器组成,并在其边界线内包涵某一的后缀或互换机,向交界处的 AS 通知。BGP 互换机器在整座 Internet 中散播那些后缀,并透过各种 AS 保护到该出发地的方向,每一 AS 负责管理向其邻居们正式宣布它拥有并包涵在当中的后缀,BGP 互换机器中保护的 BGP 表,当中包涵为抵达该某一后缀要经过的 AS 方向。
比如右图:
当AS 100须要与AS170建立联系时,首先须要将他们的后缀 195.25.0.0/23 通知给交界处的 AS。这样,当该重要信息抵达 AS 170 时,互换机表中的重要信息将包括:
后缀:195.25.0.0/23
AS_PATH: AS100 AS190
在这个过程中,如果AS 170 收到来自具有不同方向的此后缀,则会优先选择最短方向,即绿色虚线建立联系。(如红色虚线方向更长,穿越的 AS 数量更多,假设之前所有的 BGP 属性都保持不变,会透过最短方向,也就是绿色方向进行散播。)
在 AS 边缘与其他 AS 中的 BGP 互换机器形成对等互连的是外部 BGP 或 eBGP 互换机器,eBGP 互换机器负责管理向其他 AS 通知后缀。
当敌对AS 正式宣布它实际上不受控制的IP后缀的互换机时,就会发生 BGP 互换机挟持。比如,在右图中,AS 140 违法通知与 AS 100 相同的后缀:
AS 140 中的蓄意挟持者正在宣传不属于他们的 AS 的后缀,所有其他 AS 将收到两个具有相同后缀的不同通知,后续的选择将取决于 BGP 属性。
所以,AS_PATH 长度属性在 BGP 挟持中的具有非常重要的作用,假设所有先前的属性保持不变,将安装最短 AS_PATH 的互换机。如果 AS_PATH 相等,则由其他属性决定,比如最旧的方向或互换机器 ID,这会引致互换机的结果难以预测。在上图中,只有 AS 190 可以保证正确互换机到 195.25.0.0/23 后缀。
此外,挟持者可以执行所谓的 AS_PATH 伪造,当中对出发地的通知 AS_PATH 进行修改,以便发往相关互换机的网络流量将透过本地 AS。在那些情况下,合法 AS 包涵在 AS_PATH 中,以便在将网络流量引导至违法 AS 时更难检测到此类挟持。
那么BGP挟持会造成什么后果,劫机者又为什么要挟持呢?
BGP挟持可能引致网络网络流量出错,被监控或拦截,被黑洞,或者作为中间人反击的一部分将网络流量导向不实中文网站。此外,垃圾邮件发送者可以使用BGP挟持或实施BGP挟持的AS网络,以欺骗合法IP以进行垃圾邮件。
另外,反击者可能执行 BGP 互换机挟持的原因包括:
- 拒绝对某一在线服务的服务。
- 将网络流量链接到伪造页面,以实现凭据、信用卡号和其他机密重要信息的网络钓鱼。
- 链接网络流量以压倒某些服务。
- 为了毁坏而毁坏,进行无差别反击。
BGP挟持是对 Internet 上正确互换机操作的一个非常真实的潜在威胁。因此,采用适当的机制和实用性来防止此类反击和事故非常重要。然而,我们并不能直接避免BGP挟持的发生,除了持续监控网络网络流量怎样互换机之外,使用者和网络可以做很少的事情来防止BGP挟持。
IP段后缀过滤
大多数网络应该只在必要时接受IP段后缀声明,并且只应将其IP后缀声明到某些网络,而不是整座Internet。这样做有助于防止不幸的互换机挟持,并可能使AS不接受伪造的IP后缀声明; 但是,这在实践中很难实施。
BGP挟持检测
挟持检测可以采取多种形式。基线性能的变化,比如更大的延迟、严重错误的网络流量或性能的普遍下降是可能表明某种形式的挟持的初步迹象。此外,监控广告以及记录路线的可用性和停机时间是发现挟持的重要方面。
更复杂的系统还可以分析来自邻居们的公告 AS 以查看被挟持的后缀是否包涵在公告中,可以识别后缀不匹配,并使用方向分析来保证正确的互换机。
保护 BGP
从 1989 年BGP首次面世以来,就在不断的发展和改进。但直到在 2017 年引入 BGPsec 时,才进行了许多安全性的尝试,但尚未得到任何实质性采用。所以,就目前而言,这个 30 多年的协定本质上仍然很脆弱,须要许多复杂的监控机制来控制它。
有可能有助于打击 BGP 互换机挟持的一个方面是使用互换机源授权 (ROA)。ROA 是身份验证签名的对象,可用于验证某一后缀是否源自合法 AS。ROA 由每一 AS 所有者与区域网络注册机构 (RIR) 合作创建,RIR 提供生成它们所需的 RPKI 基础设施。