BGP 劫持攻击(即对手错误地宣布不属于对手的网络前缀)看起来非常简单且易于启动。
那么,有什么办法可以减轻这种攻击呢?检测虚假 BGP 公告是阻止它的唯一方法吗?
还有,只有掌握了虚假公告检测数据的大AS才能胜任?
1 回答
1
是的,这是一个比这里可以回答的更大的问题。
当然,这是 BGPSec 和 BGP Origin Validation 旨在缓解的问题。
IETF SIDR工作组的工作已经结束, SIDROPS正在着手解决部署和运行的实际问题。
为什么保护 Internet 路由需要这么长时间?很有趣。还有BGP 和 BGPsec:攻击和对策。
如果 AS 可以“检测到虚假公告”,那么他们显然会压制它们。但要检测虚假公告,您需要可靠的真实公告来源。事实证明这是一个大问题。但比这更糟糕。在“稳定状态”中,几乎可以想象一个合理大小的真实路线数据库。但是为了应对大大小小的网络问题,BGP 的全部意义在于可以宣布新的路由(包括新的更具体的路由),以保持流量畅通。因此,您的 True Routes 数据库需要一个单独的协议(具有其自身的延迟和信任问题)以使其保持最新:-(
从 ISP 的角度来看,大多数客户和对等方确实会公布有限且稳定的已知路由数量。因此,精确的路由过滤看起来像是减轻威胁的方法。但它繁琐且耗时,容易出错,增加了复杂性,而且对 ISP 的好处很小(如果有的话)......而且不灵活(为什么不只配置静态路由!)。
当然,即使给定的 AS“有权”宣布给定的路由,也不能保证他们会“正确”处理流量:-(
[我想知道NetworkEngineering人员是否对 BGPSec 和 Origin Validation 等的实际部署有最新的看法?]
于 2020-03-17T11:48:35.640 回答