译文 | 2021 年的 BGP 安全性
2022-3-21 12:30:0 Author: mp.weixin.qq.com(查看原文) 阅读量:41 收藏

开卷有益 · 不求甚解


前言

边界网关协议 (BGP) 是网络如何通过 Internet 引导流量的核心,它提供了适应 Internet 增长的灵活性和可扩展性。但是,与许多协议一样,BGP 是在 Internet 安全成为主要关注点之前创建的,并且由于 BGP 中没有内置的安全机制,因此确实会出现一些问题。

有时,网络工程师可能会犯一个小错误,或者恶意行为者故意重定向流量。当 BGP 盲目地接受错误的路由信息并通过 Internet 进行中继时,可能会发生不好的事情,并且流量可能会遵循错误的路由。这些“路由事件”包括 路由泄漏、路由劫持和 IP 地址欺骗 ,每种类型的事件都有可能降低 Internet 速度,使部分 Internet 无法访问,或通过恶意网络转移流量以进行监视。

每年,我们都会调查强调整个互联网路由生态系统脆弱性的事件,以及如何通过遵循 MANRS 计划中要求的最佳实践来避免大多数此类事件。使用来自思科 BGPStream.com 的数据,该网站是 MANRS 天文台的数据源之一,为我们提供有关可疑路由事件的信息,在接下来的部分中,我们将研究 2021 年一些值得注意的路由事件。

BGP劫持

BGP 劫持,也称为前缀劫持或路由劫持,发生在网络未经其许可(无论是有意还是错误地)发起属于另一个网络的前缀时。这些事件比最初看起来更频繁。2021 年,BGPStream 收集器发现了大约 775 起标记为“可能劫持”的事件。

2021年BGP劫持数量图表

好消息是 2021 年的事故数量比 2020 年少。但 775 起的数字仍然太高,而且有少数事故在全球范围内造成了重大破坏。以下是特别重大中断的列表(根据影响/前缀数量选择),其中包含指向每个中断的更多信息的链接:

  • 10 月 25 日:AS212046 – MEZON – 劫持 3786 个前缀 – Qrator Labs
  • 10 月 13 日:AS212046 – MEZON – 劫持了 1029 个前缀 – Qrator Labs
  • 9 月 21 日:AS62325——HDHK——劫持了 89 个前缀——Qrator Labs
  • 5 月 18 日:AS48467 — PRANET — 劫持 454 个前缀 — Qrator Labs
  • 4 月 16 日:AS55410 – Vodafone Idea Ltd – 劫持了 30,000 个前缀 – MANRS 博客
  • 2 月 5 日:AS136168 – Campana MYTHIC – 劫持 Twitter 前缀 – MANRS 博客

Qrator Labs 是强大的 MANRS 合作伙伴,通过其博客和Twitter 提要提供广泛的评论和事实细节;在 Twitter 上关注他们以获取最新的事件通知。

BGP 泄漏

BGP 泄漏,也称为前缀泄漏或路由泄漏,是另一种类型的路由事件。RFC7908中定义了几种类型的 BGP 泄漏。如 RFC 中所述,“路由泄漏的结果可能是通过意外路径重定向流量,这可能会导致窃听或流量分析,并且可能会或可能不会导致过载或黑洞。路由泄漏可能是意外或恶意的,但最常见的是意外配置错误。”

虽然 BGP 泄漏通常是无意的路由器错误配置,但会被注意到并迅速修复,但它们可以故意将流量转移到另一个网络以对其进行扫描或执行中间人攻击(攻击者秘密中继并更改通信路径)在发送者和接收者之间,而不改变源或目标)。

2021 年,BGPStream 收集器发现了大约 830 起标记为“可能泄漏”的事件。


2021年BGP泄漏数量图表

就像 BGP 劫持一样,有一些重大事件会导致一些中断(根据影响/前缀数量选择)。这里是其中的一些:

12 月 24 日 – AS7633 – SOFTNET India – 泄露了 20,000 个前缀 – Qrator Labs

12 月 24 日 – AS132215 – POWERGRID – 泄露了 112,000 个前缀 – Qrator Labs

12 月 8 日 – AS10442 – VOZHD – 泄露 32,000 个前缀 – Qrator Labs

8 月 19 日 – AS265038 – JNET – 泄露了 11,000 个前缀 – Qrator Labs

7 月 30 日 – AS137996 – WITGLOBALCOMMUNICATIONS – 泄露了 167,000 个前缀 – Qrator Labs

6 月 3 日 – AS199599 – CIREX – 泄露了 26,000 个前缀 – Qrator Labs

限制传播

2021 年最后一个季度发生了 BGP 劫持和泄漏事件,但有趣的是 BGPstream 发现虚假路由信息的吸收量有所下降;也就是说,从这些事件中捕获错误路由的网络对等点的数量有所下降,基本上限制了它们的进一步传播。为了衡量泄漏或劫持在 Internet 上传播的程度,我们可以分析有多少对等方宣布将虚假路由数据发送到 BGPStream 收集器。对等点数越高,影响越大。

2021 年向 BGPStream 收集器宣布虚假路由数据的对等体数量图表

不到 20 个对等方检测到超过 70% 的事件,这意味着大多数情况下,不良路由数据不会传播很远。这是一个好兆头,当事件发生时,影响已降至最低,因为中间的网络采取了适当的行动来减轻进一步的损害。

向前

2021 年仍然受到 COVID-19 的破坏,但从路由安全的角度来看,发生了许多好的变化。许多网络运营商非常重视路由安全,并开始采取行动保护全局路由表。具体来说,越来越多的运营商主动实施路由过滤,创建路由源授权 (ROA),并开始进行路由源验证 (ROV) — 后两者是加密保护资源公钥基础设施 (RPKI) 的重要组成部分,可以保护 BGP 公告。2021 年 MANRS 参与者的增加也清楚地表明了社区向更高路由安全性的转变。

我们在部署 RPKI 方面还有很长的路要走。由于全球有效 ROA 计数仍然徘徊在 34% 左右,在 RPKI 的帮助下保护全球路由还不够好。一旦我们达到 70% 的地址空间被 ROA 覆盖,这将是一个好兆头。

2021 年 1 月和 2022 年 1 月全球有效 ROA 计数

说服人们实施基本的路由安全措施具有挑战性。通常,障碍不是技术,而是更多的精神或心理障碍,无法理解为什么要保护网络。很容易假设如果网络没有损坏,就没有什么可修复的了——但事实上,路由仍然存在重大问题,这些问题并不总是可见或无法根据网络的行为进行预测,每个运营商都有责任为网络做出贡献。解决方案。采取行动需要改变行为,这来自于承认不采取负责任的路由安全措施的后果。(正如您从前面的部分中看到的那样,一些网络学习起来很困难。)

译文申明

  • 文章来源为近期阅读文章,质量尚可的,大部分较新,但也可能有老文章。
  • 开卷有益,不求甚解,不需面面俱到,能学到一个小技巧就赚了。
  • 译文仅供参考,具体内容表达以及含义, 以原文为准 (译文来自自动翻译)
  • 如英文不错的,尽量阅读原文。(点击原文跳转)
  • 每日早读基本自动化发布(不定期删除),这是一项测试

最新动态: Follow Me

微信/微博:red4blue

公众号/知乎:blueteams



文章来源: http://mp.weixin.qq.com/s?__biz=MzU0MDcyMTMxOQ==&mid=2247486178&idx=3&sn=d603e08c65a67cb824695e7d76f56a4b&chksm=fb35a32acc422a3c649ade207e319c5a780750d5d60ce152f1a60039935b386824e078c756c0#rd
如有侵权请联系:admin#unsafe.sh