那么,谁还记得去年 2 月发生的“巴基斯坦扼杀 YouTube”事件呢?这里有一篇关于这个话题的文章,可以让你回忆一下:
故事的要点是,巴基斯坦打算在其国家网络上屏蔽 YouTube。他们试图通过广告比 YouTube 自身信息优先级更高的路由信息来实现这一目标,并将 YouTube 的 IP 地址映射到他们的网络中。此路由广告传播到互联网上,导致世界上每个服务器都认为访问 YouTube 的途径是通过巴基斯坦。
我的问题是:如果这样的事情会因为无能而意外发生,那么恶意人士会故意这样做吗?有哪些保障措施可以防止这样的攻击?如果巴基斯坦可以意外对 YouTube 这样做,为什么伊朗不能故意对 Twitter 这样做?
答案1
目前,除了尝试负责任地过滤发往上游的 BGP 公告并希望他们也这样做之外,没有什么可以阻止恶意广告。
互联网路由表非常大(目前约为 290,000 条路由),因此通常很难构建过滤器来锁定每条路由(要么:设备无法拥有包含大量路由的访问列表,或者如果碰巧如此,您的性能会因 CPU 使用率而显着下降,以至于您将回到无过滤状态)。
虽然有些 ISP 确实会对从客户那里收到的信息进行过滤(而其他 ISP 可能要求客户在 RADB(全球路由注册表)中注册他们的路由),但对于拥有 1 到 25 条路由的你我来说,这种方法非常有效。对于大型客户(有线电视公司、国营 ISP 等),为这些拥有 500、600 甚至有时 2,000 条路由的人建立和维护访问列表会变得有点困难,因此你选择不进行过滤,这变成了信任和假设的问题:
“您运营着一个足够大的网络,因此您过去一定做了一些正确的事情,我们都从 AS7007/SprintLink 的失败中吸取了教训,对吧?所以请不要给我发送邪恶的路线。”
抛开冗长而幽默的历史,现在的商业互联网还处于青春期,人们有着不同的议程,因此,如果网络设备供应商的控制平面能力没有进一步的进步,那么如果不考虑安全性能的权衡,目前就没有什么可做的:
- 如果发生 YouTube 路由劫持事件并给您带来短暂的不便,该如何处理?还是惩罚所有客户的表现以确保键盘猫继续玩游戏?
答案2
虽然恶意方可以这样做,但他们必须有一个有效的 BGP 会话,将未过滤的路由传递到主要 ISP。话虽如此,Renesys 确实表示确实发生了一定数量的类似活动(见这里) 无论是恶意的,还是意外的。
伊朗无法故意对 Twitter 采取这种做法的原因本质上是,与 BGP 对等的 ISP 几乎肯定会过滤来自伊朗的路由,尤其是那些政治敏感的 AS。话虽如此,伊朗可以很容易地像这样在内部封锁 Twitter。
答案3
我们很少看到这种情况,因为早在 1997 年美国就发生过这种情况,但情况更糟。以下是故事,不过您需要了解一些 BGP 的工作原理才能真正理解发生了什么。
http://merit.edu/mail.archives/nanog/1997-04/msg00380.html
作为一名网络工程师,我在 1999-01 年设置了许多 BGP 对等会话。为了做到这一点,作为小型网络的您被问到了许多问题:
- 你的 IP 空间是多少?
- 您是否需要为您的空间公布 /24?如果需要,哪些?
- 您是否已使用 radb 注册此 IP?
- 您的 ASN 是什么?
- 您还有其他 ASN 吗?
- 所有这些都已经在 radb 注册了吗?等等。
这些用于过滤我向上游宣布的路由。我还会过滤火星 IP、未分配 IP、任何有效位大于 /24 的路由,以及其他一些安全事项。这在 NSP 级别上变得更加困难,因为您实际上是对等的,而不是像我们一样进行多宿主并从上游获取完整的 BGP 反馈。
这是构建 Cisco BGP 模板的良好资源,其中包含所有 BGP 用户都应该具备的一些基本过滤功能。 http://www.cymru.com/Documents/secure-bgp-template.html
答案4
+1,Cian。不过我只想补充一下过滤方面的话题。
所有负责任的提供商都应该并且确实在其对等会话中放置入口过滤器,以确保他们只接收和重新分配每个对等方在给定范围(前缀长度)内的路由公告。
这是最多防止此类错误和恶意传播的方法。