>科技>>正文

为BGP泄密敲警钟

原标题:为BGP泄密敲警钟

路由器应该尽到本职工作。

一名男子在瑞士的Deltalis Radixcloud数据中心里面抬头望着螺旋式楼梯。

作为互联网基础设施最顽固的漏洞之一,边界网关协议(BGP)存在的路由泄密问题进入了一群网络研究人员的视线,为此他们起草了一份新的《互联网草案》(Internet-Draft)。

BGP是互联网长期以来易出故障的“重灾区”之一:由于应用广泛而不能根除,由于历史久远而易受攻击,它是昔日管理员彼此叫得出名字来的学术互联网的一种遗物。

由于BGP在好人坏人都在其中的全球互联网之前就已经存在了,它信任自己收到的消息――因为有人很容易搞垮互联网的一部分,或者出于恶意,或者是由于误操作。

BGP存在的两大问题是:完全不正确的路由公布,以及比较隐蔽的“路由泄密”。在后者中,正如最终在去年正式定义的RFC 7908中描述的那样,路由公布的传播范围已超过了本意,有可能通过窃听点将流量引入到某个黑洞。

这份《互联网草案》(https://tools.ietf.org/html/draft-ietf-idr-bgp-open-policy-00)的五位起草者包括来自Qrator Labs、Initiative Japan、Arrcus和美国国家标准技术研究所(NIST)的代表;他们提议,邻近的发言者路由器(BGP speaker)不仅公布路由,还公布各自的角色,那样收到那些路由公布的系统就能更准确地了解路由宣布的范围。

其中提到的四个角色分别是:

提供者(Provider)――发送者是邻居(neighbour)的传输提供者。

客户(Customer)――发送者是邻居的客户。

对等体(Peer )――不足为奇,发送者和邻居是对等体。

内部(Internal)――发送者和接收者是同一家企业组织;以及

Complex――这个包涵甚广的特殊类别涵盖非标准关系。

草案认为,通过在BGP中表明这些关系,并且测试它们的正确性,BGP就会“在收发两端执行适当的配置”。它还让用户很容易发现故意发送冲突的BGP角色这一行为,因而加大恶意BGP攻击的难度。返回搜狐,查看更多

责任编辑:

声明:本文由入驻搜狐号的作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。
阅读 ()
投诉
免费获取