Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

BGP 的来源验证用例和优势

 

如果自治系统的管理员(AS)开始全部或其他公司分配的网络的一部分,BGP 没有内置方法来识别错误,并以避免服务中断的方式做出响应。

例如,假设客户网络中的管理员错误地公布了路由(假设 10.65.153.0/24)将流量定向到客户的服务提供商1。此/24 路由比实际内容提供商(10.65.152.0/22)使用的路由更具体,将流量定向为2。由于路由器的工作方式,大多数路由器选择更具体的路由并将信息流发送到1而不是 AS 2。

由于传输路由器传播更新的路径信息,在 Internet 上广泛地发现被劫持的前缀。如果默认自由区域(DFZ)中的路由器携带截获的路由,则可在 Internet 上广泛分布无效路由。最终,正确的方法是将路径恢复至 BGP 对等方,但在此期间会出现服务中断。

由于 BGP 依赖于可传递信任模式,因此在客户和提供商之间进行验证至关重要。在上面的示例中,服务提供商1未验证 10.65.153.0/24 的错误通告。接受此通告并将其 readvertising 至其对等方和提供商,因为1传播了错误的路由。从1开始选择路由的路由器,因为它是更具体的路由。在发生错误之前,实际的内容提供商通告 10.65.152.0/22。/24 是一个较小(且更具体)的广告。根据通常的 BGP 路由选择流程,然后选择/24,有效地完成劫持。

即使对内容提供商进行快速检测和反应并与其他提供商合作,其前缀服务也可以在数分钟内中断几个小时。中断的确切持续时间取决于互联网上的排除优势点。发生这些类事件时,就会对此漏洞的解决方案进行更新。BGP 是提供商关系的基础,不久以后也不会离开。此示例演示使用原始验证的解决方案。此解决方案依赖于 BGP 的加密扩展和可避免 overtaxing 路由器 Cpu 的分布式客户端服务器模型。

原始验证通过使提供商能够限制它从客户处接受的广告,帮助克服可传递信任的漏洞。该机制涉及基于扩展 BGP 社区属性的路由策略的通信。