什么是 BGP?
邊界網(wǎng)關(guān)協(xié)議(BGP)是互聯(lián)網(wǎng)的主要路由協(xié)議。它被描述為“使互聯(lián)網(wǎng)工作”的協(xié)議,因為它在允許流量快速有效地傳輸方面發(fā)揮著重要的作用。
BGP的最初功能是在邊緣路由器之間傳送網(wǎng)絡(luò)可達性信息(有時被描述為可達性協(xié)議)。此后,它已擴展為還承載 VPN、IPv6、多播和一系列其他數(shù)據(jù)的路由信息。BGP 提供網(wǎng)絡(luò)穩(wěn)定性,因為它保證路由器可以在一條Internet路徑出現(xiàn)故障時快速適應(yīng)通過不同的連接發(fā)送數(shù)據(jù)包。 它通過BGP-speaking路由器和路由表在Internet上交換路由信息來實現(xiàn)這一點。
互聯(lián)網(wǎng)路由由兩種不同的類型組成::
內(nèi)部網(wǎng)關(guān)協(xié)議 (IGP):用于自治系統(tǒng)(AS)內(nèi)的路由,例如 EIGRP、OSPFF 和 RIP;
外部網(wǎng)關(guān)協(xié)議 (EGP):邊界網(wǎng)關(guān)協(xié)議目前是事實上的標準 EGP 路由協(xié)議,用于域間路。
BGP最初是作為取代現(xiàn)有EGP的權(quán)宜之計而提出的。快進30年,它仍然是互聯(lián)網(wǎng)的核心支柱之一。我們目前使用的是版本4(BGP4 或 BGP-4)。
BGP 如何工作?
BGP指定了一種基于TCP的通信方法,以幫助自治系統(tǒng)通過互聯(lián)網(wǎng)交換路由信息。AS是由公共管理機構(gòu)(如大型企業(yè)或大學)運行的路由器的集合,它們控制著IP地址范圍。每個AS都分配有一個自治系統(tǒng)編號(ASN)。
BGP 根據(jù)網(wǎng)絡(luò)管理員設(shè)置的路徑、規(guī)則和/或網(wǎng)絡(luò)策略確定路由決策。每個 AS 管理一個路由表,其中包含到其他網(wǎng)絡(luò)的所有已知路由,然后與相鄰網(wǎng)絡(luò)共享,也稱為對等網(wǎng)絡(luò)。 BGP 決策過程使 AS 能夠通過分析每個候選者的路徑屬性,應(yīng)用一組標準(包括權(quán)重、本地偏好、最短 AS 路徑等)來選擇最有效的可用路由。這意味著 BGP 可能會沿著一條路徑引導流量到達其目的地,并在其回程中沿著另一條路徑引導流量,從而導致非對稱路由。
BGP設(shè)計和實現(xiàn)的重點一直是安全性和可擴展性,這使得它比其他路由協(xié)議更難配置;它也更復雜,使其成為最慢的收斂路由協(xié)議之一。
一點點歷史
需要一些背景知識才能更好地了解BGP在互聯(lián)網(wǎng)歷史上所扮演的關(guān)鍵作用。1989年,我們今天所認為的互聯(lián)網(wǎng)剛剛邁出了第一步;ヂ(lián)網(wǎng)的商用仍然被禁止,但商業(yè)ISP正在萌芽,并向最終用戶提供網(wǎng)絡(luò)訪問,互聯(lián)網(wǎng)的商用不再是一個禁忌話題。
當BGP于1989年6月首次標準化時,長期運行的ARPANET被停用(1989年2月28日),TCP / IP被用于互連來自偏遠國家的不同網(wǎng)絡(luò),互聯(lián)網(wǎng)即將從其中心架構(gòu)轉(zhuǎn)向分布式的架構(gòu),沒有明確定義的主干。
在此之前,所謂的互聯(lián)網(wǎng)網(wǎng)關(guān)通過外部網(wǎng)關(guān)協(xié)議(EGP)交換網(wǎng)絡(luò)可達信息。EGP是為一個由核心AS和直接連接到該核心的多個其他較小AS組成的互聯(lián)網(wǎng)而設(shè)計的,它完全依賴于AS的樹狀結(jié)構(gòu)拓撲,不支持循環(huán)拓撲。
盡管這些限制在早期階段的互聯(lián)網(wǎng)中是可以忍受的,在早期存根網(wǎng)關(guān)通過其ARPANET骨干相互通信,但隨著商業(yè)實體和多個骨干網(wǎng)(如NSFNET)的出現(xiàn),其不足之處變得越來越明顯,更不用說無法創(chuàng)建基于策略的路由,這是BGP成功的關(guān)鍵。
BGP 中固有的漏洞
使 BGP 如此成功的特性也使其極易受到人為錯誤和惡意攻擊的影響。
對構(gòu)成現(xiàn)代互聯(lián)網(wǎng)的大量AS幾乎沒有監(jiān)管,對每個AS鄰居網(wǎng)絡(luò)過濾器應(yīng)如何配置幾乎沒有監(jiān)管。這使得它是一個高度靈活的協(xié)議。但是,如果通告了一條新的虛假路由,無論是偶然的還是故意的,流量都將被發(fā)送到錯誤的網(wǎng)絡(luò),正如我們最近所看到的,這個問題可以迅速傳播到全網(wǎng)。
有兩種主要類型的漏洞:
BGP 泄漏
路由泄漏涉及無意創(chuàng)建虛假的路由信息,從而誤導流量并使其容易被濫用。路由泄漏通常是由于人為的錯誤配置過濾器導致的,導致前綴和IP地址塊的非法通告,這些異常在網(wǎng)絡(luò)上傳播會導致產(chǎn)生非最優(yōu)路由和不正確的路由。
BGP 劫持
路由劫持涉及通過損壞互聯(lián)網(wǎng)路由表故意接管IP地址的集合。如果注入的路由通告比真實的路由通告更有效,則流量將重新路由到注入的通告的路由器。BGP劫持并不總是容易檢測到,因為活動可能隱藏在其他AS的后面,或者可能涉及通告未使用的IP前綴塊,這些不太可能被注意到。因此,互聯(lián)網(wǎng)流量可能會以錯誤的方式發(fā)送,秘密監(jiān)控或攔截。垃圾郵件發(fā)送者還可以使用BGP劫持來欺騙合法IP并將用戶發(fā)送到偽造網(wǎng)站。
對最終用戶和業(yè)務(wù)的影響
這兩種類型的漏洞都會使最終用戶遭受問題。這些范圍從不方便(例如由于流量采用不必要的長路徑而導致頁面加載時間變慢)到非常嚴重的情況(例如流量攔截或整個網(wǎng)絡(luò)的黑洞)。這種攻擊可能和我們在DDoS攻擊中看到的那樣導致那種大面積的網(wǎng)絡(luò)中斷。攻擊者還可以僅通過特定網(wǎng)絡(luò)黑洞來審查特定的信息來源。
這兩種類型的漏洞都會使最終用戶遭受問題。這些范圍從不方便,例如由于流量采取不必要的長路由而導致的頁面加載時間慢到高度嚴重,例如整個網(wǎng)絡(luò)的流量攔截或黑洞。這種攻擊可能導致我們在DDoS攻擊中遭遇全面中斷。攻擊者還可以通過僅黑洞特定網(wǎng)絡(luò)來審查特定信息源。
重新路由的中間人性質(zhì)還允許攻擊者竊聽通信的某些部分,甚至改變流量本身。他們可以將流量從你的合法網(wǎng)站流量重定向到偽裝成你網(wǎng)絡(luò)的一部分的惡意網(wǎng)站。這可能導致敏感信息或證書被盜,甚至向你發(fā)送惡意軟件。我們從去年劫持者攻擊AWS的DNS服務(wù)來竊取比特幣就可以看到這一點。垃圾郵件發(fā)送者還可能通過濫用你的ASN來發(fā)送垃圾郵件,從而損害你的企業(yè)聲譽。
雖然企業(yè)無法完全防止BGP配置錯誤或故意濫用BGP,但他們可以監(jiān)控正在發(fā)生的事情。通過監(jiān)控與AS相關(guān)的BGP路由,你可以了解可能正在發(fā)生的任何類型的BGP漏洞,并可以執(zhí)行事件響應(yīng)計劃。
譯者介紹
范曉波,51CTO社區(qū)編輯,資深網(wǎng)絡(luò)安全工程師。精通SDN、SD-WAN、VPN、NFV等網(wǎng)絡(luò)相關(guān)技術(shù)。精通二三層網(wǎng)絡(luò)轉(zhuǎn)發(fā)。熟悉DPDK、VPP、OVS高性能網(wǎng)絡(luò)開源框架。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹慎對待。投資者據(jù)此操作,風險自擔。
2024年的Adobe MAX 2024發(fā)布會上,Adobe推出了最新版本的Adobe Creative Cloud。
奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進了21600元。
華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來實質(zhì)性的幫助,雙十一期間低至2799元,性價比很高,簡直是創(chuàng)作者們的首選。
9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會——工業(yè)互聯(lián)網(wǎng)標識解析專題論壇在沈陽成功舉辦。