全球路由安全策略概述（一）——BGP安全吗？-中国教育和科研计算机网CERNET

资讯

校园信息化

技术

资源与应用

产品与装备

信息服务

首页 > 教育信息化 > 技　　术 > 网络安全

全球路由安全策略概述（一）——BGP安全吗？

2024-10-21 中国教育网络

　　编者按

　　在之前的文章《受监管的BGP安全即将来临？》中，我们介绍了最近引发互联网激烈争论的BGP监管事件。那么，在互联网上BGP的安全现状如何，有哪些对应的安全措施，这些安全措施的部署现状和效果如何？本文分两期推出，将着重介绍MANRS（路由安全相互协议规范）项目近年来对BGP（边界网关协议）安全做出的成果，让读者了解当前互联网世界里BGP究竟是否安全，以及美国政府是否有必要进行BGP监管的核心问题。本期是第一期，将介绍BGP的重要性和面临的风险，以及MANRS的基础安全措施建议。

BGP的重要性

　　互联网目前拥有超过68000个公开可见的网络，这意味着了解每个网络的存在及其连接方式无疑是天方夜谭。网络可以随时产生或者消失，而由于各种随机的故障和重新配置，网络的连接同样也在不断变化。这使得手动决定如何在互联网中传输路由数据包过于复杂。

　　互联网服务提供商（ISP）和其他与互联网有多个连接的组织使用的路由器，通常会采用动态路由。在这种方式下，路由器会自动发现如何到达另一个目的地的方法，以及相应的最佳路径。

　　路由器每10到60秒定期发送宣告，告知它们可以到达的互联网部分，称为路由信息。每个路由器能够构建一个路由表，列出所有可能的目的地的所有可能路由。根据这个路由表，路由器能够选择其认为最佳的路径到达数据包的目的地，除非有特殊需求选择其他路径，最佳路径通常便是最短的路径。

　　举一个较为形象的比喻，动态路由就像与一个媒婆合作。你无法知道世界上所有的单身人士信息，但你认识的媒婆知道几个城镇里的单身人士，也知道附近其他媒婆的情况，这样你便能了解身处更远地方的人。

　　不同的路由协议往往用于不同的目的，但我们将重点放到边界网关协议（BGP）。BGP4是用于发现外部网络及其路由策略的事实标准协议，它允许路由器生成自己的路由表——互联网的联络图。

　　BGP使用自治系统编号（ASN）来识别同一管理域内的网络，如ISP或大型企业。路由器还使用ASN来决定是否接受来自其他路由器的路由，或优先选择某些路径。就像媒婆根据你的兴趣、偏好和底线条件筛选潜在的约会对象一样，路由器也会根据网络的策略筛选出最佳路径。有些网络与其他网络是客户关系，有些网络与其他网络则达成了免费传输流量的协议，而某些路径可能因各种原因更受欢迎。这有点像车里的卫星导航系统，驾驶员可以选择走最快的路线还是避免收费的路线，并且如果遇到交通堵塞或道路封闭，还可以提供其他路线。

　　即使在互联网“核心”（更准确的称呼为无默认路由区）中的最大ISP通常能看到大部分或所有可能存在的路由，每个路由器对互联网的视图也是不同的。目前，公开通过BGP宣告的路由已超过90万条。

BGP面临的风险

　　过去25年来，路由系统大部分时间运行良好。为什么我们还要讨论这样一个看起来运作正常的系统呢？在本部分中，我们将探寻全球路由系统中出现的安全问题。

　　路由系统的核心基于网络之间的信任。成千上万个独立的网络做出独立的决策，同时也作为一个全球互联网整体相互操作。这些网络彼此交织，增强了互联网的弹性、可扩展性和易用性。由于没有单一的故障点，路由系统很难在全球层面被破坏——如果一条路径失效，网络可以轻易地选择绕过问题区域传输流量。然而，这些确保互联网成功的特性同样带来了一些挑战。

　　如果我们将路由比作在线约会，我们可以想象在互联网上信任一个人是多么困难，因为在互联网某一端的个人无法验证其潜在伴侣说的是真话还是假话。在BGP（边界网关协议）被设计出来时，互联网仅仅是一个小型学术性的项目，参与者之间都彼此认识，因此，BGP没有内置任何机制来验证路由器发送的宣告是否合法或正确。事实上，无论是有意还是无意，任何网络都可以轻松地宣告任何路由信息。这也就意味着，像约会游戏一样，路由也很容易以失败告终。

　　仅2018年，在全球范围内就有超过12000起路由事故。路由泄漏、路由劫持和IP地址欺骗等事件都有可能减慢互联网速度，甚至使部分互联网无法访问，从而中断公司或用户访问基础服务或信息的能力，同时数据包也可能因为被导向恶意网络而被监听。

　　常见的BGP安全问题包括以下几类：BGP劫持、BGP泄露和IP地址欺骗。

　　BGP劫持

　　BGP劫持也称为路由劫持，是指攻击者伪装成另一个网络，宣布属于其他网络的网络前缀。如果这种错误信息被邻近网络接受并通过BGP进一步传播，就会扭曲互联网的“路线图”，导致流量被转发到攻击者处，而不是其合法的目的地。

　　这种情况有时是由于简单的疏忽，但更多情况下是为了拦截流量（例如审查）或发起拒绝服务攻击（例如关闭网站）。通过伪装成另一个网络，攻击者可以将流量引导到自己的网络，而受害者则遭受停机苦恼。

　　回到之前的“路由就像在线约会”的类比，假设Juan在和Maria聊天，事情进展顺利。突然有一天，Juan无法与Maria取得通信了。他每次尝试发送消息时，消息都消失了。结果发现，Chad也喜欢Maria，他偷看并读取了Juan发给Maria的所有消息。Maria可能最终会收到这些消息，但Chad首先看到并可能篡改了这些消息。

　　BGP泄露

　　BGP泄漏也称为路由泄漏。许多组织为了提高可靠性或优化性能，会连接到多个网络或上游提供商，这种做法称为多归属。路由泄漏通常发生在以下情况：一个组织意外地向一个上游提供商宣布，通过另一个上游提供商有一条通往某个目的地的路由（无论这条路径是否理想）。这使得该组织的网络无意中成为两个上游提供商之间的中间人，流量将通过该组织的网络传输。最终结果往往导致非最佳路由、拥塞和潜在的流量未送达。虽然路由泄漏通常是由无意的路由器配置错误引起的，很快就能够被发现和修复，但也可能被故意利用，以通过另一个网络传输流量进行监听或实施中间人攻击（攻击者秘密监听和篡改发送方和接收方之间的通信）。

　　回到Juan和Maria的类比——Juan以为他和Maria处于一段私密关系中，但Maria突然不再回应。原来，Juan不小心输错了她的号码，所有消息都发给了Chad。

　　IP地址欺骗

　　数据在互联网上以包含目标IP地址（类似于邮寄地址）的数据包形式发送。数据包还包含源IP地址，用于标识发送者并使接收者能够回复。

　　但是，创建和发送带有虚假或伪造IP地址的IP数据包非常容易，可以隐藏发送者的身份或冒充另一个计算系统。由于路由器很难对目标和源IP地址进行验证，因此它们通常不会进行任何检查，而是直接转发数据包。

　　这就是反射分布式拒绝服务（DDoS）攻击的主要原因之一，其中可能包含伪造源地址的多个DNS查询从一个网络发送，目标是另一个网络上的主机，导致该网络收到大量回复并最终瘫痪。

　　回到我们最喜欢的那对注定要失败的情侣……Maria一直在网上与“Juan”交谈。他对她说的都是她想听的，仿佛是一个完美的男人。结果，他骗了她！原来一直是Chad在假装成Juan！

　　大多数路由问题都属于上述三种类型之一。这就是路由安全相互协议规范（MANRS）的作用之一。通过为所有运营网络的组织设定路由安全基线，我们可以共同努力减少最常见的陷阱。

MANRS的基础安全措施建议

　　尽管BGP设计之初并没有考虑到安全性，但随着互联网的普及，黑客们不断发现其漏洞，工程师们意识到有许多安全问题亟待解决。为此，互联网社区多年来开发了不同解决方案来应对这些担忧。然而，这些解决方案通常并没有得到广泛采用，原因在于网络运营商要么不了解这些解决方案，要么不愿意或无法投入足够的资源来实施它们。不幸的现实是，实施路由安全措施并不会带来太多直接利益。实施基本的安全措施可能需要花费时间和金钱，而且除非有足够多的其他网络运营商也在做正确的事情，否则这些措施可能仍然难以发挥作用。

　　让我们再次回到在线约会的类比。你可以在个人资料中完全诚实地描述你是谁以及你想要什么，花时间仔细思考你在寻找什么样的伴侣，并选择合适的照片，认真回答所有问题。但如果其他人并没有花足够的时间去认真做这些事情，你同样可能会和一些完全不合适的人约会。但是，如果你能够确保网站上的每个人都在真实地描述自己和他们想要的东西呢？那将是一次游戏规则的改变！

　　在互联网上，路由事故的发生频率逐年增加，问题日益严重。在用户对网络安全愈发关注的当下，大家可能会对负责传输数据的全球路由系统的脆弱性感到震惊。显然，我们需要采取措施来解决这个问题，这就是MANRS的作用所在。

　　MANRS是一个行业主导的全球性倡议，旨在通过合作提供关键的安全措施，以减少最常见的路由事故。这个缩写不是偶然的：当与邻居交谈时，说可信的话是一种好的礼仪，好的规范（Manner）。MANRS的行动会带来足够可信的互联网路由。加入MANRS的网络运营商、互联网交换中心（IXPs）和内容分发网络（CDN），通过同意实施和遵守基本的路由安全实践，承担起对关键互联网基础设施的韧性和安全性的集体责任。

　　小贴士

MANRS

　　MANRS（路由安全相互协议规范）是由国际互联网协会ISOC支持的一项已有十年历史的全球倡议项目，旨在支持路由安全最优实践的部署，通过运营商、交换中心、CDN、云服务商、设备商和政策决策者等多方合作，解决互联网上路由劫持、路由泄漏和地址仿冒等问题，以此提升网络空间的安全性和韧性。

　　通过共同的努力，MANRS可以确保互联网的安全性和可靠性，为所有用户提供一个更安全的在线环境。MANRS提倡的基础安全措施包括以下几类。

　　过滤（FILTERING）

　　在上一部分，我们讨论了路由劫持和路由泄露事件，这些事件发生是因为错误的路由信息在网络之间传播而未受到审查。过滤是一种帮助路由器防止错误流量传播的方法。当路由器过滤流量时，会检查对端网络是否只宣告自己或其客户经合法授权发起的ASN和IP前缀。

　　反欺骗（ANTI-SPOOFING）

　　在上一部分我们还讨论了IP地址欺骗，这种情况发生是因为攻击者伪造源IP地址，以隐藏发送者的身份或冒充其他计算系统。反欺骗通过验证源地址的正确性，防止带有伪造源IP地址的流量离开网络。

　　路由验证（Route Validation）

　　路由器需要一种判断流量是否合法的方法以实现过滤和反欺骗，而路由验证技术可以确认IP资源（包括IPv4和IPv6）的所有权。路由验证技术主要有两种方法。

　　发布被管网络的路由策略：在全球公认的互联网路由注册表（Internet Routing Registry，简称IRR）中发布网络的路由策略，包含该网络向其他网络通告的所有ASN和IP前缀。

　　创建有效的路由起源授权（Route Origination Authorizations，简称ROAs）：为网络被授权的所有IP前缀创建有效的ROA。ROA允许其他网络以加密方式验证通告ASN和IP前缀的网络是否为这些资源的实际持有者。

　　协调（Coordination）

　　即便有了完备的技术工具，解决问题的还是人。协调意味着确保每个网络在区域互联网注册机构（RIR）的Whois或PeeringDB数据库中留下最新的联系信息，并在发生事件时及时响应。通过有效的协调，网络运营商可以更快地沟通合作，降低安全事故对互联网的影响。

　　MANRS观测网站（MANRS Observatory）

　　为了帮助网络识别其在这些措施方面的表现，MANRS观察网站（图1）跟踪路由事件并显示全球路由安全的状态。该工具将公开可用的数据源整理成易于阅读的摘要，既可以展示个别网络的情况，也可以按地区和国家/经济体展示。所有人都可以访问该工具，但只有MANRS参与者可以访问自己网络的详细信息。

图1 MANRS Observatory网站

　　互联网带来了许多好处，但我们也需要让它成为一个更安全和更可靠的地方。路由仍然是互联网中最脆弱的组成部分之一，虽然大多数用户对此视而不见，但路由安全不应被理所当然地忽视。目前，大约有600个网络运营商承诺实践MANRS提出的安全措施，并付诸实施。其他网络运营商也开始将MANRS安全措施视为竞争差异化的因素，并努力实施这些安全方案。随着越来越多的网络采用MANRS安全措施，识别恶意行为者将变得更加容易，最终我们将能够限制或完全阻止来自这些网络的流量。

　　来源：《中国教育网络》2024年7月刊

　　作者：李泓佑、杨望（东南大学网络空间安全学院）

　　责编：项阳

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。