内容
带走:
开发BGP时,网络安全就不再是问题。这就是为什么BGP问题也是其最大的优点:它的简单性。
在安全漏洞方面,缓冲区溢出攻击,分布式拒绝服务攻击和Wi-Fi入侵已被大量利用。尽管这些类型的攻击在更流行的IT杂志,博客和网站上引起了足够的关注,但它们的性吸引力通常使IT行业中可能是所有互联网通信的中坚力量的领域蒙上了阴影:边境网关协议(BGP)。事实证明,这个简单的协议很容易被利用-试图保护它并不是一件容易的事。 (要了解有关技术威胁的更多信息,请参阅恶意软件:蠕虫,特洛伊木马和僵尸程序,噢,我的天!)
什么是BGP?
边界网关协议是一种外部网关协议,它基本上将流量从一个自治系统(AS)路由到另一个自治系统。在这种情况下,“自治系统”仅指互联网服务提供商(ISP)在其上具有自治权的任何域。因此,如果最终用户依靠AT&T作为其ISP,则他将属于AT&T的自治系统之一。给定AS的命名约定很可能看起来像AS7018或AS7132。
BGP依靠TCP / IP来维护两个或多个自治系统路由器之间的连接。在1990年代,互联网以指数级的速度增长时,它获得了广泛的普及。 ISP需要一种简单的方法将流量路由到其他自治系统中的节点,而BGP的简单性使其可以迅速成为域间路由中的事实上的标准。因此,当最终用户与使用其他ISP的人进行通信时,这些通信将至少遍历两个启用BGP的路由器。
常见的BGP场景的插图可能为BGP的实际机制提供了一些启示。假设两个ISP达成协议,以将流量传入和传出各自的自治系统。一旦所有文书工作均已签署且合同已由其各自的法律专家批准,则实际的通信将移交给网络管理员。 AS1中启用BGP的路由器启动与AS2中启用BGP的路由器的通信。该连接是通过TCP / IP端口179发起和维护的,并且由于这是初始连接,因此两个路由器之间都会交换路由表。
在路由表中,维护了到给定AS中每个现有节点的路径。如果没有完整的路径,则会保留到适当的亚自治系统的路由。一旦在初始化过程中交换了所有相关信息,就可以说网络已经融合,任何将来的通信都将涉及更新和“您仍然处于活动状态”通信。
很简单吧?它是。这就是问题所在,因为其非常简单,导致了一些非常令人不安的漏洞。
我为什么要在乎?
这一切都很好,但是这会对使用计算机玩视频游戏和观看Netflix的人产生什么影响?每个最终用户都应该记住的一件事是,互联网非常容易受到多米诺骨牌效应的影响,而BGP在其中起着重要的作用。如果做得正确,入侵一个BGP路由器可能会导致整个自治系统的服务被拒绝。
假设给定自治系统的IP地址前缀为10.0.x.x。该AS中启用BGP的路由器将该前缀通告给其他自治系统中的其他启用BGP的路由器。对于给定AS内成千上万的最终用户来说,这通常是透明的,因为大多数家庭用户通常与ISP级别的工作隔离。阳光明媚,鸟儿在唱歌,互联网流量嗡嗡作响。 Netflix,YouTube和Hulu的图像质量非常原始,数字生活从未如此美好。
没有错误,没有压力-在不破坏生活的情况下创建可改变生活的软件的分步指南
当没有人关心软件质量时,您就无法提高编程技能。
现在,假设另一个自治系统中的一个邪恶人物开始以10.0.x.x IP地址前缀的所有者的身份宣传自己的网络。更糟糕的是,该网络恶棍广告说他的10.0.x.x地址空间的成本比所述前缀的合法所有者低。 (按照成本,我的意思是跳数更少,吞吐量更多,拥塞更少等。在这种情况下,财务无关紧要)。突然,绑定到最终用户网络的所有流量都突然转移到了另一个网络,而ISP不能采取很多措施来阻止这种情况。
与上述情况非常相似的情况发生在2010年4月8日,当时中国境内的ISP宣传了40,000条虚假路线。整整18分钟,无数互联网流量被转移到中国自治系统AS23724。在理想情况下,所有这些错误定向的流量都应该位于加密的VPN隧道内,从而使大部分流量对拦截方毫无用处,但是可以肯定地说这不是理想的情况。 (了解有关虚拟专用网络中的VPN的更多信息:分支机构解决方案。)
BGP的未来
BGP的问题也是它的最大优势:简单。当BGP在世界各地的ISP中开始真正占有一席之地时,人们对诸如机密性,真实性或整体安全性等概念没有多加考虑。网络管理员只是想相互交流。互联网工程任务组继续对BGP中许多漏洞的解决方案进行研究,但是尝试保护诸如互联网之类的分散实体并不是一件容易的事,并且当前使用互联网的数百万人可能不得不忍受偶尔使用BGP。