译者|审稿人范小波|孙淑娟什么是BGP?边界网关协议(BGP)是Internet的主要路由协议。它被描述为“让互联网工作”的协议,因为它在允许流量快速有效地传输方面发挥着重要作用。BGP的最初功能是在边缘路由器之间传递网络可达性信息(有时称为可达性协议)。它已被扩展为还携带VPN、IPv6、多播和一系列其他数据的路由信息??。BGP提供网络稳定性,因为它确保路由器可以快速适应在一条Internet路径出现故障时通过不同的连接发送数据包。它通过支持BGP的路由器和路由表在Internet上交换路由信息来实现这一点。Internet路由由两种不同的类型组成:内部网关协议(IGP):用于自治系统(AS)内的路由,例如EIGRP、OSPFF和RIP;ExteriorGatewayProtocol(EGP):边界网关协议是目前事实上的域间路由的标准EGP路由协议。BGP最初是作为替代现有EGP的权宜之计而提出的。快进30年,它仍然是互联网的核心支柱之一。我们目前使用的是版本4(BGP4或BGP-4)。BGP是如何工作的?BGP指定了一种基于TCP的通信方法,以帮助自治系统在Internet上交换路由信息。AS是由公共机构(例如大型公司或大学)运行的路由器集合,它们控制IP地址范围。每个AS都分配有一个自治系统编号(ASN)。BGP根据网络管理员设置的路径、规则和/或网络策略做出路由决策。每个AS管理一个路由表,其中包含到其他网络的所有已知路由,然后与相邻网络(也称为对等网络)共享。BGP决策过程使AS通过分析每个候选路径属性、应用一组标准(包括权重、本地首选项、最短AS路径等)来选择最有效的可用路由。这意味着BGP可以将流量沿一条路径引导到其目的地和其回程上的另一条路径,导致不对称路由。BGP的设计和实现的重点一直放在安全性和可扩展性上,这使得它比其他路由协议更难配置;它也更复杂,使其成为收敛路由协议最慢的协议之一。一点历史需要了解一些背景知识才能更好地理解BGP在Internet历史中所扮演的关键角色。1989年,我们今天所知的互联网才刚刚起步。互联网的商业用途仍然被禁止,但商业ISP正在萌芽并为最终用户提供网络接入,互联网的商业用途不再是禁忌话题。当BGP于1989年6月首次标准化时,长期运行的ARPANET停止运行(1989年2月28日),TCP/IP用于互连来自遥远国家的不同网络,互联网即将从其中央架构转向分布式架构没有明确定义的主干的体系结构。在此之前,所谓的互联网网关通过外部网关协议(EGP)交换网络可达性信息。EGP是为一个核心AS和多个其他与核心直接相连的较小AS组成的Internet而设计的,它完全依赖于AS的树状结构拓扑,不支持round-robin拓扑。虽然这些限制在Internet的早期是可以容忍的,在Internet中存根网关通过其ARPANET骨干网相互通信,但随着商业实体和多个骨干网(如NSFNET)的出现,它们的不足变得越来越明显。更明显的是,无法创建基于策略的路由,这是BGP成功的关键。BGP固有的漏洞使BGP如此成功的特性也使其极易受到人为错误和恶意攻击。对构成现代互联网的大量AS几乎没有规定,对每个AS的邻居网络过滤器应如何配置的规定也很少。这使它成为一个高度灵活的协议。但是,如果通告了一条新的虚假路由,无论是无意还是有意,流量都会被发送到错误的网络,而且正如我们最近看到的那样,这个问题会迅速蔓延到整个网络。漏洞主要有两种类型:BGP泄漏路由泄漏涉及无意中创建虚假路由信息,从而误导流量并使其容易受到滥用。路由泄漏通常是由人为错误配置的过滤器造成的,导致前缀和IP地址块的非法通告,这些异常在网络上的传播将导致非最优和不正确的路由。BGP劫持路由劫持涉及通过破坏Internet路由表故意接管一组IP地址。如果注入的RouterAdvertisement比真正的RouterAdvertisement更有效,流量将被重新路由到注入的RouterAdvertisement的路由器。BGP劫持并不总是容易被发现,因为该活动可能隐藏在其他AS之后,或者可能涉及公布未使用的IP前缀块,这些不太可能被注意到。因此,互联网流量可能会以错误的方式发送、暗中监控或拦截。垃圾邮件发送者还可以使用BGP劫持来欺骗合法IP并将用户发送到虚假网站。对最终用户和业务的影响两种类型的漏洞都会使最终用户面临问题。这些范围从不方便,例如由于流量采用不必要的长路径导致页面加载时间缓慢,到非常严重,例如流量拦截或整个网络的黑洞。这种攻击可能导致我们在DDoS攻击中看到的那种广泛的网络中断。攻击者还可以仅通过特定的网络黑洞来审查特定的信息来源。这两种类型的漏洞都会使最终用户面临问题。这些问题的范围从不方便,例如由于流量采用不必要的长路由导致页面加载时间缓慢,到非常严重,例如流量拦截或网络黑洞。这种类型的攻击可能会导致我们在DDoS攻击中遇到完全中断的情况。攻击者还可以通过仅黑洞特定网络来审查特定的信息来源。重新路由的中间人性质还允许攻击者窃听部分通信,甚至改变流量本身。他们可以将流量从您的合法网站流量重定向到伪装成您网络一部分的恶意网站。这可能会导致敏感信息或凭据被盗,甚至会向您发送恶意软件。去年,当劫机者攻击AWS的DNS服务以窃取比特币时,我们就看到了这一点。垃圾邮件发送者还可能通过滥用您的ASN发送垃圾邮件来损害您的商业声誉。虽然企业无法完全防止BGP错误配置或故意滥用BGP,但他们可以监控正在发生的事情。通过监控与AS相关的BGP路由,您可以了解可能发生的任何类型的BGP破坏,并可以执行事件响应计划。译者介绍范晓波,社区编辑,高级网络安全工程师。精通SDN、SD-WAN、VPN、NFV等网络相关技术。精通二层和三层网络转发。熟悉DPDK、VPP、OVS高性能网络开源框架。原标题:ABGPGuidefortheNon-NetworkEngineer,作者:MehdiDaoudi
