那么,谁记得去年2月份整个“巴基斯坦杀死YouTube”的惨败呢? 这里有一个关于这个话题的文章来刷新你的记忆:
不安全的路由将YouTuberedirect到巴基斯坦
故事的要点是巴基斯坦打算阻止YouTube的国家networking。 他们试图通过广告路由信息来实现这一目标,其优先级高于YouTube自己的信息,并将YouTube的IP地址映射到他们的networking中。 这条路线广告传播到互联网上,导致世界上每个服务器都认为通往巴基斯坦的途径是通过巴基斯坦。
我的问题是:如果这样的事情可以无意中发生,恶意的一方可以故意这样做吗? 有什么保护措施来防止这样的攻击? 如果巴基斯坦可以不经意地对YouTube做这件事,那么为什么伊朗不能这样做呢?
目前,stream氓广告的方式并不多,除了试图对您的上游负责和过滤您的BGP公告外,希望他们也这样做。
互联网路由表是如此之大(在这个时刻大约有290,000条路由),通常很难build立filter来locking每一条路由(无论是:设备不具有大量路由的访问列表,或者如果碰巧是这样,由于CPU使用率,你的性能会显着降低,你会回到没有过滤)。
虽然有些互联网服务提供商对客户收到的内容进行过滤,而其他ISP可能要求客户在RADB注册路由,这是一种全球路由注册机制。 在大客户(有线公司,国营ISP等)的情况下,为这些携带500,600甚至2,000条路线的人员build立和维护访问列表变得有点困难,所以你不能select过滤,并成为一个信任和假设的问题:
“你运行的networking足够大,所以过去你一定做得对,而且我们都从AS7007 / SprintLink的崩溃中学到了东西,对吗?所以请不要给我发邪道。
除了喋喋不休的幽默历史,这是商业互联网在青less年时代,人们有不同的议程,所以没有更多的networking设备厂商的控制面板功率的进步,没有采取安全性能没有多less事情要做考虑到折衷:
虽然恶意方可以做到这一点,但是他们必须有一个正在运行的BGP会话,将未经过滤的路由传递给主要的ISP。 也就是说,Renesys确实会说,一定数量的类似活动确实发生(见这里 ),不pipe是恶意的还是偶然的。
伊朗不能这么做的原因是因为互联网服务提供商(ISP)几乎肯定会过滤来自伊朗的路线,特别是对政治敏感的AS。 也就是说,伊朗可以像这样在内部轻松阻止Twitter。
我们不会经常看到,因为97年发生在美国,但更糟糕的是。 以下是这个故事,但是您需要了解一些关于BGP如何真正理解发生的事情。
http://merit.edu/mail.archives/nanog/1997-04/msg00380.html
作为'99 -01的networking工程师,我设置了一些BGP对等会话。 为了做到这一点,你作为小networking问了很多问题:
这些被用来过滤我向上游公布的路线。 我也会过滤火星IP,未分配的IP,任何比24位更重要的路由,以及其他一些安全的事情。 在NSP级别上,您实际上正在进行对等而不是多宿主,并且像我们一样从上游获取完整的BGP源。
对于构build一个Cisco BGP模板来说,这是一个很好的资源,所有的BGP用户都应该拥有一些基本的过滤function。 http://www.cymru.com/Documents/secure-bgp-template.html
Cian +1。 但只是添加过滤的话题。
所有负责任的提供者应该并且在它们的对等会话上放置入口filter,以确保它们只接收和重新分配给定范围(前缀长度)内的每个对等体的路由通告。
这在防止这种错误和恶意传播方面大部分都是这样做的。