The Cloudflare Blog
·
Cloudflare Radar 的新 BGP 起源劫持检测系统
内容提要
边界网关协议(BGP)是互联网上的域间路由协议,用于交换IP地址块的可达性信息。然而,BGP劫持可能导致流量被重定向和监视。Cloudflare引入了BGP起源劫持检测系统,以帮助监控和防止此类攻击。
关键要点
-
边界网关协议(BGP)是互联网的域间路由协议,用于交换IP地址块的可达性信息。
-
BGP劫持可能导致流量被重定向和监视,攻击者通过虚假宣布IP地址的所有权来实施劫持。
-
Cloudflare引入了BGP起源劫持检测系统,以监控和防止此类攻击,并将检测结果与公众分享。
-
BGP起源劫持是指攻击者伪造针对特定前缀的公告,错误地将其控制的自治系统(AS)标识为前缀的来源。
-
BGP协议本身不提供验证公告内容的机制,导致劫持难以防范。
-
资源公钥基础设施(RPKI)被提出作为解决方案,允许网络运营商证明其网络资源的所有权。
-
Cloudflare支持RPKI,并提供测试服务以帮助用户验证其ISP是否过滤RPKI无效公告。
-
RPKI的有效性受到注册比例和执行路由起源验证(ROV)比例的限制,目前这两个比例均不理想。
-
Cloudflare的BGP劫持检测系统由多个数据源和三个模块组成,分别为前缀起源变化检测、劫持检测和存储通知模块。
-
前缀起源变化检测模块关注BGP更新消息中的起源AS变化,使用前缀Trie结构存储相关信息。
-
劫持检测模块结合多种数据源,通过评分机制判断BGP公告的合法性。
-
Cloudflare的系统能够快速响应并在每条消息的基础上运行,聚合劫持消息以减少警报数量。
-
存储和通知模块提供对检测到的BGP劫持事件的访问,并向相关方发送通知。
-
Cloudflare的BGP劫持检测结果可通过Cloudflare Radar网站和API访问,用户可以根据需要过滤和查询事件。
-
Cloudflare计划在Radar中引入更多互联网路由和安全数据,以增强社区的路由安全性。
