RPKI与互联网路由安全（上）

由大量自治网络互通而成的全球互联网，能否安全稳定的运行，关键在于IP地址管理和路由控制。而RPKI（互联网码号资源公钥基础设施）即将成为互联网IP地址分配系统和路由系统的信任锚点和管理入口，对于各大网络运营商和持有IP地址资源的企业来说，RPKI将不可避免的成为它们新的工作重点和挑战。

ZDNS作为国内领先的互联网基础资源服务提供商，自2014年成立RPKI研发团队，对RPKI进行持续深入的研究。实验室主任马迪博士和rpki发明人Stephen Kent博士合著的“rpki数据安全威胁模型”在2017年发布为IETF RFC 8211。目前，马迪博士还是RPKI验证软件国际开源项目RPSTIR（bgpsecurity.net）的负责人。ZDNS致力于RPKI在我国的部署方案和运行机制，在RPKI与互联网路由安全的相关研发工作中，发挥着重要作用。

自治网络和BGP协议

互联网由许多独立发展的自治网络（AS）所组成，政府、网络运营商（ISP）、大学和企业都可以运行自己的自治网络。每一个自治网络都会被分配一个全球唯一的编号，称为AS号。自治网络之间通过域间路由协议BGP来共享路由信息：每个AS负责将自己的IP地址前缀（即一段连续的IP地址块）通告给邻居AS，扩散到全球互联网，使得互联网上任意两个可全球路由的IP前缀都能进行通信。

在图1里，自治网络AS3是IP地址前缀16.1.0.0/16的合法持有者，它通过BGP协议消息向外通告包含该前缀的AS路径为3的路由信息，该路由通告被邻居AS1接收到；AS1一方面将目的地址包含在16.1.0.0/16地址块中的IP数据包经该路径发送给AS3，另一方面把自己的AS号加到该AS路径的最前端，并继续向外通告该路由，即向外通告IP前缀为16.1.0.0/16，AS路径为1 3的路由。AS7、AS5和AS2遵从同样的BGP路由协议。

图1： AS3向外通告16.1.0.0/16

. IP地址前缀和AS号分配机制

IP地址前缀和AS号的分配是在一个分级体系中进行的，如图2所示：该体系顶层是互联网码号资源分配的最高权威机构IANA。其下是五大地区性互联网注册机构（RIR），包括亚太区APNIC，北美ARIN、欧洲RIPE NCC、拉丁美洲LACNIC和非洲AFRINIC，它们负责分配和管理各自地域内的IP地址和AS号。在RIR之下还可以存在一些注册机构, 如：国家级注册机构（NIR）和普通地区级注册机构（LIR，如网络运营商）。这些机构从上级RIR得到IP地址前缀和AS号，然后留作己用或继续向下级会员分配。

图2：互联网码号资源分配

互联网路由劫持

BGP协议在安全性上存在非常明显的设计缺陷：在进行路由通告的过程中，每个自治网络无条件地信任邻居发给自己的任何路由通告，即使邻居通告的是虚假的路由信息，这些信息也会被接受并且被继续传播。这就给互联网带来不安全和不稳定的因素，导致路由劫持等安全事故频发：2017年4月， Visa、MasterCard等37个国际金融机构的50条IP前缀被劫持到俄罗斯国有电信运营商Rostelecom，劫持持续了5~7分钟；2017年8月，谷歌意外泄露了从邻居AS得到的内部路由信息，劫持了全球超过13.5万条路由，其中日本NTT是受影响最大的ISP，导致日本大范围断网约1小时。

恶意攻击者往往通过伪造BGP消息中的起源AS号来实施路由劫持。如图3所示，在AS3向外通告16.1.0.0/16的基础上，AS2恶意伪造路由通告，即向外谎称自己是16.1.0.0/16的起源AS。AS5收到的16.1.0.0/16的真实路由长度为3，虚假路由长度为1，根据BGP最短AS路径优先的原则，AS5将选取该虚假路由，因此原本流向AS3的全部流量被劫持到AS2。该虚假路由经由AS5发送给AS7，AS7收到的16.1.0.0/16的真实路由和虚假路由的AS路径长度一样，AS7会根据其他路由规则选择真实路由和虚假路由之一，如果选择了后者，那么原本流向AS3的流量同样会被劫持到AS2。

图3： AS2非法向外通告16.1.0.0/16

针对互联网路由系统存在的安全问题，工业界和学术界提出过很多解决方案，但是均没得到广泛应用。最终，RPKI方案脱颖而出，经由IETF标准化，正在被互联网注册机构、网络运营商和IP地址持有机构部署使用。对于这些机构和企业来说，RPKI将路由系统的安全问题由技术范畴迁移至了运行管理范畴，是一场深刻改变互联网原有管理格局的升级进程。

原创文章，作者：Safeidc，如若转载，请注明出处：https://www.safeidc.cn/1122.html

本站不销售、不代购、不提供任何支持，仅分享网络信息，请自行辨别，请遵纪守法、文明上网。